Stefan de Wit

Inzicht in hoe uw organisatie er voor staat op het gebied van people, process en technology

Waar voorheen door organisaties ingezet werd op preventieve maatregelen in de vorm van antivirus, firewalls en andere oplossingen om dreigingen te voorkomen, zijn wij ons steeds meer bewust van het feit dat je niet alles tegen kunt houden. Het is belangrijk om naast preventie ook aan detectie en response te doen. Voordat dit op een juiste manier door middel van people, process en technology geimplementeerd is, is het belangrijk om te weten waar een organisatie staat, wat het risico profiel is en wat de juiste stappen zijn om naar een bepaald punt te komen. Deze trends liggen aan de grondslag van wat Gartner het Predict, Prevent, Detect, Respond framework noemt. Wij hebben dat op onze eigen manier laten landen in onze visie in de vorm van SecureInsight, SecurePrevent, SecureDetect en SecureRespond. In een serie van vier verschillende blogs willen wij onze ideeën en inzichten delen, waarbij elke blog een deelgebied van dit framework behandeld. Deze eerste blog gaat over SecureInsight.

SecureInsight - 360 approachMeer technologie zorgt voor meer belasting IT-afdeling

De noodzaak voor het nemen van maatregelen op het gebied “Cybersecurity” wordt veelal aan de man gebracht door te pas en te onpas te wijzen met Fear, Uncertainty and Doubt. In de media, presentaties en informatie zie je indrukwekkende afbeeldingen van gedisciplineerde criminele cyber-legers van staten of criminelen, distributie- en verdienmodellen en de onmogelijkheid te ontsnappen aan de orkaan die cybercrime heet.

Natuurlijk is de wereld waarin organisaties zakendoen of hun diensten verlenen door de toepassing van technologie fundamenteel gewijzigd, waardoor de afhankelijkheid en risico’s op het gebied van cybersecurity ook veranderen. Daarnaast is cybercrime een lucratief verdienmodel, maar ik vraag me altijd af of organisaties en met name het management zich in deze beeldvorming herkennen en de door de security-branche aangegeven urgentie ook zo voelen.

Incidenten zijn vaak de aanleiding voor organisaties om ad-hoc maatregelen te nemen om hetgeen zich heeft voorgedaan te verhelpen en in de toekomst te voorkomen. Hierbij is veelal de aanschaf van (meer) IT-technologie de gekozen weg zonder de onderwerpen van kennis, mensen, processen, gedrag en risico’s te belichten. Met het aanschaffen van technologie ontstaat vaak een extra belasting op de operationele IT-afdeling welke veelal hun handen al vol hebben om de huidige IT-omgeving in de lucht te houden en de business te ondersteunen.

Is uw organisatie “in-control”?

Aangescherpte wet- en regelgeving als de GDPR hebben het onderwerp van informatiebeveiliging en cybersecurity in de managementvergaderingen op de agenda gezet. Organisaties dienen aantoonbaar in control te zijn om datalekken te voorkomen en in geval van een incident op juiste en adequate wijze op te volgen.

“In-control” zijn gaat verder dan technologie; risico’s, beleid, verantwoordelijkheden, kaders, processen en maatregelen op het gebied van people, process en technology, de pijlers onder samenhangende informatiebeveiliging. Waar de nadruk en de accenten hierbij moeten liggen is afhankelijk van onder meer een aantal factoren maar, eigenlijk hebben organisaties hierbij slechts twee vragen te beantwoorden; ‘Waar staat de organisatie?’ en ‘Waar kan/moet de organisatie naar toe?’

Hierbij zie je vaak twee type van organisaties naar voren komen. Zij die uitsluitend maatregelen nemen om de checkboxen te kunnen vullen en te kunnen voldoen aan wetgeving of contactuele verplichtingen. Daarnaast organisaties die maatregelen op het gebied van informatiebeveiliging zien als differentiator om bijvoorbeeld onderscheiden vermogen of toegevoegde waarde op het bestaansrecht van de organisatie te creëren.

Security Maturity Assessment

Om inzichtelijk te maken waar een organisatie staat en waar men naar toe gaat is een security maturity onderzoek een passende methode. Hierbij wordt in kaart gebracht hoe de organisatie er voor staat op het gebied van people, process en technology. Deze inzichten in combinatie tot de organisatieontwikkelingen, risico’s en wet- en regelgeving leveren het antwoord op de vragen.

Een maturity score alleen zegt niet veel en de noodzaak om een vijf te worden als je één of twee bent ook niet. Organisaties zijn echter wel geholpen met concreet advies om op basis van kleine stappen verbeteringen op het gebied van informatiebeveiliging door te voeren. We zijn namelijk niet allemaal de NAVO of Shell.