Van onbewuste naar bewuste keuzes in cybersecurity

Allereerst wil ik je bedanken dat je de tijd hebt genomen even stil te staan bij cybersecurity. Een belangrijk onderwerp binnen elke organisatie, maar helaas vaak nog onderbelicht. In deze blog neem ik je mee in de wereld van bewuste keuzes.

Personal computer

Veertig jaar geleden begon de revolutie waar wij nu allemaal met veel plezier gebruik van maken: van kaartenbak naar diskette, van papier naar monitor, van Tipp-Ex naar delete. In 1983 introduceerde IBM zijn eerste personal computer in Nederland. Al snel werd de computer ook ingezet in het bedrijfsleven. Het apparaat was in staat om het werk efficiënter, goedkoper en nauwkeuriger uit te voeren dan het traditionele en foutgevoelige papieren archief. De zoektocht naar efficiëntie heeft afgelopen jaren niet stil gestaan. Wij leven in een tijd waarin alles gedigitaliseerd is en met elkaar in verbinding staat. Hoewel steeds meer zaken efficiënter en nauwkeuriger verlopen, zijn ze niet per definitie veiliger. Dit is duidelijk te zien aan de opkomst van cybercriminelen. Waar men voorheen met een koevoet aan de voordeur stond vinden we ze tegenwoordig onder andere in de vorm van Cybercrime as a Service.

Beveiligingspleisters

Een paar jaar geleden werden applicaties aangekocht en ingericht vanwege hun functionaliteit en productiviteit. Door de toenemende complexiteit en waarden die deze informatiesystemen vertegenwoordigen zijn securityrisico’s ontstaan. De traditionele werkwijze was om deze risico’s zoveel mogelijk met point solutions aan te pakken. Deze beveiligingspleisters waren op dat moment doorgaans effectief, maar cybercriminelen vonden steeds andere methoden om binnen te dringen. In de huidige tijd volstaat deze traditionele aanpak voor cybersecurity dan ook niet meer.

Secure, tenzij …

Mede dankzij de opkomst van normeringen, certificeringen en wet- en regelgeving worden organisaties gedwongen met andere ogen naar hun ICT-infrastructuur en cyberweerbaarheid te kijken. Anno 2024 praten wij over een ‘secure, tenzij …’-aanpak. Aan de hand van een beleidsstructuur op basis van ‘pas toe en leg uit’ beschrijven we hoe we ons beveiligen tegen securityrisico’s en ons personeel opleiden en begeleiden in de wereld van cyberhygiëne en welke risico’s wij omwille van functionaliteit of productiviteit aanvaardbaar bevinden. Ook moet je als organisatie goed nadenken en beschrijven hoe je bij een toekomstig incident gaat acteren.

Cybersecurity

Cybersecure is het streven naar het voorkomen van schade door verstoring, uitval of misbruik van ICT en – indien er toch schade is ontstaan – het herstellen hiervan. De schade aan ICT kan bestaan uit aantasting van de betrouwbaarheid van ICT, beperking van de beschikbaarheid en schending van de vertrouwelijkheid of de integriteit van in ICT opgeslagen informatie. Een honderd procent veilige organisatie bestaat echt! Pak alle medewerkers hun pc, smartphone, notitieblok en whiteboards af en je hebt geen cyberrisico’s meer. Maar je hebt ook geen productiviteit. Hoe kun je ervoor zorgen dat de organisatie veilig en toch productief is? Maak bewuste keuzes!

Kritisch blijven

Fabrikanten voegen met hoge frequentie securityfunctionaliteiten toe in bestaande (Software as a Service-)applicaties. In veel gevallen zien wij dat de verzachtende maatregelen in de vorm van oplossingen of licenties aanwezig zijn, maar niet adequaat zijn ingericht. Dit is natuurlijk zonde! Zorg daarom dat je altijd kritisch blijft op de veiligheid van je ICT-omgeving:

• Welke keuzes zijn er gemaakt voor cybersecurity?
• Sluiten deze keuzes aan bij de huidige tijd en risico’s?
• Zijn er verschillen tussen het beschreven beleid en de functionele inrichting in techniek?
• Is er een recovery-script?
• Wie is eindverantwoordelijk voor de veiligheid van data?
• Maak je gebruik van alle functionaliteit zoals bedoeld?
• Voldoe je aan de geldende wet- en regelgeving?
• Heeft een ethische hacker onderzocht of en hoe er binnen te dringen is?