Bestuurders van organisaties leggen security veelal in handen van hun technische experts, terwijl zij het zelf als een bedrijfskundige kwestie aan zouden moeten pakken. In het aanbod van managed-securityservices is genoeg gerichte hulp van buiten te vinden waarmee de weerbaarheid effectief omhoog kan. Wat vooral nodig is, is een cultuurverandering in de directiekamer. Bestuurders moeten de agenda bepalen en security benaderen als hun probleem.

Cybersecurity is hoger op de strategische agenda komen te staan. Drie factoren zijn hierin essentieel: de ernst van de dreigingen, het toegenomen belang van IT en tot slot regelgeving. Bestuurlijk Nederland is cybersecurity serieus gaan nemen door aanvallen met de WannaCry- en Petya-ransomware medio 2017. Deze schadelijke software ontregelde de IT van toonaangevende organisaties als de APM-terminal in Rotterdam en TNT Express met aanzienlijke schadeposten tot gevolg.

Bedrijfskritische IT

De risico’s zijn ook groter geworden doordat een vergaande digitalisering van bedrijfsprocessen de afhankelijkheid van bedrijfskritische IT heeft doen toenemen. Gedigitaliseerde overheidsdiensten, internetbankieren en e-commerce zijn gevoelig voor verstoringen door cyberaanvallen.

De overheid onderkent dit economisch en maatschappelijk belang. Nieuwe regelgeving dwingt organisaties tot nieuwe maatregelen om de grote stroom datalekken en andere negatieve gevolgen van cybercrime in te dammen. De Algemene Verordening Gegevensbescherming (AVG) brengt het privacybelang van consumenten in balans met de dataverzamelwoede van de BV Nederland. Het dwingt organisaties bovendien om een informatiebeveiligingsplan in te stellen of het flink te herzien.

Aansprakelijk

Van een alarmerend gebrek aan urgentie rondom security is er nu opeens volop aandacht. Dat is op zich een positieve ontwikkeling, maar draagt ook risico’s in zich. In ‘Nederland verzekeringsland’ zijn cyberverzekeringspolissen opeens ontzettend populair geworden. Bestuurders lopen het risico van persoonlijke aansprakelijkheid bij het niet melden van datalekken of claims rond onbehoorlijk bestuur als zij te weinig aandacht aan security hebben geschonken.

Maar is de praktische weerbaarheid van organisaties werkelijk gediend met het afsluiten van dit soort kostbare polissen? Of wat te denken van de relatief nieuwe CISO en privacyfunctionarissen die in grote organisaties opduiken? Zitten zij werkelijk aan de directietafel en wordt er echt iets met hun input gedaan? Uit het rapport Mind the breach gap van Gemalto blijkt dat er vooral meer geld gaat naar gangbare technische securityoplossingen die in het huidige cloudtijdperk hun beperkingen hebben.

Zoden aan de dijk

Wat zet meer zoden aan de dijk? Behandel security als een gangbaar bedrijfsrisico en kom vooral met een praktische aanpak. Dat betekent dat er vanuit specifieke operationele risico’s duidelijkheid komt welke systemen en data beveiligd moeten worden, wie waarvoor verantwoordelijk is inclusief de directie, hoe die beveiliging tot stand komt en wat dat mag kosten.

Een belangrijk en bekend voorbeeld van zo’n aanpak komt van het National Institute of Technology and Standards (NIST), een organisatie die Amerikaanse overheidsinstanties bijstaat in cybersecurity. Er is net een nieuwe versie van dit raamwerk uitgebracht, op basis waarvan het Department of Defense voor het begin van de herfst een order met een geschatte contractwaarde van 10 miljard dollar gaat plaatsen voor het verhuizen van de eigen IT naar de public cloud. Dat staat en valt met goede security.

Expertise van buiten

Ook het afnemen van gerichte managed-securityservices kan een goed middel zijn om de eigen weerbaarheid aanzienlijk te verhogen. Voorbeelden van diensten zijn het beheer van firewalls, het aanbrengen van kritieke softwarepatches of realtime monitoring van de IT-omgeving op afwijkend gedrag. Een ander voorbeeld is deskundig advies bij de bouw van applicaties rond goede securitypraktijken.

Een leverancier als Cast Software past dit medicijn toe door software tijdens de levenscyclus minder vatbaar te maken voor het uitbuiten van kwetsbaarheden. Door externe expertise en de overdracht van operationele taken aan een leverancier komt er meer tijd om security beleidsmatig aan te pakken en de business beter te ondersteunen.

IT-adviesbureau METRI heeft een rapport uitgebracht over het succesvol sourcen van managed-securityservices. Meer informatie is te vinden op www.metrigroup.com.

Door Sytse van der Schaaf, research consultant en Raymond Linkers, director sourcing bij Metri

METRI Group is een Fact Based ICT adviesorganisatie gespecialiseerd in sourcing en benchmarking. Daarnaast helpt METRI organisaties bij het verbeteren van de inrichting en besturing als gevolg van sourcingontwikkelingen en trends. Door de jarenlange ervaring op het gebied van benchmarking is METRI in staat scenario’s uit te werken voor ieder ICT vraagstuk en te toetsen aan de huidige, wereldwijde marktprijsontwikkelingen. Klanten waarderen METRI om haar praktische en professionele benadering. Ga voor meer informatie naar onze website. www.metrigroup.com