Ernst Lopes Cardozo
	Ernst Lopes Cardozo is principal consultant bij Aranea Consult en helpt organisaties bij het ontwerpen en implementeren van ICT infrastructuren. De beveiliging van netwerken speelt een steeds grotere rol in zijn adviespraktijk. Ernst publiceert regelmatig over zowel de technische als organisatorische aspecten van ICT, onder meer als vaste columnist voor Infosecurity.nl en Storage Magazine.

Bent u ook verantwoordelijk voor de informatiebeveiliging van uw organisatie? Zo ja, dan weet u waarschijnlijk ook dat het niet de vraag is óf, maar wanneer uw organisatie met een ernstig incident te maken krijgt. De maand april gaf een aardig beeld van wat er misgaat bij grote en kleine bedrijven. Het waren niet de minsten: Amazon en Sony kwamen wereldwijd in het nieuws door uitval en dataverlies bij de eerste en schending van de vertrouwelijkheid van gegevens van klanten, mogelijk inclusief hun creditcardgegevens, bij de laatste. Nu zijn Amazon en Sony geen amateuristische of armlastige organisaties, maar toch leden beide groot gezichtsverlies en directe financiële schade.

Er is geen enkele reden om aan te nemen dat u en uw organisatie niet iets soortgelijks zou kunnen overkomen. Zelfs als u alles tiptop in orde hebt, zijn er nog allerlei zakelijke partners die roet in úw eten kunnen gooien: bedrijven die uw creditcardtransacties afhandelen, uw back-uptapes bewaren, uw oude apparatuur recyclen, uw printers en kopieerapparaten onderhouden (met hard disks vol met informatie die ooit werd geprint of gescand) en nog veel meer. Nee, u kunt er weinig tot niets aan doen, maar toch zullen de klanten uw organisatie er op aankijken.

Natuurlijk doet u er alles aan om de organisatie bewust te makken en houden van het belang van informatiebeveiliging. Zeker, u controleert van elk project of de beveiligingsaspecten zijn doordacht en of er adequate maatregelen zijn genomen. Maar u weet dat het niet genoeg is, dat Murphy op het ongelukkigste moment toe zal slaan. Wat doen we eraan?

Het begint met verwachtingsmanagement. Als uw management denkt dat het uw taak is te voorkomen dat er ooit iets misgaat, dan bent u bij voorbaat verloren. Verklaar dus nooit dat u alles onder controle heeft, dat bepaalde incidenten bij u niet mogelijk zijn – zelfs niet als u ervan overtuigd bent dat uw maatregelen waterdicht zijn. Uw taak is het verkleinen van de kans op incidenten én het minimaliseren van de impact. Als u er vanuit gaat dat er met de creditcardtransacties vroeg of laat iets misgaat, overweeg dan om de impact te verminderen door de transacties in twee groepen te splitsen en daar twee partners voor aan te trekken. De meerkosten zijn beperkt en misschien zelfs nihil, want u kunt deze beide scherp houden door hun prijzen en prestaties met elkaar te vergelijken.

Bereid uw organisatie voor op het onvermijdelijke. Een draaiboekje met aspecten als het escalatieschema (wie belt wanneer de algemeen directeur?), het communicatieplan (wie staat de pers te woord en vooral: wie niet) en uiteraard: welke acties liggen er klaar om de schade te beperken? Er zijn genoeg voorbeelden van hoe het niet moet en hoe het ook kan. Transparantie blijkt een goed uitgangspunt te zijn, al is het zelden de eerste reflex van organisaties. 

Stel er belt iemand naar uw organisatie met het verhaal dat uw website klantgegevens lekt. Zet direct een berichtje op de site waarin u dat blote feit meldt. “We hebben gehoord dat …, we zoeken het uit en houden u op de hoogte.” Blijkt het loos alarm, dan wordt dat eraan toegevoegd. “We hebben niets gevonden, gaan er vooralsnog vanuit dat het niet klopt.” In alle gevallen: zorg dat de klant de eerste is die het weet, én dat ze het van ú horen!

Ernst Lopes Cardozo
e.lopescardozo@aranea.nl