Vertrouw je je virusscanner?

Vandaag las ik een (on)verwacht nieuwsbericht over het vertrouwen in virusscanners. Het bericht stelt dat veel mensen hun antivirussoftware de beste bescherming vinden tegen de risico’s van internetgebruik. En dat is onterecht vindt het artikel. Dat vind ik zelf overigens ook ;-).

Dat wordt verteld dat een virusscanner alleen niet voldoende is, is natuurlijk goed nieuws voor fabrikanten van security-oplossingen die dit al langer weten. Maar de vraag is dan: wat moet je binnen je bedrijf nog meer doen dan alleen die virusscanner installeren? Daar zegt het artikel niet veel over.

Deze vraag is ook lastig te beantwoorden, want veel bedrijven hebben eigenlijk geen idee wat nou precies de risico’s zijn die ze lopen. Laat staan dat ze weten wat de juiste maatregelen zijn om die risico’s te beheersen. Maar dát er meer nodig is dan alleen een virusscanner, moge duidelijk zijn. Niemand wil (te) slecht beveiligd zijn, maar aan de andere kant ook geen overbodige maatregelen nemen en daarmee te veel geld uitgeven. En dan is “niets doen” een veel gekozen strategie.

Het is waarschijnlijk niet verrassend, maar een passend niveau van beveiliging bereik je door een combinatie van maatregelen. Niet alleen technische maatregelen, maar ook organisatorische maatregelen (mensen/processen/techniek). En het is belangrijk dat deze maatregelen onder controle zijn. Helaas bestaat er nog geen koop-dit-product-want-dan-ben-je-veilig-oplossing. En tot die tijd ben je genoodzaakt goed over de risico’s na te denken.

Daarom: vertrouwen op je virusscanner is goed, maar goed en gestructureerd risicomanagement is beter!