Herpak de regie op security

Verizon

4 april 2023

Eind 2022 is de nieuwe security-richtlijn NIS2 uitgevaardigd. De lidstaten van de Europese Unie hebben nu zo’n anderhalf jaar de tijd de fors aangescherpte regels in nationale wetgeving te verankeren. Als bestuurder moet je je ervan bewust zijn dat er meer inspanningen worden verlangd. Wat ook opvalt, is dat directieleden nu aansprakelijk zijn wanneer zij nalatig zijn met hun cybersecurity. Dat betekent dat je als bestuurder de regie moet pakken en reactief beleid moet omzetten in proactief securitybeleid.
 
Het beschermen van je organisatie tegen cyberaanvallen wordt een steeds grotere uitdaging. Er zijn verschillende factoren die een goede digitale verdediging moeilijker dan ooit maken. Het dreigingslandschap evolueert bijvoorbeeld voortdurend. Aanvallers gebruiken geautomatiseerde methoden en kunstmatige intelligentie om statische beveiligingsmaatregelen te omzeilen. Cyberaanvallers gaan met hun tijd mee en zetten tools als ChatGPT in om phishing mails nog verder te verfijnen. Daar komt bij dat door de migratie naar de cloud, het uitrollen van Internet of Things-oplossingen en de uitrol van 5G het aanvalsoppervlak van organisaties exponentieel is gegroeid.
 

Een reactieve aanpak leidt tot chaos

Security-experts worden dus geacht verstand te hebben van dit soort ontwikkelingen, terwijl zij eigenlijk al hun tijd kwijt zijn om ervoor te zorgen dat ze de nieuwste beveiligingstrends bijhouden. We moeten dan ook constateren dat er weinig tot geen tijd over blijft om proactief te werk te gaan en volledige paniek te voorkomen bij een incident. Een reactieve aanpak leidt niet alleen tot meer chaos. Het zal uiteindelijk leiden tot het opbranden van je security-professionals, die al zo hard werken en die toch al zo schaars zijn.
 

Kwetsbare organisatie

Dat is geen fijne boodschap, wanneer je als bestuurder net geleerd hebt dat je aansprakelijk bent onder de NIS2 voor tekortkomingen in het securitybeleid. Werken de beveiligingstools, de security frameworks (NIST, ISO 2700x of zero trust) dan niet adequaat, vraag je je af. Deze tools helpen organisaties wel degelijk om hun security-beleid te definiëren. In te veel gevallen worden echter controles en procedures geïmplementeerd, maar vervolgens vergeten. Processen worden gecreëerd, maar medewerkers blijven doen wat ze al eeuwen doen. Beveiligingstools worden geïnstalleerd, maar niet up-to-date gehouden, met instellingen die een organisatie net zo kwetsbaar maken als voor hun introductie.
 

Applicaties op een zwarte lijst

Zo zijn organisaties niet alleen kwetsbaar voor cyberaanvallers, maar ook in hun bedrijfsvoering. Gebruikers kunnen vereiste applicaties niet op de lijst krijgen met goedgekeurde programmatuur en e-mails komen niet door vanwege op de zwarte lijst geplaatste IP-adressen of verouderde filters. Dit zijn voorbeelden van omissies in securitybeleid die een negatieve invloed hebben op hoe een organisatie aankijkt tegen security. Security wordt gezien als een sta-in-de-weg in plaats van als een business enabler.
 

Slim outsourcen

We snappen dat je als organisatie deze uitdaging niet kan oplossen door een blik experts open te trekken, als die er al zouden zijn. Er is gewoonweg niet het budget om voor elke afzonderlijke beveiligingstechnologie de juiste mensen in huis te halen. Daar komt bij: één persoon kan maar zoveel technologieën beheersen. De sleutel ligt bij het slim automatiseren van securityprocedures en het zoeken van samenwerking met strategische security partners. Zeker de inrichting van een security operations center (SOC), dat erg veel resources opslokt, zal in de komende jaren veelvuldig worden uitbesteed. Volgens Gartner zal tegen 2025 negentig procent van de SOC’s in de G2000 een hybride model gebruiken door ten minste de helft van de operationele werklast uit te besteden.
 

Continuïteit van de organisatie

Uitbesteden betekent niet dat je de controle verliest over de verantwoordelijkheid om een organisatie veilig te houden. Dat is immers iets waar je als bestuurder bovenop wil blijven zitten. Er zijn beveiligingsfuncties die volledig buiten de organisatie kunnen worden uitgevoerd, maar veel daarvan hebben nauwe interactie en controle nodig.

Voor deze gevallen moeten organisaties op zoek naar een partner die kan helpen bij het bouwen van een strak geïntegreerd hybride model. Sommige organisaties hebben bijvoorbeeld een beperkt aantal interne middelen die gericht zijn op de kwaliteit van de aanwezige beveiligingsoplossingen en het waarborgen van controle. Het routinematige werk en de dagelijkse werkzaamheden worden overgelaten aan beveiligingsdienstverleners, die indien nodig ook deskundige hulp kunnen bieden. Op deze manier kun je interne middelen concentreren op de interne business.
 
Wees dus niet bevreesd voor de naderende NIS2; grijp deze kans aan om de regie op security terug te pakken. Versterk de digitale weerbaarheid en leg daarmee ook de basis voor de continuïteit van de organisatie.

Gerelateerde artikelen

Zero trust: hoe maak ik het concreet?

Zero trust: hoe maak ik het concreet?

Jaarlijks zijn er tal van onderzoek- en adviesbureaus met allerlei overzichten van strategische trends in IT en cybersecurity. Steevast is zero trust onderdeel van deze lijstjes, met over het algemeen een toelichting in de trant van ‘vertrouw niets zomaar, maar verifieer. Maar wat moet je hier nu concreet mee als CIO, CISO of IT-manager?

Revolutioneren van stedelijke ontwikkeling met digitaal data-ecosysteem

Revolutioneren van stedelijke ontwikkeling met digitaal data-ecosysteem

Future Insight creëert innovatieve digitale oplossingen voor stadsplanning en -ontwikkeling. Het bedrijf wilde echter meer doen om smart cities te bevorderen door toegang te bieden tot veilige en eerlijk verkregen gegevens. Via Levi9 heeft Future Insight toegang gekregen tot deskundigheid bij productontwikkeling en de bundeling van gegevens.

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Meer dan een derde van alle Nederlandse bedrijven zakte vorig jaar voor hun compliance-audit. Daardoor lopen ze een tien keer grotere kans op een datalek. Tien procent werd in 2023 slachtoffer van een ransomware-aanval. Van al die bedrijven betaalde vier procent losgeld. Dat stelt Thales in zijn meest recente Data Threat Report.