TREK JE NIETS AAN VAN TRENDS

– Door Marc de Jong Luneau

De security industrie doet het graag. Schermen met trendgegevens over dreigingen, hacks en cybercriminelen. Natuurlijk zijn cybercrime en –spionage actuele en relevante problemen. Maar wat betekent die generieke informatie specifiek voor jouw organisatie?

Eigenlijk vrijwel niets. Totdat je er zelf inhoudelijk betekenis aan geeft. Met andere woorden: trek je eigen plan als het gaat om de bescherming van je eigen informatie. Vanuit mijn ervaring met het helpen van organisaties om hun beveiliging in lijn te brengen met bedrijfsrisico’s, cultuur, middelen en mogelijkheden hieronder mijn vijf stappen om dat te doen.

  1. Begrijp je risico’s

Inventariseer in de breedte van je organisatie welke risico’s er samenhangen met het gebruiken van ICT. Neem de betrouwbaarheid, beschikbaarheid en integriteit van je informatie en processen als uitgangspunt. Juist door naar het integrale beeld te kijken, voorkom je dat je vervalt in systeembeveiliging. Zo ben je in staat adequate informatiebeveiliging tot stand te brengen. Daarmee bedoel ik: datgene doen dat de risico’s terugbrengt tot niveaus die voor jouw organisatie acceptabel en dragelijk zijn. Precies genoeg doen dus. Zo wordt je aanpak meteen ook duidelijk verdedigbaar, bijvoorbeeld bij je budgetaanvraag.

  1. Neem kwaliteitsmanagement als uitgangspunt

Er wordt veel gesproken over ISO 27001; de internationale kwaliteitsstandaard voor informatiebeveiliging. Ik adviseer altijd om deze norm (of een afgeleide) als uitgangspunt te nemen. Hoewel steeds meer organisaties hun leveranciers er om vragen, hoeft een ISO certificering daarbij helemaal geen doel op zich te zijn. Het proces dat je ermee implementeert is een sterk instrument waarlangs je risico’s en tegenmaatregelen op elkaar blijft afstemmen. Het proces garandeert dat je blijft denken voordat je gaat doen. Zo ben je “in control” en bescherm je jezelf tegen onder- of over-investeren.

  1. Begrijp de impact van elke maatregel

De reflex in veel beveiligingsvraagstukken is technologie implementeren. Begrijpelijk omdat binnen dit domein zoveel technologie georiënteerde mensen acteren. De realiteit is dat je probleem meestal niet (alleen) technisch is. De trend van dit moment is om detectie en SIEM technologie implementeren om hackers sneller op te kunnen sporen. Dat geeft een veel dieper beeld van wat er werkelijk in uw netwerk gebeurt. Dat klopt zonder meer. Maar het creëert ook een enorme stroom aan data. Terwijl de aanschaf van de oplossing zorgt voor een veilig gevoel, is de workload van je ICT team geëxplodeerd. Wat is het netto resultaat van deze investering? Zo heeft elke maatregel op zichzelf bepaalde implicaties die je wilt doorzien voordat je begint.

  1. Stuur op samenhang

Begrijpen wat elke maatregel betekent is stap één. De samenhang tussen verschillende maatregelen, of het gebrek daaraan, bepaalt echter het niveau van je totale beveiliging. Zonder een integraal overzicht kun je geen adequate beveiliging aanleggen en handhaven. Ontwerp daarom eerst een totaal-aanpak, waarbij je die samenhang borgt. Wanneer je vervolgens welke maatregel uitvoert wordt bepaalt welke prioriteiten je stelt, hoeveel geld je hebt en welke snelheid je organisatie aankan.

  1. Zorg dat je er klaar voor bent

Dan toch maar even een trend: op basis van statistiek kan ik je 100% garantie geven dat je binnen 3-4 jaar te maken krijgt met een serieus security incident. Hoe hard dat incident gaat aankomen heb je deels zelf in de hand. Wat je, los van alle andere maatregelen, in elk geval kunt doen is je goed voorbereiden. Dat is niet ingewikkeld. Bedenk op basis van het begrip van je risico’s (1). wat er mis zou kunnen gaan. Schrijf op wie er in zo’n situatie dan wat zou moeten doen. Analyseer welke expertise je niet in huis hebt en zorg er voor dat je er over kunt beschikken als het misgaat. Oefen vervolgens eens per jaar met deze betrokkenen zo’n situatie en evalueer je plan op basis van hoe die oefening verliep. Tip: vergeet die laatste stap niet.

Neem je verantwoordelijkheid serieus

Ja natuurlijk helpen wij je graag en goed met dit hele domein. Als je wilt kun je zelfs alles op het gebied van informatiebeveiliging aan ons uitbesteden! Maar dat hebben we liever niet. Wij weten uit de praktijk dat organisaties het beste zelf de regie voeren en inhoudelijk betrokken blijven. De kunst is dan om je aanpak compact en pragmatisch te houden en die optimale samenhang te bereiken. Dat is onze toegevoegde waarde.

Marc de Jong Luneau is Commercieel Directeur van Northwave