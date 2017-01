Het implementeren van een tech-investering die de oorzaak blijkt van een security-incident is voor 39 procent van de organisaties reden voor ontslag, zo stelt het rapport. Daarna volgt datadiefstal die bekend wordt bij het grote publiek. Andere zondes waren het beveiligingsbeleid niet moderniseren, het niet kunnen achterhalen waardoor een datadiefstal mogelijk was, datadiefstallen die niet openbaar bekend waren en als een investering in security blijkt te falen.

Gebrek aan budget

De belangrijkste reden dat een IT-beveiliger zijn of haar baan verliest, is als er niet aan compliance wordt voldaan en dat leidt tot een hoge boete. Van de ondervraagde bedrijven vond 68 procent dat reden voor ontslag. Niet alle van deze ontslagoorzaken is te wijten aan de werknemer. Als een vastberaden aanvaller de data per se wil bemachtigen, krijgt hij of zij dat vroeger of later te pakken.

Een van de problemen kan bijvoorbeeld zijn veroorzaakt door een gebrek aan budget voor bijvoorbeeld penetratietests. In het onderzoek geeft bijna een kwart van de respondenten aan 'altijd' of 'vaak' een meningsverschil te hebben over IT-beveiligingsbudget en personeel met C-level. Nog eens 46 procent gaf aan dat dit 'soms' het geval is.

Wipstoel

Maar uiteindelijk geldt dat als er een groot probleem is er iemand verantwoordelijk moet worden gehouden. "Daarom zit de CSO vaak op de wipstoel", zegt directeur Chris Schueler van Trustwave Holdings, die het onderzoek betaalde. "Dat is de plek die de zwartepiet krijgt toegespeeld."

Voor andere gevallen was het probleem te vermijden. Zo kent hij voorbeelden waarbij personeel backdoors toevoegde aan databases waarbij beveiligingsmiddelen werden omzeild, om zich het werk te vergemakkelijken. Vervolgens neemt een werknemer een laptop mee naar huis, speelt een kind ermee of klikt iemand anders op iets wat ervoor zorgt dat malware toegang krijgt tot het bedrijfsnetwerk. "Dit zijn echte praktijkvoorbeelden die ik vaak zie", zegt hij.

Onaantastbaar?

Bedrijven zien dit misschien als reden voor ontslag, maar gaan wellicht niet zo snel daadwerkelijk een ontslagprocedure in, vanwege de arbeidsmarkt. "Als je iemand ontslaat, krijg je te maken met een groot gat dat opeens gevuld moet worden", vertelt Schueler. "Het kan maanden duren om de geschikte persoon te vinden. Dan begin je je af te vragen: wil ik de huidige IT'er ontslaan? Hoe slecht is deze persoon nou eigenlijk?"

Mensen met zeldzame of bedrijfskritieke security-vaardigheden krijgen aan de andere kant wellicht het idee dat ze sowieso goed zitten omdat ze onmisbaar zijn. "Ik heb dit zelf meegemaakt en zie het bij klanten", zegt Schueler. "Ik praat met securityteams en we denken soms: 'Wauw, dat je die persoon nog steeds bij jullie werkt - die is waardeloos'."

Denk erbij aan dat een gebrek aan werkelijk security-talent de kans op datadiefstal reëel hoger maakt, simpelweg omdat je niet de juiste mensen hebt voor implementatie, monitoring of het reageren op een incident.