Tagarchief: dreigingen

Security Paradigma 2

Ook in deze blog een veranderend Security Paradigma over dreigingen versus kwetsbaarheden uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie hierover ook Paradigma 1).

Security Paradigma: Dreigingen versus Kwetsbaarheden

Het oude paradigma zegt dat de security manager vooral de dreigingen moet analyseren. Dus wie is de kwaadwillende, waar en wanneer zal die aanvallen, hoe zal het incident plaatsvinden en hoe waarschijnlijk is dat? De kwetsbaarheden in de beveiliging en het weerstandsvermogen van eigen organisatie worden onderbelicht. Te veel aandacht voor die kwetsbaarheden zouden immers het functioneren van de leiding en de security manager in een slecht daglicht kunnen zetten.

Daarom gaan veel dreigingsanalyses en risicoanalyses vooral over de ontwikkeling van de externe dreigingen en de veranderingen buiten de organisatie. Vaak wordt ook de ‘grote’ impact van security incidenten overmatig benadrukt. Tegelijkertijd worden de mogelijke tekortkomingen van de bestaande maatregelen onderbelicht. Evenmin is er aandacht voor dreigingen (en risico’s) die we als ‘calculated risk’ kunnen accepteren.

Het nieuwe paradigma legt de nadruk op het kennen en verminderen van de kwetsbaarheden van de eigen organisatie. Daar moet de meeste energie heengaan. Centraal staat de vraag of de kwetsbaarheden op een aanvaardbaar niveau zijn teruggebracht. Met een goed zicht op de kwetsbaarheden en mitigerende maatregelen die daarop zijn gericht, verminder de security manager de risico’s voor de organisatie; zelfs al zijn de dreigingen oppervlakkig of onevenwichtig ingeschat. En dat laatste komt nog al eens voor. De dreigingen etaleren zonder de eigen kwetsbaarheden te kennen, biedt geen soelaas en is een recept voor mislukking.

In de kwetsbaarheidsanalyses dient de security expert dus vooral de werking en de tekortkomingen van de organisatie te doorgronden. Daarbij zal hij naast de beveiligingsmaatregelen ook oog moeten hebben voor de cultuur en de management mores van de organisatie. De Security Management Systeem Norm 2017 kan daarbij een waardevol houvast bieden.

Deel deze pagina met anderen, thanks!