‘Awareness’ mag geen alibi zijn voor brakke IT

In IT-blaadjes verschijnen voortdurend artikeltjes waarin wordt aangedrongen op meer cybersecurity bewustzijn bij de medewerkers.
Onlangs zag ik weer zo’n bericht op iBestuur, waarin bewustzijn met het akelige woord ‘awareness‘ wordt aangeduid. Terecht wordt het artikel begonnen met de opmerking dat veiligheid begint met techniek en organisatie. Vervolgens komt het bewustzijn-verhaal.

Intussen maak ik me zorgen over de kwaliteit van de IT en van de interfaces.

Brakke IT
Aan de techniek mankeert regelmatig het nodige. Zo heb ik nooit begrepen hoe de overheid een ‘DigiD’ bestaande uit een inlognaam en een wachtwoord kon invoeren voor vertrouwelijke persoonsgegevens. Een veilige vervanging is in voorbereiding.

De affaire ‘DigiNotar’ markeert een ernstig digitaal falen: de zogenaamde controleurs van het Big4 kantoor PWC keken bij hun IT-audit wel naar de organisatie maar niet naar de techniek. Zo konden onverlaten software compromitteren.

Bugs en rare interfaces
De huis-tuin-en-keuken IT binnen grote en kleine organisaties zit vol met fouten en rare bugs. Onoverzichtelijke en onlogische interfaces zijn aan de orde van de dag, zeker als het software is die is ontwikkeld voor een relatief kleine groep gebruikers. De gemiddelde gebruiker denkt ‘het doet het niet‘ en werkt er vervolgens omheen. Het onderscheid tussen bugs en onveilige situaties is dan niet te maken.

Onveilige communicatie
De praktijk is verder dat onveilige methoden niet worden bekend gemaakt. Zo weet niemand dat e-mail onveilig is en onderweg gelezen kan worden en dat ‘gratis’ services zoals Dropbox en WeTransfer niet gebruikt kunnen worden voor het uitwisselen van vertrouwelijke informatie.
Nog meer bizar is dat grote organisaties, zoals banken, voor communicatie met hun klanten gebruik maken van datagraaiende bedrijven zoals Facebook en Twitter.

Kortom: met awareness hoef je bij mij niet aan te komen zolang de IT zelf brak is.

PS De voorbeelden DigiD en DigiNotar komen uit de overheid, maar ik vermoed dat het in het bedrijfsleven er niet beter aan toe is.

Meer informatie:

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s