Hans Barendregt - Verkoop en Marketing Directeur ICT Concept: Functionaliteit en continuïteit zijn de twee belangrijkste eisen die juridische professionals doorgaans stellen aan hun ICT-infrastructuur. De belangrijkste vereiste voor een professionele ICT-structuur; veiligheid, wordt echter vaak over het hoofd gezien of ondergewaardeerd. De aard van de werkzaamheden van juridische kantoren en de hoeveelheid –vertrouwelijke– data waarover de jurist beschikt, maakt beveiliging van deze data cruciaal. Maar hoe beoordeelt de jurist de veiligheid van zijn ICT? In wiens handen ofwel verantwoordelijkheid ligt dit onmisbare stuk van uw bedrijfsvoering?
Onnodig te vermelden dat de huidige trends op ICT-gebied (werken in de Cloud, het delen van data met stakeholders, klantenportals en online softwarepakketten) meer kennis en expertise van uw ICT-partner vergt. De informatiebehoefte is aan verandering onderhevig en ook de manier waarop informatie wordt gedeeld, bewerkt, gebruikt en gedocumenteerd vernieuwd zich voortdurend. Met, bijvoorbeeld, thuiswerken, gebruik van tablets en smartphones en onderweg inloggen heeft u te maken met nieuwe vraagstukken en compleet andere beveiligingproblematieken.
Inzicht in de huidige risico’s die u loopt.
Om uw ICT-infrastructuur optimaal te kunnen beveiligen, is het van belang inzicht te hebben in de risico’s die u loopt. Deze risico’s gaan verder dan eventueel gevaar van oneigenlijk toegang tot of zelfs gebruik van uw data, of hacking, virussen en malware. Zelfs als uw ICT-omgeving volledig is ingericht en naar wens functioneert, is het raadzaam periodiek een professionele scan van uw IT infrastructuur uit te laten voeren. Een dergelijke ‘Security Scan’ geeft niet alleen u een goed inzicht in de risico’s en eventuele ‘beveiligingslekken’ in uw computernetwerk, zowel van binnenuit als van buitenaf, maar maakt de dialoog met uw cliënten op dit punt ook een stuk eenvoudiger. Wellicht heeft het zelfs marketingwaarde. Een dergelijke scan dient altijd uitgevoerd te worden door een onafhankelijke partij. Op deze manier krijgt u immers een helder en objectief beeld van de technische veiligheid van uw netwerk en de aandachtspunten. Denk daarbij aan gereguleerde toegang tot data en infrastructuur, social engineering, proactieve preventie maar ook dataleakage en gebruikersmonitoring. De bevindingen van zo’n onderzoek, bijvoorbeeld de Security Scan, worden u in een uitgebreide rapportage ter beschikking gesteld, veelal met adviezen op maat ter verbetering of aanpassing/aanvulling. Deze technische rapportages spreekt u vervolgens in detail door met uw ICT-specialist. Resultaat: u heeft inzicht in de technische risico’s die u op dit moment loopt en u heeft met de bijbehorende rapportage door de onafhankelijke specialist een tool in handen om uw veiligheidsniveau te verbeteren dan wel de gemaakte afspraken met uw IT-partner onder de loep te nemen. Een mooi begin zogezegd.
Gevaren van binnenuit en van buitenaf.
Maar…..de Security Scan geeft vooral inzicht in de technische veiligheid van uw ICT-infrastructuur. Veiligheid reikt echter veel verder. Denk aan aspecten die invloed hebben op uw bedrijfsnetwerk en documentatie die buiten de reikwijdte van uw ICT liggen. De zwakste schakel is nog steeds degene die tussen het beeldscherm en de bureaustoel zit: de mens. Een technische analyse is in dat opzicht zeer nuttig, echter door zijn focus tevens beperkt. Daarnaast is er onderscheid tussen risico’s die u loopt in de zin van waarschijnlijkheid en impact. Een ‘Risicoanalyse’ geeft een bijzonder nuttig inzicht in de procesmatige veiligheid van uw juridische kantoor. In een Risicoanalyse wordt een inschatting gemaakt van (1) de grootte van risico’s, (2) de waarschijnlijkheid plus (3) de eventuele impact op uw organisatie. De risicoanalyse gaat onder andere ook in op relevante omgevingsfactoren en procesmatige vraagstukken. Wat doet u in het geval van diefstal, verlies of overtredingen? Wat is de procedure bij uitval van uw installaties? Hoe waarborgt u de beveiliging van uw data bij ontslag of reorganisatie? Of in het geval van moedwillig menselijk handelen? U kunt zich voorstellen dat een analyse van deze aspecten een veel breder beeld geeft van de daadwerkelijke veiligheid van uw netwerk. In de juridische sector is de Risicoanalyse inmiddels een vast onderdeel van beveiligingscontroles van de ICT-infrastructuur.
De Risicoanalyse maakt niet alleen inzichtelijk hoe het gesteld is met de procesmatige beveiliging van uw juridische kantoor, maar geeft ook praktische oplossingen voor de geanalyseerde risico’s.
Van ondermaatse beveiliging naar optimale security.
Voor zowel de Security Scan als de Risicoanalyse geldt dat een eenmalige analyse weliswaar een heel goed begin is, maar toch slechts een momentopname. Security vereist meer dan een momentopname. Staat veiligheid op uw agenda –en voor welk professioneel juridische kantoor geldt dat niet– dan dienen eisen omtrent terugkerende onafhankelijke Security Scans en Risicoanalyses opgenomen te worden in de afspraken die u maakt met uw ICT-partner. Nogmaals, in sectoren waar veiligheid kernthema is, zijn afspraken voor structurele en periodieke scans en analyses aan de orde van de dag. Een professionele ICT-partner zal niet terugdeinzen voor dergelijke afspraken. Neem ze daarom op in uw contract of vraag uw specialist ernaar.
Herkent ú de signalen van oppervlakkige beveiliging? Bent u bekend met de gevaren en risico’s? Vanzelfsprekend niet! Daarvoor vertrouwt u op uw ICT-specialist. Terecht? Laat het onderzoeken! Stel concrete eisen aan zowel de technische beveiliging als procesmatige en organisatorische beveiliging van uw netwerk, maak afspraken met uw ICT-specialist over periodieke controles en kies, indien nodig, een ICT-specialist die u hier op professionele wijze in begeleidt. U beveiligt niet alleen uw vertrouwelijke data op professionele wijze. U stelt uw vertrouwen ook niet langer in oppervlakkige, ondermaatse beveiliging die voor geen enkele professioneel juridische kantoor uitkomst biedt. Want u bent niet gebaat bij oppervlakkige beveiliging; uw cliënten zeer zeker niet!
