Elk bedrijf heeft te maken met ICT en dit heeft vele lagen. Voordat er geïnvesteerd kan worden in geavanceerde technologie zoals cobots en robots, moet de betrouwbaarheid en beschikbaarheid van de basis goed geregeld zijn, en moeten er voldoende beveiligingsmaatregelen worden genomen.
Grotere organisaties nemen in verhouding meer beveiligingsmaatregelen en dat is logisch, want ze zijn vaker het doel van cybercriminelen. Ze hebben meer te verliezen en hebben meer middelen beschikbaar. Bovendien dwingt wet- en regelgeving steeds meer naleving af, denk aan de AVG en de aanstaande NIS2 voor vitale sectoren. Ook banken, investeerders, verzekeraars en accountants staan (terecht) op steeds meer compliancy.
Beveiligingsmaatregelen
Voor kleinere organisaties is het onmogelijk om alles perfect te regelen. Dit heeft vele oorzaken, waaronder een beperkt budget, onvoldoende kennis, vendor lock-in en commerciële belangen van leveranciers, tunnelvisie en altijd weer de balans tussen veiligheid en gebruiksvriendelijkheid. Wanneer beveiligingsmaatregelen te streng zijn, zoeken medewerkers een omweg (Shadow IT). Maar ook de cloud heeft beheer nodig en de kosten moeten worden bewaakt.
Second opinion
Regelmatig wordt mijn firma Oké-PC IT ingeschakeld om bij bedrijven de staat van de ICT door te lichten. Als second opinion of bijvoorbeeld als voorbereiding op de overstap naar een andere aanbieder. Vaak is de aanleiding dat er steeds meer problemen ontstaan, die de beheerder niet opgelost krijgt, of na een fraude- of cyberincident. Bij een dergelijk onderzoek beginnen we met het verzamelen van de aanwezige technische informatie en eventuele beleidsstukken en draaiboeken. Door de jaren heen hebben we gemerkt dat er vaak bar weinig kan worden aangeleverd. We komen regelmatig zwaar verouderde software tegen, ontbrekende licenties, te veel rechten voor alle gebruikers, geen rampenplan, geen externe back-up, geen tweefactorauthenticatie, geen netwerkscheiding, niet gedeactiveerde accounts van oud-medewerkers en ga zo maar door.
Oud, maar draait prima
Vaak tegen het beeld van het management in, die veronderstelt dat alles afdoende geregeld is. Uit navraag blijkt vervolgens dat interne en externe ICT-ers herhaaldelijk hebben gesignaleerd dat zaken anders moeten of aan vervanging toe zijn, maar dat het management het risico onderschat of er geen budget voor vrij maakt. “Oké, het is oud, maar het draait nog toch?”. Het gevolg is dat beheerders het op zeker moment opgeven, de omgeving zo goed als mogelijk in de lucht houden en de leiding meent dat alles prima geregeld is. Zie je wel?
Bewust van de risico’s
Perfecte beveiliging bestaat helaas niet. Bij Oké-PC IT geloven we in pragmatische en transparante oplossingen. Ons advies is, hou je ICT periodiek tegen het licht en wees voorbereid op uitval. Een paar pagina’s aan documentatie, beleid en noodscenario’s kunnen al onnodige ‘downtime’ voorkomen. Een solide basis is een vereiste voor alle moderne toepassingen, data en productie. Het allerbelangrijkste is dat partijen zich bekend zijn met de stand van zaken en de daarbij horende risico’s bewust en weloverwogen nemen.
Ronald Zijlstra
ronald@okepc.nl
Ondernemer bij Oké-PC IT
https://okepc.nl