De drie belangrijkste security-thema’s voor 2016

Informatiebeveiliging krijgt ieder jaar meer aandacht. En met recht, want de potentiële impact van een lek, cyberaanval of systeemcrash is groter dan ooit. Onze afhankelijkheid van (digitale) informatie groeit onophoudelijk - een groei die in 2016 niet zal afnemen. Maar waarop moet u zich het komende jaar richten? Security-expert Gerard Stroeve van Centric: “Als ik organisaties en security-specialisten die vraag stel, dan komen drie thema’s telkens terug. Dat zijn cloudsecurity, privacy en awareness.” Dit beeld wordt onderbouwd door de uitkomsten van de Nationale IT-Security Monitor.

Gerard Stroeve

1.       Cloudsecurity

Het eerste thema dat komend jaar (en waarschijnlijk ook daarna) veel aandacht zal blijven vragen, is cloudsecurity. Gerard Stroeve: “Veel organisaties geven aan nog te weinig grip te hebben op de cloudoplossingen die zij gebruiken. Hoe vind je bijvoorbeeld afstemming met grote, publieke cloudleveranciers als Google, Microsoft en Amazon?” Een andere grote uitdaging vormt de zogenaamde ‘Shadow IT’, een fenomeen waarmee bijna iedere organisatie tegenwoordig te maken heeft. Gerard Stroeve: “Wanneer de juiste functionaliteit niet of niet snel genoeg beschikbaar is, zoeken medewerkers daarvoor steeds vaker zelf een oplossing in de cloud. Zo ontstaat er langzaam maar zeker een wildgroei aan gebruikte cloudoplossingen waarop de IT-afdeling geen grip heeft. Dat brengt een belangrijk security-vraagstuk met zich mee: hoe kom ik tot goede richtlijnen rondom veilig cloudgebruik, zonder de productiviteit in de weg te zitten?”

Slechts een derde van de ondervraagden weet zeker dat de cloud binnen de eigen organisatie veilig gebruikt worden

Een belangrijke stap naar het antwoord op die vraag, is volgens Gerard Stroeve het volgen van de 4C-benadering. “Bij het kiezen van een cloudleverancier, stel je op voorhand een set van eisen en wensen samen. De 4C-methode deelt die wensen en eisen op in vier hoofdgroepen: compliancy, continuïteit, controls en communicatie. Als je binnen deze vier gebieden je eisen en wensen op een rij zet, heb je een goed uitgangspunt voor je cloudsecurity.”

2.       Privacy

Naast cloudsecurity, staat privacy het komende jaar hoog op de agenda. Gerard Stroeve: “En met recht, want er staat veel te gebeuren. Neem bijvoorbeeld de meldplicht datalekken. Deze gaat op 1 januari 2016 in en verplicht organisaties (zowel bedrijven als overheden) om ernstige datalekken direct te melden. Ook krijgt het CBP, dat vanaf 1 januari verder gaat als de Autoriteit Persoonsgegevens, boetebevoegdheid tot € 810.000,-- of zelfs tien procent van de jaaromzet. Die nieuwe autoriteit zal waarschijnlijk willen laten merken dat het ernst is en meteen scherp zijn in het handhaven van de meldplicht.” Daarnaast noemt Gerard Stroeve een belangrijke internationale ontwikkeling op het gebied van privacy. “Naar verwachting wordt ook de Europese Algemene Data Protectie Verordening begin 2016 van kracht. Deze verordening zal de Europese regels rondom privacy en persoonsgegevens flink aanscherpen. Er zal een overgangsperiode komen van zo’n anderhalf jaar, maar komend jaar moeten organisaties echt aan de slag met de voorbereiding op die wetgeving.”

Een kwart van de deelnemers aan de Nationale IT Security Monitor 2015 is niet bekend met de Europese Data Protectie Verordening

Wat staat u dan te doen in 2016? Volgens Gerard Stroeve is het belangrijk om privacy niet als een op zichzelf staand onderwerp te benaderen. “Informationele privacy heeft specifieke wet- en regelgeving, maar is wel een integraal onderdeel van informatiemanagement en -beveiliging als geheel. Een goed informatiebeveiligingsbeleid geeft privacy normaal gesproken al gerichte aandacht. Maar specifieke kennis en training kunnen natuurlijk geen kwaad. Goede beginpunten zijn het verkrijgen van inzicht in de diverse informatiestromen van de organisatie en een gap-analyse om te weten hoe je er nu voor staat. Als de wetgeving dan definitief is, weet je precies wat er nog moet gebeuren en kun je meteen aan de slag.”

3.       Awareness

Het derde thema voor 2016 is volgens Gerard Stroeve een echte evergreen. “Beveiligingsbewustzijn is voor onze klanten jaar in jaar uit een prioriteit. Het is een lastig, maar enorm belangrijk onderdeel van informatiebeveiliging. Awareness bij zowel de medewerkers als het bestuur is in feite het vangnet voor security en de olie in de securitymachine,” legt hij uit. “Toch worstelen veel organisaties ermee. Men ziet het nut en de noodzaak om het op te pakken, maar investeringen en echte activiteiten blijven achter.”

Twee derde van de organisaties weet niet zeker of zij voldoende investeren in het beveiligingsbewustzijn van medewerkers

De uitdaging voor u als organisatie is om continu nieuwe manieren te vinden om uw medewerkers het belang van informatiebeveiliging op het hart te drukken. Gerard Stroeve: “Memo’s versturen is niet meer voldoende en ook de poster heeft vaak zijn beste tijd wel gehad. Je moet echt blijven vernieuwen. Wij gebruiken sinds kort bijvoorbeeld een serious game, de Hack@Scape, om het bewustzijn bij onze klanten te stimuleren. We merken dat we individuele medewerkers daarmee veel beter bereiken.”

Tot slot: een gedegen basisproces

Los van deze drie thema’s vraagt informatiebeveiliging volgens Gerard Stroeve vooral een integrale benadering. “Informatiebeveiliging is een breed vakgebied met verschillende aandachtsgebieden. Naast de thema’s die ik al noemde, is er bijvoorbeeld cybersecurity. Denk maar niet dat het aantal DDoS- of ransomware-aanvallen komend jaar afneemt. Ook verwachten we dat de aandacht voor beschikbaarheid en continuïteitsmanagement komend jaar zal toenemen.” Om effectief met al deze uiteenlopende dreigingen om te gaan, is een gedegen basisproces cruciaal. Gerard Stroeve: “Door een goed governancemodel ben je in staat te reageren op nieuwe en veranderende dreigingen. Het Information Security Management System (ISMS) is zo’n model. Daarin staan classificatie en het analyseren van risico’s centraal. Daarmee leg je de basis voor het kiezen van de juiste technische en organisatorische beveiligingsmaatregelen. Belangrijk is ook dat het informatiebeveiliging een stevig managementdraagvlak krijgt. Zo kunnen we ons gedegen voorbereiden op de beveiligingsuitdagingen van 2016.”

Gerard Stroeve is security-expert van Centric. Vanuit een breed dienstenportfolio ondersteunt Centric organisaties op het gebied van informatiebeveiliging, privacy en continuïteitsmanagement