Eind 2022 is de nieuwe security-richtlijn NIS2 uitgevaardigd. De lidstaten van de Europese Unie hebben nu zo’n anderhalf jaar de tijd de fors aangescherpte regels in nationale wetgeving te verankeren. Als bestuurder moet je je ervan bewust zijn dat er meer inspanningen worden verlangd. Wat ook opvalt, is dat directieleden nu aansprakelijk zijn wanneer zij nalatig zijn met hun cybersecurity. Dat betekent dat je als bestuurder de regie moet pakken en reactief beleid moet omzetten in proactief securitybeleid.
 
Het beschermen van je organisatie tegen cyberaanvallen wordt een steeds grotere uitdaging. Er zijn verschillende factoren die een goede digitale verdediging moeilijker dan ooit maken. Het dreigingslandschap evolueert bijvoorbeeld voortdurend. Aanvallers gebruiken geautomatiseerde methoden en kunstmatige intelligentie om statische beveiligingsmaatregelen te omzeilen. Cyberaanvallers gaan met hun tijd mee en zetten tools als ChatGPT in om phishing mails nog verder te verfijnen. Daar komt bij dat door de migratie naar de cloud, het uitrollen van Internet of Things-oplossingen en de uitrol van 5G het aanvalsoppervlak van organisaties exponentieel is gegroeid.
 

Een reactieve aanpak leidt tot chaos

Security-experts worden dus geacht verstand te hebben van dit soort ontwikkelingen, terwijl zij eigenlijk al hun tijd kwijt zijn om ervoor te zorgen dat ze de nieuwste beveiligingstrends bijhouden. We moeten dan ook constateren dat er weinig tot geen tijd over blijft om proactief te werk te gaan en volledige paniek te voorkomen bij een incident. Een reactieve aanpak leidt niet alleen tot meer chaos. Het zal uiteindelijk leiden tot het opbranden van je security-professionals, die al zo hard werken en die toch al zo schaars zijn.
 

Kwetsbare organisatie

Dat is geen fijne boodschap, wanneer je als bestuurder net geleerd hebt dat je aansprakelijk bent onder de NIS2 voor tekortkomingen in het securitybeleid. Werken de beveiligingstools, de security frameworks (NIST, ISO 2700x of zero trust) dan niet adequaat, vraag je je af. Deze tools helpen organisaties wel degelijk om hun security-beleid te definiëren. In te veel gevallen worden echter controles en procedures geïmplementeerd, maar vervolgens vergeten. Processen worden gecreëerd, maar medewerkers blijven doen wat ze al eeuwen doen. Beveiligingstools worden geïnstalleerd, maar niet up-to-date gehouden, met instellingen die een organisatie net zo kwetsbaar maken als voor hun introductie.
 

Applicaties op een zwarte lijst

Zo zijn organisaties niet alleen kwetsbaar voor cyberaanvallers, maar ook in hun bedrijfsvoering. Gebruikers kunnen vereiste applicaties niet op de lijst krijgen met goedgekeurde programmatuur en e-mails komen niet door vanwege op de zwarte lijst geplaatste IP-adressen of verouderde filters. Dit zijn voorbeelden van omissies in securitybeleid die een negatieve invloed hebben op hoe een organisatie aankijkt tegen security. Security wordt gezien als een sta-in-de-weg in plaats van als een business enabler.
 

Slim outsourcen

We snappen dat je als organisatie deze uitdaging niet kan oplossen door een blik experts open te trekken, als die er al zouden zijn. Er is gewoonweg niet het budget om voor elke afzonderlijke beveiligingstechnologie de juiste mensen in huis te halen. Daar komt bij: één persoon kan maar zoveel technologieën beheersen. De sleutel ligt bij het slim automatiseren van securityprocedures en het zoeken van samenwerking met strategische security partners. Zeker de inrichting van een security operations center (SOC), dat erg veel resources opslokt, zal in de komende jaren veelvuldig worden uitbesteed. Volgens Gartner zal tegen 2025 negentig procent van de SOC’s in de G2000 een hybride model gebruiken door ten minste de helft van de operationele werklast uit te besteden.
 

Continuïteit van de organisatie

Uitbesteden betekent niet dat je de controle verliest over de verantwoordelijkheid om een organisatie veilig te houden. Dat is immers iets waar je als bestuurder bovenop wil blijven zitten. Er zijn beveiligingsfuncties die volledig buiten de organisatie kunnen worden uitgevoerd, maar veel daarvan hebben nauwe interactie en controle nodig.

Voor deze gevallen moeten organisaties op zoek naar een partner die kan helpen bij het bouwen van een strak geïntegreerd hybride model. Sommige organisaties hebben bijvoorbeeld een beperkt aantal interne middelen die gericht zijn op de kwaliteit van de aanwezige beveiligingsoplossingen en het waarborgen van controle. Het routinematige werk en de dagelijkse werkzaamheden worden overgelaten aan beveiligingsdienstverleners, die indien nodig ook deskundige hulp kunnen bieden. Op deze manier kun je interne middelen concentreren op de interne business.
 
Wees dus niet bevreesd voor de naderende NIS2; grijp deze kans aan om de regie op security terug te pakken. Versterk de digitale weerbaarheid en leg daarmee ook de basis voor de continuïteit van de organisatie.