Meer aandacht voor de information security specialist!

Voor jou als information security specialist moet het soms frustrerend zijn. Hoe kun je de rest van de organisatie overtuigen van het belang van jouw vak?

Veel mensen investeren kennelijk liever in nieuwe software en functionaliteit dan in de beveiliging ervan. Wij zien gelukkig wel een kentering. Het belang van goede information security komt prominenter in het nieuws. We zien ook een groeiend aantal information security opdrachten bij HeadFirst. Maar feit blijft dat information security consultants hun best moeten blijven doen om aandacht te krijgen voor hun belangrijke vak.

Information security nog geen prioriteit bij beslissers

Ik realiseerde me dat weer eens toen ik van de week het 2018 Risk:Value Report van NTT Security onder ogen kreeg. Voor die jaarlijkse marktscan heeft onderzoeksbureau Vanson Bourn in opdracht van NTT Security in 12 landen wereldwijd 1.800 beslissingsnemers (niet IT-ers) geïnterviewd over cybersecurity zaken. Hoewel ik over een aantal zaken misschien wat optimistischer ben dan het rapport, staan er zorgwekkende zaken in. NTT Security zelf is ook behoorlijk pessimistisch in haar samenvatting:

We found that respondents are still making the same mistakes, failing to make any progress in crucial areas such as cybersecurity awareness and preparedness. Senior management seems distracted when it comes to security

En inderdaad. Zelfs als we rekening houden met het feit dat NTT Security gespecialiseerd is in information security en er natuurlijk baat bij heeft het vuurtje wat op te stoken, liegt het er niet om wat er in het rapport staat. Laten we een paar conclusies doornemen.

Veel beslissers verkiezen losgeld boven investeringen

Misschien wel de schokkendste observatie is dat een behoorlijk aantal beslissers meent dat het een serieuze optie is om gewoon de schade te betalen die door cybercriminaliteit ontstaat. In plaats van te investeren in de preventie ervan. Een derde van de geïnterviewden gaf aan het betalen van losgeld bij een ransomware aanval te verkiezen boven extra investeringen. Ik bladerde nog enthousiast naar de opsplitsing per regio want ‘bij ons is het vast beter’. Dat viel een beetje tegen. In de Benelux zitten we zelfs iets boven het gemiddelde en onze oosterburen staan helemaal bovenaan de lijst van bereidwillige losgeldbetalers.

De impact van een datalek niet altijd duidelijk

Het is maar een van de observaties in het rapport. Er is meer te lezen. Zo viel op dat veel bedrijven hun klantreputatie als het grootste risicopunt zien bij een onverhoopt datalek. Niet onbegrijpelijk natuurlijk. Maar tegelijkertijd lijkt men het risico op financiële schade minder ernstig te nemen, terwijl men het mogelijke schadebedrag (met name door omzetderving) juist enorm hoog inschat. Gaat men er onbewust van uit dat zo’n groot datalek met bijbehorende omzetderving vooral bij de buren kan gebeuren? Overigens geeft een behoorlijk aantal managers aan dat ze eigenlijk niet weten of hun bedrijf al eens slachtoffer is geweest van zo’n datalek…

Wie is verantwoordelijk voor Information security?

Wellicht heeft het gebrek aan prioriteit vooral te maken met de onduidelijke verantwoordelijkheden. Er wordt naar veel verschillende senior managers gewezen als het gaat om de eindverantwoordelijkheid voor information security. En vaak ook naar de ceo, waarbij natuurlijk maar de vraag is of die ceo dat zelf ook zo ziet. Veel van de respondenten stellen ook dat het onderwerp meer aandacht bij managementoverleg zou moeten krijgen. Maar het onderzoek laat zien dat dat in lang niet alle gevallen ook daadwerkelijk lukt.

Genoeg te doen voor information security consultants

Het moet jou als information security specialist niet altijd vrolijk maken, dat geknok om aandacht. Toch denk ik dat we de goede kant op bewegen. Door bijvoorbeeld de AVG introductie en recente datalekken staat het onderwerp duidelijker op het netvlies. Bij de een gebeurt dit sneller dan bij de ander, maar we zien bij HeadFirst wel degelijk meer interessante information security opdrachten .

Mocht je dan ook op zoek zijn naar nieuwe uitdagingen als beveiligingsspecialist, dan moet je je zeker inschrijven bij HeadFirst. Wij hebben daar veel actuele opdrachten op het gebied van IT beveiliging. Want bij HeadFirst krijg je als information security expert alle aandacht die je verdient. Daar hebben we geen marktonderzoek voor nodig.