Security architectuur is veel meer dan een document. In elk geval voor Nivo-architect Willem van den Akker. Bij de hogeschool die om een bijgewerkte security architectuur vroeg, introduceerde hij daarom meteen ook het risicodenken.
‘Wat versta je onder security architectuur?’
Het is doorgaans de eerste vraag die security architect Willem van den Akker aan nieuwe klanten stelt. En dan neemt hij geen genoegen met een abstract antwoord – iets over een document dat richting geeft aan het informatiebeveiligingsbeleid. Want ja, daar is nog wel overeenstemming over. Maar vraag je door, dan willen de verwachtingen nog weleens uiteenlopen. ‘Dan denken veel organisaties onterecht vooral aan technische foefjes. Aan firewalls, VPN’s en encryptie.’
Dat was ook het geval bij de hogeschool die Nivo in 2019 vroeg om de security architectuur van de organisatie bij te werken. ‘De overheid schrijft normen voor over de maatregelen die onderwijsinstellingen moeten nemen voor het beveiligen van hun informatie’, vertelt Willem. ‘In welke situatie ze bijvoorbeeld een firewall moeten installeren, of wanneer dubbele verificatie nodig is.’
Wat je dan vaak ziet, merkt Willem ook bij deze hogeschool, is dat IT-security een afvinklijst wordt. Vanuit het idee: we hebben aan de normen voldaan, dus het is goed. ‘Natuurlijk moeten we ons aan de normen houden. Alleen moeten we ons niet focussen op de norm, maar op de risico’s. Anders neem je niet de goede maatregelen.’
Wat zijn de risico’s die een organisatie heeft bij het uitvoeren van haar taken? En welke risico’s zijn onaanvaardbaar? Díé vragen zijn volgens Willem de basis van IT security en security architectuur. Pas als je goed in beeld hebt welke risico’s je aan moet pakken, kan je die technische foefjes efficiënt toepassen.
Risicodenken heet het. Je aanpak bepalen aan de hand van de risico’s die je niet wil lopen. Dat was de denkwijze die Willem met behulp van zijn security architectuur wilde invoeren bij de hogeschool.
Omdat elke organisatie zijn eigen risico’s en risico-afwegingen kent, is het niet aan een consultant om te bepalen hóé die risico’s gewogen moeten worden. Dat kunnen alleen de bestuurders van de verschillende afdelingen van een organisatie. En uit ervaring wist Willem al dat het lastig is om een eigenaar van zulke ICT-vraagstukken te vinden binnen deze afdelingen. Ook bij deze hogeschool.
‘Het werd al vrij snel duidelijk dat we het zonder de input van de managementlagen moesten doen. Dat is geen ramp, maar het beperkt je mogelijkheden. Het betekende dat we geen maatwerk konden leveren. Dat we niet specifiek per afdeling konden zeggen welke risico’s er zijn, welke onaanvaardbaar zijn en welke maatregelen daarbij horen.’
En dus schetste Willem een wat meer behoudende, overkoepelende architectuur voor de organisatie, op basis van de input die hij wél tot zijn beschikking had. ‘Een belangrijk doel van hogescholen is open en toegankelijk zijn voor studenten, ook in hun ICT-voorzieningen. Ze moeten zonder veel hobbels toegang bieden tot de benodigde kennis, maar ook tot ieders persoonlijke studentgegevens. Dat is een risico. Want hoe toegankelijker het netwerk, des te groter is de kans dat hackers er binnen proberen te komen en gevoelige informatie naar buiten brengen. Of het netwerk platleggen en losgeld eisen.’
Het moge duidelijk zijn: dát zijn onaanvaardbare risico’s. Risico’s die vermeden kunnen worden door de netwerken van afdelingen als HR en financiële administratie af te scheiden. Zodat studenten niet bij deze gegevens komen. En dan komen de overheidsnormen in beeld, om te bepalen hoe deze scheiding gemaakt moet worden.
Willem maakt zich geen illusies. Het zal nog heel wat jaren duren voordat zijn ideeën in de praktijk worden gebracht. ‘Zo gaat het altijd met security. Maar de CISO liet wel weten dat ze met bepaalde onderdelen aan de slag gaan. En als je die eenmaal oppakt, kom je vanzelf bij de volgende punten aan. Zo zal het risicodenken waarschijnlijk langzaam van de grond komen.’