Hoe data je security-beleid 180 graden kan veranderen

Zelfrijdende auto

Security was er lange tijd vooral op gericht om de vijand buiten te houden. Maar met nieuwe technologie komen ook nieuwe uitdagingen. Zoals: wat als we risico’s écht leren voorspellen?

‘Excuus voor het cliché, maar de vergelijking met auto’s is nog steeds verhelderend’, zegt Kees Plas, Director Deloitte. ‘Als je het dan over veiligheid hebt, ging het daarbij voorheen altijd om zaken als gordels, airbags, rolbeugels en crashtest ratings. Maar nu komen er zelfrijdende auto’s. Dat roept weer heel nieuwe security-vraagstukken op. De AI-technologie in die auto schat continu risico’s in. Maar op basis van welke risico’s maakt hij welke beslissingen? Wie checkt nou of die beslissingen kloppen? Op basis van welke informatie, en is dat wel juist wat die auto doet? Dat vereist een heel nieuw denken over het begrip security.’

Als hoofd van het Risk Solutions-team bij Deloitte helpt Kees Plas zijn klanten dagelijks met het inschatten van risico’s. ‘Een breed concept’, zegt hij. Van IT-risico’s tot frauderende werknemers en de betrouwbaarheid van data, systemen en machines: het onderwerp security raakt eigenlijk elk onderdeel van het bedrijfsproces. 

De CIA-driehoek

Traditioneel gaat het daarbij om de zogeheten ‘CIA-triangle’ (confidentiality, integrity en availability), in het Nederlands de BIV- driehoek genoemd: beschikbaarheid, integriteit (=betrouwbaarheid) en vertrouwelijkheid (=exclusiviteit). 

Bij het begrip beschikbaarheid gaat het dan bijvoorbeeld om uitvaltijden, storingen en incidenten. Bij integriteit gaat het erom of de informatie actueel, correct, juist, volledig en geautoriseerd is. Bij het laatste begrip, vertrouwelijkheid, hoort bijvoorbeeld een begrip als privacybescherming, maar ook de exclusiviteit van informatie, wachtwoordbeveiliging en het voorkomen van datalekken.

Beheerst vooruit

Het is een nuttige indeling, stelt Plas, maar het is volgens hem ook een indeling die tegenwoordig wel wat uitbreiding kan gebruiken. Zeker gezien de snelle ontwikkeling van autonome systemen. 

‘Ik kom bijvoorbeeld net uit een sessie rondom Artificial Intelligence, georganiseerd door Deloitte collega’s. Daar werd onder meer een voorbeeld over gezichtsherkenning besproken. Op de luchthaven werd er al mee getest door mensen voor een camera te laten staan in plaats van om hun paspoort te vragen. Daarbij gaat het er natuurlijk om dat je niemand wil doorlaten die dat niet mag, en dat je ook niet wil dat de machine het verkeerd ziet. Maar je moet ook nadenken over vragen als: waar gebruikt men die gegevens nog meer voor? Wie hebben er toegang toe? En wat als die gegevens op straat komen te liggen? Wat als het systeem gehackt wordt?’

Hij wil maar zeggen: security gaat ook steeds meer om ethische, compliance en safety-vraagstukken. ‘Je moet beheerst vooruit’, noemt hij dat. ‘Eerst wordt ergens iets uitgevonden, en vervolgens kijk je: is het wel veilig? En daarna: kan het eigenlijk wel? En dan: willen we dit eigenlijk wel? Wat betekent zo’n nieuwe functionaliteit precies? Dat is steeds belangrijker aan het worden in het hele security-denken.’

Predict, prevent, detect en recover

En daar komt nog eens bij dat AI ervoor zorgt dat security ook veel voorspellender wordt. Als apparaten zelf gaan weten wanneer ze aan onderhoud toe zijn, komt er een heel nieuw denken rondom security op, zegt Plas. ‘Vroeger gingen we uit van de trits prevent, detect en recover, nu komt daar predict nog voor. De essentie is: hoe meer je weet, hoe meer weloverwogen je mitigerende maatregelen kunt nemen. Hoe meer data je hebt, hoe beter voorbereid je bent, hoe beter je met risico’s kunt omgaan.’ Pas op, waarschuwt hij, want hier komt het volgende cliché: een scheepsanalogie dit keer. ‘Maar hoe beter je je risico’s onder controle hebt, hoe scherper je aan de wind kunt varen.’

En dat behelst dus veel meer dan alleen een IT-vraagstuk. ‘Het gaat allang niet meer alleen om bijvoorbeeld het installeren van een firewall of IDS, een intrusion detection systeem, om te voorkomen dat in je systeem wordt ingebroken’, zegt Plas. 

Kortom, concludeert hij: security is nu echt een businessvraagstuk geworden, waar iedereen mee te maken heeft. ‘Het is vooral dat vraagstuk waar wij bedrijven mee proberen te helpen. Wat zijn wel aanvaardbare risico’s? En wat niet? Alles dichttimmeren gaat niet, en moet je ook niet willen, want dan kom je niet meer vooruit. Maar omgedraaid geldt wel: hoe beter je je risico’s kent en monitort, hoe meer vooruitgang je kunt boeken.’

Dit artikel werd geschreven in samenwerking met Deloitte

Lees ook: 8 stappen om je securitybeleid naar het volgende niveau te brengen