De sleutel tot een betere informatiebeveiliging

Het beveiligen van informatie blijft een heikel punt, zeker binnen de overheid. Enerzijds moet de overheid waken over de privacy van uw en mijn gegevens, anderzijds wordt er van de overheid verwacht dat zij zich steeds meer transparant en ‘open’ gaat opstellen. Want de burger wil wel een beetje makkelijk een vergunning kunnen aanvragen via de website van de gemeente. En dat moet natuurlijk wel veilig.

Het Nationaal Cyber Security Centrum heeft begin dit jaar de ICT-beveiligingsrichtlijnen voor webapplicaties gepubliceerd. Het is goed dat dit gebeurt en de richtlijn biedt, zoals het een goede richtlijn betaamd, voldoende richting om de beveiliging ten aanzien van webapplicaties verder aan te scherpen. Tegelijkertijd zit daar ook precies de achilleshiel. De webapplicaties zijn natuurlijk maar één onderdeel van de informatiebeveiliging. Of zouden dat moeten zijn.

Nu begrijp ik dit wel vanuit het perspectief van Het Nationaal Cyber Security Centrum. Zij richten zich op die specifieke onderdelen waarbij Cyber criminaliteit een rol kan spelen. Dus publiceren zij whitepapers over de beveiliging van smartcards en de risico’s van cloud computing. En dat is op zich prima ware het niet dat veel (lokale) overheden deze richtlijnen dan net zo fragmentarisch gaan implementeren. En dat heeft dus niet zoveel zin. Als beveiligingsrichtlijnen over de cloud, webapplicaties of wat dan ook, niet worden ingebed in een overkoepelend beveiligingsbeleid dan levert dit nooit het gewenste resultaat. Informatiebeveiliging blijft dan een verzameling maatregelen zonder samenhang. En als je alles half doet, doe je eigenlijk niets.

De nadruk zou moeten liggen op een echt holistische visie op informatiebeveiliging. De meeste richtlijnen (en daarmee architectuurprincipes) zijn er al en de (technische) middelen zijn ook eenvoudig te verkrijgen. Men moet het vooral organiseren, implementeren en bovenal controleren. Want als we een ding vanuit de DigiNotar affaire hebben geleerd is dat het opstellen en afgeven van richtlijnen zonder dat je ze controleert weinig zin heeft. Dus: doe de deur op slot maar hou de sleutel in uw zak!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *