Het boegbeeld zit aan de
voorkant van het schip, is het eerste wat je ervan ziet. En is dus
gezichtsbepalend, want vaak telt de eerste indruk. De Vikingen gebruikten
boegbeelden als bescherming tegen zeemonsters, en verder belichaamden zij de
geest van het schip – wat dat ook moge zijn.
De directeur is het
boegbeeld van elke organisatie. Hij is er niet alleen voor de sier, maar vooral
om de organisatie te beschermen en te vertegenwoordigen – een soort belichaming
van de geest van de organisatie, zou je kunnen zeggen. Verder bepaalt de
directeur – anders dan het boegbeeld van
een schip – ook de koers. In kleine organisaties staat hij zelf letterlijk aan
het roer, terwijl de directeur van een grote organisatie op diverse managers en
medewerkers kan leunen en steunen die hem helpen om de koers uit te stippelen
en het doel te bereiken (al gaat het in veel (de meeste?) organisaties meer om
de reis dan om het bereiken van een einddoel).
Stel nou, je hebt een grote
organisatie met een eigenzinnige, intimiderende directeur. De managers en
medewerkers die worden betaald om aan de koers te werken staan vanwege die
eerste eigenschap min of meer buitenspel en vanwege de tweede durven zij nauwelijks
tegen de directeur in te gaan.
Stel nou, die
eigenzinnigheid gaat zo ver dat de directeur wetenschappelijk bewezen feiten
domweg niet gelooft en algemeen gebruikelijke werkwijzen – best practices – negeert, bijvoorbeeld omdat hij ze lastig vindt.
In mijn vakgebied zou je dan kunnen denken aan risicoanalyses die je helpen om
te bepalen aan welke dreigingen je de meeste aandacht moet schenken. Als die
directeur niet naar zijn experts luistert, maar met zijn onderbuik regeert, dan
kunnen daardoor de beschikbaarheid, integriteit en vertrouwelijkheid van je
gegevens en processen in gevaar komen. Want hij heeft dan bijvoorbeeld een
extra bewaker bij de poort neergezet in plaats van de broodnodige virusscanner
te laten installeren.
Stel dat er zo’n grimmige
sfeer in de organisatie ontstaat dat zo af en toe – maar wel steeds vaker –
een medewerker een andere afdeling oploopt en lukraak klappen gaat uitdelen.
Alle ogen zijn gericht op de directeur, hij moet met een oplossing komen, dit
kán zo niet langer. In plaats van dat hij ervoor zorgt dat de sfeer verbetert
of dat er desnoods verplichte cursussen agressiebeheersing komen, rust hij de
teammanagers uit met een knuppel. In de tijd dat de eigenlijke bewakers nodig
hebben om te reageren op een amokmelding, kan die teammanager de situatie
alvast weggeknuppeld hebben, zo denkt de directeur. Gemakshalve gaat hij ervan
uit dat zo’n knuppeldrager altijd de juiste persoon weet te raken en zélf niet
door het lint gaat.
Zo’n directeur is dan ook
nog eens een bullebak, die zijn ondergeschikten kleineert, schoffeert en
beledigt, liefst publiekelijk. Waarbij ‘publiekelijk’ zich niet beperkt tot het
eigen bedrijf; ook ver daarbuiten staat hij bekend om zijn niemand ontziende
stijl. Het lijkt ver gezocht, maar toch is dat gedrag – naast het menselijk
leed dat het veroorzaakt – óók een bedreiging voor de informatiebeveiliging van
de organisatie. Op enig moment breekt er iets bij een medewerker en wil hij
wraak nemen. Als de organisatie waarin hij werkt toevallig een ICT-afdeling is
en die medewerker is een beheerder, dan kan hij flink brokken maken. We noemen
dit dan ‘rancuneuze medewerker’.
Het boegbeeld moest de
Vikingen tegen zeemonsters beschermen, maar wat als het boegbeeld zélf het
monster is? Je hebt dan iemand in een machtige positie die de organisatie te
gronde kan richten, of – om het weer wat dichter bij mijn wereld te brengen –
die de informatiebeveiliging ernstige schade kan toebrengen. Op den duur is dat
funest voor iedere organisatie, maar ach, tegen die tijd is de directeur alweer
vertrokken. De raad van bestuur zou voortijdig kunnen ingrijpen, maar die wordt
misschien wel meegezogen in het tomeloze enthousiasme – als dat de juiste term
is – van de directeur en zien ze in hem een visionair, of ze zijn gewoon bang voor
hem en staan als verlamd toe te kijken.
Gelukkig heb ik niet zo’n
directeur. Verre van dat. Helaas weet ik wel een land dat zo’n ‘directeur’ heeft
en dan is informatiebeveiliging opeens niet meer het belangrijkste onderwerp.
En in de grote boze buitenwereld …
... durven beveiligingsonderzoekers en -reporters straks misschien niets
meer te publiceren omdat ze bang moeten zijn dat ze voor de rechter worden
gesleept.
... kan de veiligheid in
gevaar komen als coinmining plaatsvindt op een ICT-omgeving die aan de fysieke
wereld is gelinkt, bijvoorbeeld voor procesbesturing.
... levert mining veel geld
op.
... is het soms ook best
gemakkelijk om je te beschermen tegen coinmining.
... interfereerde de
apparatuur van een miner in New York met het mobiele netwerk van T-mobile.
... heeft de Fraudehelpdesk
een nieuwe e-mailwijzer gepubliceerd waarmee je kunt nagaan of een mailtje echt
of nep is. Ik vind die wijzer op een paar punten wat kort door de bocht: alleen
op basis van een ontbrekende persoonlijke aanhef concluderen dat het
waarschijnlijk nep is klopt vaak maar zeker niet altijd. En lang niet alle
bedrijven verzenden mail vanuit hun eigen domein, bijvoorbeeld omdat ze dat werk
uitbesteed hebben.
... bespreekt dit artikel enkele VPN’s voor
Android.
... slaat het
Starbucks-effect toe in de informatiebeveiliging.
... krijgen Mac-gebruiker
niet zo vaak te maken met malware, maar is het toch jammer dat een oude
keylogger door slechts één virusscanner werd gedetecteerd.
... moest een
overheidsinstelling in Colorado ruim tweeduizend pc’s uitzetten vanwege een
ransomwarebesmetting.
... is in Almere iemand
aangehouden omdat hij de cloudopslag van tientallen mensen had gehackt.
... doet malware steeds
vaker moeite om betrouwbaar over te komen.
... wordt legitieme software
steeds vaker gebruikt als vehikel om een aanval uit te voeren.
... is gewoon “nee” zeggen
geen goede manier om in control te blijven.
Geen opmerkingen:
Een reactie posten