Informatie Beveiliger 2.0, the Next Generation.

IB’er 1.0.

Voordat de definitie van een Informatie Beveiliger 2.0 kan landen, moet eerst duidelijk zijn hoe een Informatie Beveiliger 1.0 denkt en werkt. Informatie beveiliging werd (wordt?) vaak als lastig ervaren. Want die beveiligers zetten immers altijd alles dicht en maken dingen moeilijker dan ze zouden moeten zijn. Informatie beveiligers zijn lastig, want die maken mijn werk onmogelijk!

Tot op zekere hoogte klopt dit ook wel. Want voordat de IB’ers zich er mee gingen bemoeien was functioneel gezien alles mogelijk. Maar toen vonden die IB’ers dat er een hoop dicht gezet moest worden, omdat dit niet veilig was. En dat heeft men niet echt als prettig ervaren!

Eigenlijk kon deze generatie IB’ers er niets aan doen. Ze werden immers veel te laat betrokken en dus was het alleen maar brandjes blussen. Dat moet natuurlijk anders kunnen.

Mindset.

Het gevaar en de impact van Cyber attacks neemt iedere dag toe. Iedereen wil natuurlijk zijn werk blijven doen, maar dan wel veilig. Dit “dwingt” een Informatie Beveiliger in de nieuwe mindset: We moeten de functionaliteiten faciliteren, op een veilige manier. “Veilig Faciliteren”.

Met deze mindset als basis komt informatie beveiliging nooit op de tweede plaats. Door uit te gaan van het “veilig faciliteren” principe is informatie beveiliging vanaf het prille begin ingebakken in de oplossing.

De IB’er 2.0 denkt niet in begrenzingen. De IB’er 2.0 denkt in mogelijkheden. Hij/zij denkt in termen van het enablen van functionaliteiten door veilige technologieën, Threat Intelligence, delen van security informatie met gelijke partijen in hetzelfde speelveld, leren van elkaar en het bedenken van State of the Art oplossingen die het “veilig faciliteren” volledig ondersteunen.

De IB’er 2.0 denkt niet alleen in IT. Hij/zij denkt mee in de behoefte van de organisatie. Hoe kunnen bedrijfsprocessen optimaal ondersteund en gefaciliteerd worden met de bestaande technologieën, met een passend niveau van beveiliging, gerelateerd aan de B, I en V aspecten.

Maar wie is er nu verantwoordelijk voor de beveiliging van de informatie? Het antwoord daarop is simpel: De eigenaar van de informatie.

“Maar die zitten toch meestal aan de business kant?” Inderdaad!

“En die hebben toch meestal geen verstand van IT zaken?” Inderdaad! 😉

Toch is het de informatie eigenaar die kan aangeven wat de waarde van de informatie is en hoe die geclassificeerd zou moeten worden. Hier kan de IB’er met name zijn toegevoegde waarde laten zien. In samenwerking met de mensen die de waarde van de informatie kennen kan de IB’er 2.0 ondersteuning bieden bij het classificeren van de informatie. Aan deze classificatie zijn dan weer specifieke richtlijnen en normen gekoppeld. Dit vormt daarmee de koppeling tussen de bedrijfsvoering en de beschikbare IT technologieën om het bedrijfsproces veilig te kunnen faciliteren.

Toekomst.

Gelukkig begint het bewustzijn en de noodzaak van Informatie Beveiliging bij iedereen door te dringen. Men weet inmiddels dat men niet zonder Informatie Beveiliging kan. Dat maakt het werk van de IB’er 2.0 eenvoudiger, omdat hij/zij eerder aangehaakt wordt bij o.a. nieuwe projecten. Dit wil echter niet zeggen dat de IB’er het daardoor minder druk krijgt. In tegendeel!

De NSA omschrijft dit als volgt:

“There is no shortage of Cyber Security Threats, but there is a shortage of Cyber Security IT professionals!”

Mijn advies: Maak de transitie en omarm de IB’er 2.0 mindset!

 

*B, I en V aspecten:

B=Beschikbaarheid, I=Integriteit, V=Vertrouwelijkheid

9 december, 2015, Twan van der Meer CISSP, CISA, SCF

You may also like...