Bestuurlijke kijk op cybersecurity bij NS

Redactie

5 april 2022

Cyberdreigingen kunnen zich bij NS op diverse plaatsen voordoen: treinen, stations, werkplaatsen, datacenters, websites, mobiele apps en in de keten. Het draait volgens CISO Dimitri van Zantvliet vooral om het in kaart brengen van de risico’s en de reactie op het dreigingslandschap. Hij vertelt erover tijdens een excluisive rondetafelbijeenkomst op 19 mei in Amsterdam.

Het analyseren van deze risico’s gebeurt niet eenmalig maar periodiek op structurele wijze en desgewenst tussentijds bij acute dreigingen. Daarna worden deze middels een overkoepelende NS cybersecurity-roadmap gemitigeerd. De voortgang hierop wordt periodiek gerapporteerd aan de Raad van Bestuur.

Van Zantvliet: “Als aanbieder van een voor het land essentiële dienst maakt NS op bestuursniveau voortdurend de afweging welke risico’s ze wil vermijden, en waar een zekere ‘risk appetite’ voor NS opportuun is. Cybersecurity is een van de verschillende risicogebieden en de jongste loot aan deze stam.”

Kans X impact

Cybersecurity is bij NS een onderwerp dat risk-based wordt geadresseerd. Risico’s zoals ransomware, kwetsbare applicaties, insider threats enzovoorts worden altijd vertaald naar de kans X impact op de dienstverlening en maatschappelijke rol. Ook wordt vanuit die invalshoek gekeken naar eventuele zwakke schakels in de supply chain en bij partners – bijvoorbeeld in het geval van digitale assets in de cloud of in het geval van ketenmobiliteit.

Vervolgens wordt de vertaling gemaakt naar specifieke security-oplossingen voor systemen, infrastructuur, gekoppelde devices, laptops en andere end-points. Uiteraard op basis van alle gangbare en relevante security-frameworks.

Vragen en discussie

De beveiliging van al deze assets is bij NS dus onderdeel van een bredere, vanuit het bestuur gedragen visie op cybersecurity. Eventuele bottom-up initiatieven en oplossingen dienen daarmee volgens CISO Dimitri van Zantvliet in lijn te zijn. Tijdens de exclusieve rondetafelbijeenkomst op 19 mei zal hij hierover vertellen. Uiteraard is er ruimte voor vragen en discussie. Deze sessie wordt mede gehost door Tanium.

 

Gerelateerde artikelen

De do’s en don’ts van security awareness

De do’s en don’ts van security awareness

Security awareness is een bloedserieuze zaak. Maar het moet wél leuk blijven. Gelukkig nemen veel organisaties training van hun medewerkers serieus. Maar daarmee ben je er nog niet. Jelle Wieringa over de belangrijkste dingen die je moet doen (en laten) voor een succesvolle aanpak.

Digitale kwetsbaarheid in de keten

Digitale kwetsbaarheid in de keten

Het DBIR van Verizon is ieder jaar weer een bonte verzameling feiten en trends op het gebied van security. Van jaar op jaar zie je doorgaans weinig grote trendbreuken. Dat was dit jaar anders. Het aantal inbreuken of security-incidenten waarbij een ketenpartner betrokken is, nam schrikbarend toe. Waardoor komt dit en wat kun je ertegen doen?

Digitale transformatie? Wat dacht je van een security transformatie?

Digitale transformatie? Wat dacht je van een security transformatie?

In hun haast om de snelle veranderingen bij te houden en competitief en relevant te blijven door processen te transformeren, verwaarlozen veel organisaties een belangrijk onderdeel van digitale transformatie: een sterk cyberbeveiligingsprogramma dat hen tegen de nieuwste bedreigingen verdedigt.