De zoete wraak van de nerd Kent u de reeks cultfilms 'Revenge of the nerds'? 'Cult' overigens vanwege het slechte script, niet omwille van de filmische kwaliteiten. In elk van de films staat een groepje universitaire nerds centraal. Het verloop van de films is nagenoeg identiek. Bij aanvang worden de nerds door de supersportieve en meer populaire collegastudenten met de nek aangekeken. Maar uiteindelijk blijken de nerds vanwege hun slimheid toch het meest populair en eindigen zij met de afgetrainde studentendames.
Dit beeld dringt zich bij mij op als ik denk aan hoe 'klassieke' en 'moderne' security zich tot elkaar verhouden. Temeer sinds ik kennis nam van de resultaten van het eerste jaarlijkse security management survey (december 2010). Dit onderzoek maakt duidelijk dat de waterscheiding tussen ICT-security en de aspecten die we van oudsher tot security rekenden compleet is. In een schamele 2% van de gevallen blijkt de security manager óók verantwoordelijk voor ICT-security. Dit impliceert dat ICT en meer klassieke vormen van beveiliging in 98% van de gevallen in mindere of meerdere mate losstaan. Een veelzeggende conclusie.
Kijk ik naar mijn eigen organisatie dan kan ik dit slechts beamen. ICT is letterlijk op verre afstand georganiseerd en wordt door een andere business group aangestuurd. ICT volgt bovendien een eigen agenda en boogt op volstrekt andere expertise. Kijk ik naar cultuuraspecten dan zie ik bovendien een volstrekt ander type medewerker met een andere opleiding, kennis, vaardigheden en ervaring. Tegelijkertijd moet ik constateren dat ICT-security momenteel dé 'security driver' van mijn organisatie is. Onze information security officer wint hierdoor aan prominentie en ICT-security standaarden worden meer en meer gemeengoed.
Duidelijk is ook dat de maatschappelijke aandacht voor 'cybersecurity' de komende jaren verder toeneemt. Een grote diversiteit aan dreigingen maakte dit het afgelopen jaar al duidelijk. Variërend van het grootschalige lekken van informatie (Wikileaks) tot 'Botnets' die zich niet laten uitschakelen tot het bewust ontwikkelen of in omloop brengen van virussen bedoeld om geautomatiseerde bedrijfsprocessen te stagneren ('Stux-net'). Vestigen we de aandacht op de 'daders' dan is er eveneens sprake van een rijke schakering. Van felle pleitbezorgers van informatievrijheid, tot individuele delinquenten, grensoverschrijdende georganiseerde criminele groepen en zelfs staten die hun conflicten steeds vaker ook virtueel uitvechten.
Merkbaar is tevens dat de autoriteiten cybersecurity steeds serieuzer nemen. Er wordt geïnvesteerd in opsporingscapaciteit en forensische expertise. Beleidsmakers buigen zich over een nationale 'cybersecurity' strategie. Internationale samenwerking wordt verder bevorderd, et cetera.
Tegen deze achtergrond is het niet de vraag of de klassieke security manager de spreekwoordelijke boot zal missen. Het beeld dringt zich eerder op dat de cruise al weken onderweg is terwijl wij nog nietsvermoedend met onze koffers op de kade staan. Temeer wanneer je bedenkt dat innovatie op het terrein van security wordt gedreven door ICT en zo steeds meer terrein wint van 'klassieke' security.
ICT wordt niet alleen bepalender voor onze werk-, denk- en leefwijzen, maar verandert deze ook fundamenteel. Dit vergt een complete herijking van bestaande securityconcepten. Willen we security integraal blijven benaderen, kunnen we niet anders dan snel toenadering zoeken en synergiekansen tussen 'klassiek' en 'modern' benutten. Sterker nog, dit is zelfs een vereiste om de veranderende dreigingen het hoofd te kunnen bieden. Doen we dit niet dan zal de wraak van de nerds voor het niet opletten zoet zijn. En nu weet ik natuurlijk niet hoe dat met u zit, maar mijn afgetrainde studentendame is mij daarvoor te dierbaar.
Colin T. is security manager bij een Nederlandse multinational. Aan de hand van de weerbarstige securitypraktijk van alledag geeft hij maandelijks zijn kijk op veiligheid.