Cybersecurity: vier eye-openers voor de CEO

Foto InfoSecurity Magazine 082015

Cybersecurity is de afgelopen jaren veel in het nieuws. Maar al te vaak lezen we over organisaties die zijn getroffen door hackers of andere cybercriminelen. Het gevaar van cyberaanvallen als DDoS, ransomware en phishing ligt dan ook voor iedere onderneming op de loer. Mocht een aanval slagen, dan heeft dat mogelijk grote gevolgen. Daarom is het belangrijk dat cybersecurity ook in de boardroom voldoende aandacht krijgt. Gerard Stroeve, security-expert van Centric, licht vier belangrijke aandachtspunten voor de directie en het management uit.

1.       Cybersecurity is geen synoniem voor informatiebeveiliging

Om te beginnen is het van belang de juiste kaders te scheppen rondom cybersecurity. Want, hoewel het woord enorm tot de verbeelding spreekt, wordt het niet altijd in de juiste context gebruikt. Geregeld wordt cybersecurity beschouwd als een synoniem voor informatiebeveiliging. In werkelijkheid is cybersecurity alleen dat deel van de informatiebeveiliging dat draait om de bescherming tegen aanvallen via het internet.

Cybersecurity is dus een deelgebied van het grotere vakgebied van informatiebeveiliging. Maar omdat organisaties op het cybervlak vaak kwetsbaar zijn, is het zeker een belangrijk deelgebied. Het internet biedt namelijk tal van mogelijke toegangspunten tot uw informatie. Denk aan de computers en servers binnen uw organisatie, maar ook aan allerlei draadloze verbindingen en ‘smart devices’. Het cyberdomein is daarom dé weg voor kwaadwillenden om van buiten uw organisatie bij uw gegevens te komen.

2.       Cybersecurity is een proces, geen project

Cyberveiligheid draait dus om het voorkomen of het beperken van de gevolgen van aanvallen via het internet. Dat is een voortdurende rat race, een kat-en-muis-spel tussen aanval en verdediging. Aanvallers zoeken daarbij dag in dag uit naar nieuwe zwaktes en manieren om deze zwaktes uit te buiten. Zo proberen ze uw IT-afdeling telkens een stap voor te zijn.

Daar komt bij dat de potentiële impact van cyberaanvallen groter is dan ooit, nu organisaties steeds afhankelijker worden van digitale informatie. We slaan meer en meer gegevens digitaal op en raken bovendien nauw verweven met de digitale wereld buiten de muren van onze organisaties. U bent dus niet meer alleen afhankelijk van uw eigen systemen, maar ook van vele koppelingen met externe gegevens en databases. Wanneer uw organisatie of informatie plotseling niet of nauwelijks nog digitaal bereikbaar is, heeft dat grote gevolgen. Niet alleen voor u, maar óók voor uw klanten, leveranciers en partners.

Het is dus enorm belangrijk om telkens een antwoord te vinden op die nieuwe aanvalsmethoden. Soms is dat makkelijk, maar steeds vaker kost dat veel moeite. Want voor complexer wordende aanvallen, zijn ook complexere verdedigingsmuren nodig. Het ophogen van de cybermuren wordt daarom met iedere nieuwe aanvalsvorm uitdagender. En dus tijdrovender. Beschouw cybersecurity dan ook als een continu proces.

3.       Cybersecurity is meer dan alleen techniek

Om u te wapenen tegen cybercriminelen zijn technische beveiligingsmiddelen alleen niet genoeg. U kunt cybersecurity zien als een complex bouwwerk dat rust op drie pilaren: techniek, mens en organisatie. Iedere pilaar moet voldoende, passende aandacht krijgen om te zorgen dat uw cybersecurity als geheel solide blijft.

Traditioneel zijn het de pilaren techniek en organisatie die de meeste aandacht krijgen. Uw IT-afdeling zet bijvoorbeeld slimme tooling in, zoals firewalls en antivirussoftware, en richt processen in die de kans op beveiligingslekken verkleinen. Maar vaak blijkt, hoe clichématig ook, de mens uiteindelijk de zwakste schakel. Bewustzijn ten aanzien van de risico’s en de mogelijke gevolgen én het vermogen naar dat bewustzijn te handelen zijn net zo belangrijk als technologische beveiligingsmiddelen.

4.       Directie en management zijn het fundament onder cybersecurity

Als cybersecurity een bouwwerk is, dan is draagvlak van directie en management het fundament eronder. De drie pilaren techniek, mens en organisatie worden ondersteund door het organisatiebrede informatiebeveiligingsbeleid dat de directie vaststelt. Het hoogste management geeft richting aan cybersecurity en vaardigt het belang ervan actief uit binnen de organisatie.

Als directie legt u dus de eerste steen voor een solide cyberbeveiligingsbouwwerk. Dat doet u met een governancemodel dat vorm geeft aan het brede informatiebeveiligingsbeleid binnen uw organisatie. Dat governancemodel wordt ook wel uw Information Security Management System of ISMS-model (zie kader) genoemd. Het is een overzichtelijk model dat u helpt grip te houden op uw cybersecuritybeleid.

Veel voorkomende cyberaanvallen

  • DDoS-aanval: een systeem wordt plotseling zwaar overbelast en raakt buiten werking
  • Ransomware: vergrendelt uw gegevens en geeft u pas na betaling weer toegang
  • Malware: kwaadaardige software, zoals virussen, adware en keyloggers
  • XSS & SQL-injection: aanvalsmethoden die ontwikkelfouten in webapplicaties misbruiken
  • Phishing: misleidende e-mails installeren via een link virussen of andere malware

ISMS: het governancemodel voor informatiebeveiliging

Het Information Security Management System (ISMS) is een governancemodel dat u grip geeft op uw beleid rondom informatiebeveiliging en daarmee ook op het gebied van cybersecurity. Het bestaat uit vier duidelijke stappen: Plan, Do, Check, Act.

Plan

In de Plan-fase inventariseert u de risico’s en de mogelijke gevolgen ervan voor uw organisatie. Tegen al die risico’s bestaan maatregelen - aan u als directie de taak te beslissen welke maatregelen genomen worden. U kunt risico’s namelijk niet alleen mitigeren (zo klein mogelijk maken), ook het transfereren (onder brengen bij een andere partij) of simpelweg accepteren ervan is mogelijk. Vergeet daarbij niet dat compliancy met wet- en regelgeving een belangrijke verantwoordelijkheid is van de directie.

Do

In deze fase gaat uw organisatie de geselecteerde maatregelen implementeren. De directie moet daarbij bewaken dat voldoende aandacht uitgaat naar alle drie de pijlers: techniek, mens en organisatie. Maak beveiliging van uw gegevens daarom niet alleen een taak van de IT-afdeling, maar betrek bijvoorbeeld ook HR en de facilitaire afdeling. Bewustzijn rondom risico’s moet organisatiebreed worden gevoed.

Check

De Check-fase draait om het meten van de effectiviteit van uw maatregelen. Als directie definieert u de prestatie-indicatoren of KPI’s waarover gerapporteerd wordt, want grip houden is een van uw belangrijkste taken. Die rapportages vormen bovendien de basis voor de directiebeoordeling. Zorg dat u een goed onderbouwde mening heeft over wat u als directie van de voortgang vindt en deel deze mening met de betrokkenen.

Act

Tot slot zorgt u er in de Act-fase voor dat uw directiebeoordeling een goed vervolg krijgt. Beloon betrokkenen als hun prestaties daarom vragen. Als de uitvoering van het beleid te wensen overlaat, dan is het uw taak om te zorgen dat uw organisatie beter presteert. Schiet niet alleen de uitvoering maar ook het beleid zelf tekort? Neem dan uw verantwoordelijkheid en geef sturing aan het nieuwe beleid.

Gerard Stroeve is manager Security & Continuity Services bij Centric

 
Meer over
Lees ook
Cyber Defence moet innovatie versnellen

Cyber Defence moet innovatie versnellen

Wat meer optimisme over onze weerbaarheid voor cyberaanvallen is goed voor Nederland, vindt Roel van Rijsewijk, directeur Cyber Defence bij Thales. Het is ook goed dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid onlangs in het Cybersecuritybeeld Nederland 2019 opnieuw de noodklok luidde over de kwetsbaarheid van de Nederlandse...

'De Benelux loopt achter op het gebied van cybersecurity, India presteert het best'

'De Benelux loopt achter op het gebied van cybersecurity, India presteert het best'

Organisaties over de hele wereld lopen vast in hun voortgang op het gebied van cybersecurity en riskeren verlamming nu cybercriminelen steeds geavanceerder te werk gaan. Dit blijkt uit het rapport 2019 Risk:Value – ‘Destination standstill. Are you asleep at the wheel?’ van NTT Security, een gespecialiseerd beveiligingsbedrijf en expertisecentrum voor...

Cybersecurity vitale waterwerken niet waterdicht

Cybersecurity vitale waterwerken niet waterdicht

Tunnels, bruggen, sluizen en waterkeringen kunnen nog beter worden beveiligd tegen cyberaanvallen. Rijkswaterstaat heeft de afgelopen jaren veel werk verzet en noodzakelijke maatregelen in kaart gebracht om waterkeringen beter te beveiligen. Maar die veiligheidsmaatregelen zijn niet allemaal uitgevoerd. De Algemene Rekenkamer constateert dat de minister...