10 mythes in IT-beveiliging volgens Gartner

Mythe 1: Het gebeurt mij niet

Oorzaak: Afgestompt door de hype rond beveiligingsrisico's krijgen werknemers ruim baan en worden kosten en verantwoordelijkheden gemeden.

Oplossing: Neem de verantwoordelijkheid en beoordeel beveiligingsgerelateerde onderwerpen, bijvoorbeeld aan de hand van een classificatieraamwerk voor beveiligingsrisico's.

Mythe 2: Het beveiligingsbudget beslaat 10% van de IT-uitgaven

Oorzaak: Whishful thinking: Uit de gegevens van Gartner blijkt dat het beveiligingsbudget eerder in de buurt van de 5% ligt.

Oplossing: Sla de boekhouding er eens op na.

Mythe 3: Beveiligingsrisico's kunnen worden gekwantificeerd

Oorzaak: In een cijfers-georiënteerde cultuur ontstaat vaak het idee dat wie over de meeste cijfers beschikt, wint. Het creëert de illusie dat het beveiligingsbudget gerechtvaardigd kan worden op basis van een spreadsheet.

Oplossing: Ontwikkel een systeem met non-nummerieke omschrijvingen van risico's. Zorg dat elke bedrijfseenheid verantwoordelijkheid krijgt voor zijn eigen IT-gerelateerde risico's.

Mythe 4: Wij hebben fysieke beveiliging (of SSL) dus je weet dat je data veilig zijn

Oorzaak: Whishful thinking en een slecht begrip van risico's

Oplossing: Zorg er voor dat de inkoop van beveiligingstoepassingen in lijn is met het niveau van beveiliging dat de gegevens vereisen.

Mythe 5: Tijdelijke en complexe wachtwoorden verminderen het risico

Oorzaak: Laksheid, wachtwoorden alleen zijn niet veilig, maar het kraken ervan is niet het belangrijkste veiligheidsrisico. Wachtwoorden worden 'gesniffed'.

Oplossing: Die is er niet direct

Mythe 6: De verantwoordelijkheid voor IT-beveiliging (CISO) leggen buiten de IT levert automatisch een goede beveiliging op

Oorzaak: Doorschuiven van het probleem. Het is de oude truc om een probleem op te lossen door iets te reorganiseren.

Oplossing: Ga op zoek naar de werkelijke oorzaak van de zwakheden in het beveiligingsprogramma.

Mythe 7: Het opvolgen van beveiligingsbeleid is het probleem van de CISO ( chief information security officer)

Oorzaak: Doorschuiven van het probleem. Bedrijfsonderdelen schuiven graag de beveiligingsrisico's af naar anderen, waarbij de CISO alle last op zijn schouders krijgt. Toch willen de bedrijfseenheden niet dat de CISO hen vertelt wat te doen.

Oplossing: Creëer een informatiebeveiligingsprogramma dat aansluit bij de bedrijfscultuur.

Mythe 8: Koop dit gereedschap en al je zorgen zijn voorbij

Oorzaak: De zoektocht buiten de deur naar een magische oplossing voor lastige problemen: Whishful thinking.

Oplossing: Zorg voor een methodische risico-analyse en een meerjarig beveiligingsplan.

Mythe 9: Wanneer het beleid is geïmplementeerd, zijn we klaar

Oorzaak: Whishful thinking

Oplossing: Zorg voor verantwoordelijkheid bij het management en ga de strijd zorgvuldig aan.

Mythe 10: Encryptie is de beste manier om gevoelige bestanden veilig te bewaren

Oorzaak: Wanneer encryptie werkt, is het heel goed. Maar soms richt encryptie meer schade aan dan het goed doet wanneer er naïeve verwachtingen bestaan ten aanzien van een complexe technologie. Soms draait het uit op een zoektocht naar de heilige graal voor problemen die gewoon met een goed beveiligingsbeleid kunnen worden opgelost.

Oplossing: Zorg voor een ruime ervaring met cryptografie voordat er keuzes worden gemaakt.