Omgaan met beveiligingsrisico's? Ga voor een organisatie-brede aanpak

Kennis over het brede terrein van informatiebeveiliging is essentieel om risico's te beheersen. Brenno de Winter, Martijn Sprengers en Huibert Bouthoorn vertellen over de fundamentals op securitygebied die iedereen moet weten.

Een datalek, DDoS-aanval of ransomware. Het risico om als organisatie te maken te krijgen met een informatiebeveiligingsincident is tegenwoordig levensgroot. Een gedegen voorbereiding is dan ook nodig om risico's te beheersen en de impact van incidenten te beperken. Een goed doordacht en onderbouwd securitybeleid is daarvoor de onmisbare basis.

Het gaat daarbij om veel meer dan maatregelen die op het bord van de IT-afdeling liggen, benadrukt beveiligingsonderzoeker Brenno de Winter, hoofddocent van de 6-daagse opleiding Informatiebeveiliging. "Informatiebeveiliging is niet iets van een afdeling, de risico's zitten in alle lagen van de organisatie en het thema speelt in de gehele samenleving. Omdat security in feite draait om de omgang met risico's heeft het niet alleen met techniek te maken, maar net zo zeer met de inrichting van organisaties, het gedrag van mensen en nog veel meer."

De Winter noemt als voorbeeld van dat laatste de maatschappelijke verwachtingen over de bescherming van data. "In Nederland worden salarisgegevens beschouwd als gevoelige gegevens, terwijl dat in Noorwegen openbare informatie is. Informatiebeveiliging is daardoor eigenlijk voor elke organisatie anders - en er is geen quick fix of een standaard lijstje met acties die je kunt afvinken."

Informatiebeveiliging speelt overal

"Informatiebeveiliging gaat eigenlijk vooral over samenwerken tussen mensen, bijvoorbeeld tussen afdelingen en organisaties", zegt Martijn Sprengers, adviseur informatiebeveiliging bij KPMG en gastdocent van de opleiding Informatiebeveiliging. "Organisaties richten zich bij informatiebeveiliging al snel op het beleggen van verantwoordelijkheden binnen een team of functie. Maar hackers maakt het niet uit wie er verantwoordelijk is - die proberen gewoon een netwerk binnen te komen."

Ook Huibert Bouthoorn, IT-adviseur bij HealthInsights en binnen de opleiding Informatiebeveiliging verantwoordelijk voor de module over secure & reliable operations, benadrukt dat informatiebeveiliging niet uitsluitend een IT-onderwerp is. "Eén van de grootste securityrisico's is de medewerker - informatiebeveiliging speelt dus door de hele organisatie. Dat betekent dat alle functies binnen een organisatie er op een of andere manier wel mee in aanraking komen.

Dat wil niet zeggen dat iedereen alle details van security hoeft te kennen. Het is vooral van belang dat medewerkers de juiste informatie hebben om te kunnen voldoen aan de spelregels - en dat beveiligingsmaatregelen worden afgestemd op de specifieke risico’s van de organisatie. Maar voldoende bagage op hoofdlijnen is eigenlijk essentieel voor iedereen."

Kennis én vaardigheden

"Risico's kan je alleen inschatten als je voldoende kennis hebt over de risico's en maatregelen", zegt De Winter over de noodzaak voor uiteenlopende professionals - van IT-auditors en service level managers tot servicedesk- en informatie-managers - om te beschikken over (basis)kennis over informatiebeveiliging. "Anders doe je mogelijk iets dat lijkt op beveiliging, maar er in feite weinig mee te maken heeft. Je loopt het risico om allerlei maatregelen te nemen zonder dat er samenhang of logica in zit. Bij informatiebeveiliging wordt nogal eens gedacht aan losse maatregelen - alsof je een autogordel omdoet en een auto daarmee veilig is."

In de opleiding Informatiebeveiliging die De Winter in samenwerking met IIR ontwikkelde komt dan ook een rijk palet aan issues aan bod. "Bij informatiebeveiliging komt een brede set aan skills kijken. Je moet snappen hoe technologie werkt, welke organisatieprocessen er zijn en hoe je met risico's omgaat. Maar je hebt ook algemene kennis nodig over wet- en regelgeving en beleid, en je moet beveiligingsbeleid kunnen ontwikkelen en toetsen. En: je moet er veel mee bezig zijn, kijken hoe anderen het doen, nieuwe ontwikkelingen bijhouden. Aanvallen worden steeds geavanceerder, maar met de juiste kennis en vaardigheden kan je daar tijdig op anticiperen."

Tot de vaardigheden die professionals nodig hebben om het hoofd te bieden aan risico's met informatiebeveiliging behoren volgens De Winter ook soft skills. Daarom wordt in de opleiding ook aandacht besteed aan manieren om security awareness binnen de organisatie op een minimumniveau te krijgen én te houden. "Het creëren van awareness en draagvlak is vaak heel lastig. Er zijn allerlei redenen waarom organisaties informatiebeveiliging niet serieus nemen, of de risico's onderschatten. Ik leg deelnemers aan de opleiding Informatiebeveiliging daarom uit welke mechanismen er spelen, hoe je je daartegen kunt weren en hoe je mensen mee kunt krijgen. Het mensenwerk is heel belangrijk voor het vak."

Anders kijken

In de module die Bouthoorn verzorgt tijdens de opleiding staan beheerprocessen centraal, bijvoorbeeld als het gaat om het omgaan met incidenten. "Hoe zien onze huidige processen eruit en waar zitten verbeterpunten? Hoe kan ik zorgen dat het aantal incidenten vermindert en incidenten sneller en beter worden afgehandeld? Er zijn diverse antwoorden op deze vragen, en elke oplossing kent voor- en nadelen", vertelt Bouthoorn over de lessen die hij deelnemers wil meegeven.

"Beheerprocessen klinken misschien als een technisch onderwerp, maar ik focus juist op het gedrag van mensen en de uitdagingen waarmee de dagelijkse praktijk te maken krijgt. De voorbeelden uit de praktijk maken duidelijk dat elke organisatie met informatiebeveiliging worstelt en dat er geen oplossing is die honderd procent veiligheid oplevert."

"Ik adviseer altijd om eens naar de organisatie te kijken met de ogen van de aanvaller", vult Sprengers aan, die in zijn module veel aandacht besteed aan actuele ontwikkelingen in cybersecurity en digitale criminaliteit. "Veel organisaties hebben een verdedigende pet op als het gaat om security van applicaties en netwerken. Maar zoals Mike Tyson eens zei: everybody has a plan till they get punched in the mouth. Je moet voorkomen dat er een grote bende ontstaat als er eens iets misgaat.

Door de balans te vinden tussen preventieve, defensieve en responsieve maatregelen kunnen de risico's op een betaalbare manier worden geminimaliseerd. Het is niet altijd nodig om ellenlange frameworks in te voeren, soms kan een aantal slimme basismaatregelen al voldoende zijn. Want waarom zou iemand je eigenlijk willen aanvallen? Met een goede analyse van risico's en dreigingen kan je afwegingen maken en prioriteiten stellen."

Nieuwe manieren van denken

De Winter wil professionals die deelnemen aan de opleiding Informatiebeveiliging een manier van denken bijbrengen waarin risico's serieus worden genomen. "Hoe zie ik de wereld binnen mijn organisatie? Hoe maak ik een goede risico-inschatting en wat moet ik dan vervolgens doen?", zegt De Winter over de kernvragen waarmee de deelnemers aan de slag gaan. "We brengen de kennis en invalshoeken van uiteenlopende experts bij elkaar, van grote én kleine organisaties. Daarmee schetsen we het hele palet aan issues en aanpakken."

"We coveren het hele spectrum van informatiebeveiliging en besteden bij alle onderwerpen aandacht aan de belangrijkste punten", licht Sprengers toe. "Anekdotes, mediaberichten en praktijkvoorbeelden laten zien wat er werkelijk gebeurt: de fouten die andere organisaties hebben gemaakt worden (geanonimiseerd) besproken. De deelnemers gaan daarmee ook actief aan de slag, bijvoorbeeld in discussies met elkaar."

Bouthoorn voegt toe: "De combinatie van theorie met verhalen uit de praktijk zorgt ervoor dat deelnemers de thema's herkennen en de lessen in hun eigen werk kunnen toepassen."

"Het unieke aan de opleiding is dat alle aspecten van informatiebeveiliging de revue passeren", vat De Winter samen. "Op basis van dit complete beeld krijgen deelnemers een kader mee waarmee ze echt wat kunnen. Bijvoorbeeld als het gaat om de technische, organisatorische, juridische en beleidsmatige aspecten van informatiebeveiliging.

Deelnemers gaan zelf aan het hacken, we staan stil bij economische spionage en we doen via een unieke game een crisisoefening om te ervaren wat er gebeurt als er iets mis gaat. Maar ook het theoretische kader komt aan bod, net als de basics over relevante wetgeving. Deelnemers krijgen daardoor heel veel kennis mee, die in de praktijk toepasbaar is. En minstens zo belangrijk: de kennis doet de geesten rijpen en maakt professionals goed toegerust om de discussie over informatiebeveiliging binnen hun organisatie te voeren."

De fundamenten leren voor een veilige organisatie, in interactieve sessies met aandacht voor theorie én praktijk? Volg dan de 6-daagse opleiding Informatiebeveiliging.

Heeft u al kennis van security en wilt u zich hierin verder verdiepen? Bekijk dan eens deze trainingen:

• CISO als strategisch business partner: Word succesvol changemanager met oog voor de business
• Examentraining CISM: In 4 dagen optimaal voorbereid op de internationale certificering