Informatieveiligheid van bedrijven helpen verbeteren

[Mike Bruin]

Omschrijving van je concept:

Het concept bestaat uit een aantal delen die de verschillende facetten van informatieveiligheid en informatiebeveiliging behandelen. De hoofddienst is het helpen verbeteren van de beveiliging van informatie binnen bedrijven. Dit gebeurt op een aantal manieren, van een scan op kwetsbaarheden tot een volledige "penetration test". Er zijn verschillende pakketten die gekozen kunnen gaan worden voor een penetration test, dit gaat dan met name over bijvoorbeeld hoeveel informatie een aanvaller van te voren heeft, of het menselijke element ook getest mag worden (Phishing en dergelijke) en of er ook fysieke beveiliging getest mag worden (RFID deuren, slechte sloten, slechte procedure met afsluiten en dergelijke). Daarnaast wil ik ook workshops IT-veiligheid op locatie aanbieden. Deze workshops zullen bestaan uit een door demonstraties ondersteunde presentatie, met als doel werknemers bewuster maken van de risico's die ze nemen rondom het gebruik van informatie technologie. De doelgroep die ik voor ogen heb zijn kleine en middelgrote bedrijven, tot ongeveer 60 werknemers. (Deze groep is houdbaar voor een enkele hacker in een redelijke tijd, denk aan 3 tot 5 dagen). Bij groei kan deze doelgroep altijd bijgesteld worden, en mijn persoonlijke ambitie is om te groeien tot een bedrijf wat in staat is of zelfs gespecialiseerd is in beveiliging van de zogenaamde SCADA-installaties (Supervisory control and data acquisition, gevonden in alles van chemische fabrieken en andere productiefaciliteiten tot kerncentrales en andere infrastructuur zoals waterzuivering of riolering en dergelijke).

 

Omschrijf wat je tot nu toe zelf gedaan hebt hiervoor:

Naast het vergaren en verbeteren van mijn technische kennis, onder andere met het OSCP certificaat waar ik nu mee bezig ben, heb ik de afgelopen tijd veel energie gestoken in het leren van het ondernemersvak. Boekhouding, rechtsvormen, al die basisdingen. Verder Ben ik bezig met het schrijven van een ondernemersplan, en heb ik een maand geleden de kvk startersdagen bezocht.

 

Wat is de uitdaging die je met je concept op wil lossen:

De beveiliging van informatie is vaak slecht of niet aanwezig, doordat er weinig bekendheid is met de methodologie van aanvallers. Daarnaast is er vaak weinig kennis over ICT in het algemeen bij de werknemers van bedrijven, waardoor een eventueel wel aanwezige beveiliging vaak redelijk gemakkelijk te omzeilen is.

 

Hoe is dit anders dan bestaande concepten:

Mijn bedrijf werkt vanuit het perspectief van de aanvaller (het zogenaamde red-team perspectief). Daarnaast biedt het de mogelijkheid om ook de menselijke factor en de fysieke beveiliging te testen. Ook werkt mijn bedrijf vanuit het technische naar het organisatorische, in plaats van andersom. Dit resulteert in rapporten waar de technici/ICT'ers uit het bedrijf écht iets aan hebben, met een executive summary die begrijpelijk is voor iedereen uit het bedrijf.

 

Wat voor feedback hoop je te krijgen:

Alles wat jullie opvalt of waar vragen over zijn is natuurlijk welkom. Een nieuw perspectief is zinvol om het idee te verfijnen en waar nodig aan te passen. Specifiek zou ik graag jullie feedback op het concept hebben. Is dit iets waarvan de behoefte gevoeld wordt door managers, of staat dit laag op het prioriteitenlijstje? Is er budget voor dit soort (toch vrij dure) diensten in bedrijven, of vereist het meer marketing en overtuiging van mijn kant dat mijn dienst toch écht nodig is?

 

 

[Branko Collin]

Wat heb je aan marktonderzoek gedaan?

[Ron van der Kolk]

De hoofddienst is het helpen verbeteren van de beveiliging van informatie binnen bedrijven. Dit gebeurt op een aantal manieren, van een scan op kwetsbaarheden tot een volledige "penetration test".

(...)

Daarnaast wil ik ook workshops IT-veiligheid op locatie aanbieden.

Ik snap niet waarom je dit ziet als een vernieuwend concept. Er zijn toch talloze bedrijven en bedrijfjes die dit aanbieden?

 

De doelgroep die ik voor ogen heb zijn kleine en middelgrote bedrijven, tot ongeveer 60 werknemers. (Deze groep is houdbaar voor een enkele hacker in een redelijke tijd, denk aan 3 tot 5 dagen).

Denk je dat zulke kleine bedrijven jou kunnen en willen betalen? Ik vrees dat informatiebeveiliging in die sector geen prioriteit heeft en er ook geen budget voor is. De link tussen organisatiegrootte en houdbaarheid voor hackers ontgaat me trouwens, ik vraag me af of dit zo te stellen is.

 

Is dit iets waarvan de behoefte gevoeld wordt door managers, of staat dit laag op het prioriteitenlijstje?

Waarom zou een manager geld uitgeven om aan te (laten) tonen dat er iets onder zijn verantwoordelijkheid niet deugt? Daar scoort een manager namelijk niet mee. Als het jou (als beginnend eenpitter) niet lukt om de boel te hacken, dat zegt dat ook niet dat het veilig is, dus daar scoort die manager ook niet mee. Wat is dan jouw meerwaarde?

 

Ikzelf onderschrijf het belang van informatiebeveiliging (of beter nog: gegevensbescherming, dat voor 80% bestaat uit menselijk gedrag en voor 20% uit techniek), maar het mitigeren van risico's heeft zelden prioriteit; in de meeste organisaties is men vooral druk met het blussen van de brandjes van alledag. Zelf als ze het belangrijk zouden vinden, komen ze er niet eens aan toe.

 

Ook werkt mijn bedrijf vanuit het technische naar het organisatorische, in plaats van andersom.

De portemonnee bij de opdrachtgevers ligt echter bij het management, niet bij de techneuten. Start je bij de techniek omdat je dat zelf leuker vindt of omdat je denkt dat potentiële opdrachtgevers daar behoefte aan hebben?

 

Is er budget voor dit soort (toch vrij dure) diensten in bedrijven, of vereist het meer marketing en overtuiging van mijn kant dat mijn dienst toch écht nodig is?

Je kunt proberen een nieuwe markt te creëren voor een bestaande dienst, maar het is makkelijker om een nieuwe dienst te creëren voor een bestaande markt.

 

Jij vindt je dienst echt nodig, maar de vraag is of potentiële opdrachtgevers dat ook vinden. En daarna: of potentiële opdrachtgevers er ook echt de knip voor gaan trekken. De kloof tussen houding en gedrag moet je niet vergeten. De kern van het noodzakelijke marktonderzoek zou dan ook niet moeten zijn "Vindt u het ook zo belangrijk?" maar "Gaat u er mij voor betalen?".

[Norbert Bakker]

Omschrijving van je concept:

en mijn persoonlijke ambitie is om te groeien tot een bedrijf wat in staat is of zelfs gespecialiseerd is in beveiliging van de zogenaamde SCADA-installaties (Supervisory control and data acquisition, gevonden in alles van chemische fabrieken en andere productiefaciliteiten tot kerncentrales en andere infrastructuur zoals waterzuivering of riolering en dergelijke).

 

Mooie ambitie, maar voor SCADA(en/of ICS) dan zul je wel de masteropleiding Register EDP Auditor met goed gevolg voor moeten afleggen. De lat ligt hoog!

 

De kern van het noodzakelijke marktonderzoek zou dan ook niet moeten zijn "Vindt u het ook zo belangrijk?" maar "Gaat u er mij voor betalen?".

Of gaat een ander het (deels) voor u betalen? Denk bijvoorbeeld aan Datarisk-verzekeraars, of een webwinkel keurmerk o.i.d.

 

[LiGuido]

Ik ben heel erg benieuwd naar het martekingplan. Bedrijven worden meestal pas zenuwachtig als het daadwerkelijk is misgegaan, maar dat forceren is dan weer helaas niet toegestaan.

 

Misschien kan je iets verzinnen als in: Mag ik het testen, als ik een lek vindt gaat de teller pas lopen...

[Mike Bruin]

Hartelijk dank voor al jullie berichten! Duidelijke en degelijke tips.

 

Aan jullie reacties te horen zal een van de grote uitdagingen het overtuigen van (potentiële) klanten zijn. Een degelijk marketing plan zal mij hierbij hlepen, en ideeën waarbij je inderdaad op een no-cure no-pay regeling (of iets wat daarop lijkt) werkt zouden bij kunnen dragen aan het verwerven van klanten.

 

Scada is inderdaad een lange termijn doel. Voorlopig is het doel een bedrijf opbouwen dat kan blijven bestaan. Daarna groei proberen te realiseren en uiteindelijk richting scada audits werken.