Als wereldwijde organisatie van auditors, security-specialisten en governance experten, maakte ISACA van zijn 'Insights 2013' congres - inhoudelijk goeddeels uitgewerkt door de Belg Marc Vael - een event waar top-bedrijfsleiders de uitdagingen rond security, big data, innovatie, cloud, mobiliteit en dies meer onder elkaar konden aankaarten.
...

Als wereldwijde organisatie van auditors, security-specialisten en governance experten, maakte ISACA van zijn 'Insights 2013' congres - inhoudelijk goeddeels uitgewerkt door de Belg Marc Vael - een event waar top-bedrijfsleiders de uitdagingen rond security, big data, innovatie, cloud, mobiliteit en dies meer onder elkaar konden aankaarten. Het probleem is dat security vaak nog reactief en verbiedend optreedt, zodat de baten voor het bedrijf niet altijd makkelijk aantoonbaar en berekenbaar zijn. Uit de panelgesprekken bleek evenwel duidelijk dat security ook proactief met de 'business'-kant van het bedrijf kan (en moet) samenwerken. Zo kan duidelijk worden gemaakt wat de reële kost en impact van een probleem is, en hoe een en ander wel veilig kan worden aangepakt. En kan de 'business' vervolgens zijn verantwoordelijkheid terzake opnemen. Niet alleen met middelen, maar ook met acties en afdwingbare 'policies' om remediërend op te treden waar nodig, bij de eindgebruikers, bij de bedrijfsleiding, in het ict-departement... Concreet moet informatiesecurity een kwestie zijn van een 'business gericht adviesteam, met kennis van zaken betreffende de business objectieven en 'compliance noden'. En dat indien nodig gehoor en ondersteuning krijgt op het hoogste niveau, tot en met de raad van bestuur (als bekrachtiger van policies). Toegegeven, dergelijke aanbevelingen worden wel vaker geformuleerd. Op het ISACA Insights congres kwamen in panelgesprekken evenwel topfiguren uit bedrijven aan bod die deze adviezen ook in de praktijk brengen, en duidelijk maakten dat het ook echt kán! Evenzeer werd duidelijk gemaakt dat samenwerking over de bedrijfsgrenzen heen een must is. Op die wijze kan de reële omvang van een problematiek (aantal voorvallen, ernst en kosten ervan,....) in kaart worden gebracht, en kunnen eventueel sectorgerichte oplossingen worden uitgewerkt voor bestaande en nieuwe problemen. Bij dat laatste werd onder meer gedacht aan byod, cloud (waar gewoonlijk meerdere bedrijven bij betrokken zijn) en mogelijke gevolgen van innovatieve bedrijfspraktijken (e-commerce, big data,...). Bedrijfsleiders moeten het besef worden bijgebracht dat niet alle bedrijfsprocessen en -data geschikt zijn voor die nieuwe technologieën (wat sindsdien door de heisa rond het Prism-afluisterschandaal nog eens extra in de verf werd gezet). Bij dat alles is er ruimte voor nieuwe technieken, zoals virtual patching en virtualiseringsgerichte security, maar ook de security-industrie werd aangemaand van aanpak te veranderen. Minder focus op het vinden van zwakheden en meer aandacht voor een efficiëntere beveiligingsaanpak werden aangemoedigd. Voorts blijft er nood aan audit! Het is duidelijk dat losse informatie-gerichte initiatieven - zeg maar de ict-'schaduwbudgetten' in de afdelingen van marketing, sales en dies meer, en die al een significant deel van de bedrijfsuitgaven voor informatietechnologie vormen - niet mogen ontsnappen aan controle door interne en externe diensten. Interessant was overigens dat de sessie rond ISACA's COBIT 'governance'-framework (Control Objectives for Information and Related Technology) bijzonder talrijk werd bijgewoond, met een uiterst levendige uitwisseling van ideeën en vragen tussen het publiek en de auteurs van COBIT 5. Een auteursgroep waarin Belgische experten een meer dan belangrijke rol hebben gespeeld, zoals overigens Belgen in niet geringe aantallen de hele Insights conferentie schraagden.Guy KindermansInformatiesecurity moet bedrijfsgerichte adviezen bieden.