Cybersecurity: Aandachtspunten voor de IT Manager

Cybersecurity is veel in het nieuws. Wel lezen over organisaties die zijn getroffen door hackers of andere cybercriminelen. Het gevaar van cyberaanvallen als DDoS, ransomware en phishing ligt dan ook voor iedere onderneming op de loer. Mocht een aanval slagen, dan heeft dat mogelijk grote gevolgen. Daarom is het belangrijk dat cybersecurity ook in de boardroom voldoende aandacht krijgt.
Er zijn in mijn optiek zeker vier belangrijke aandachtspunten voor de directie en het management.

Cybersecurity is geen synoniem voor informatiebeveiliging
Om te beginnen is het van belang de juiste kaders te scheppen rondom cybersecurity. Want, hoewel het woord enorm tot de verbeelding spreekt, wordt het niet altijd in de juiste context gebruikt. Geregeld wordt cybersecurity beschouwd als een synoniem voor informatiebeveiliging. In werkelijkheid is cybersecurity alleen dat deel van de informatiebeveiliging dat draait om de bescherming tegen aanvallen via het internet.
Cybersecurity is dus een deelgebied van het grotere vakgebied van informatiebeveiliging. Maar omdat organisaties op het cybervlak vaak kwetsbaar zijn, is het zeker een belangrijk deelgebied. Het internet biedt namelijk tal van mogelijke toegangspunten tot jouw informatie. Denk aan de computers en servers binnen de organisatie, maar ook aan allerlei draadloze verbindingen en ‘smart devices’. Het cyberdomein is daarom dé weg voor een kwaadwillende om van buiten de organisatie bij vertrouwelijke gegevens te komen.

Cybersecurity is een proces, geen project
Cyberveiligheid draait dus om het voorkomen of het beperken van de gevolgen van aanvallen via het internet. Dat is een voortdurende rat-race, een kat-en-muis-spel tussen aanval en verdediging. Aanvallers zoeken daarbij dag in dag uit naar nieuwe zwaktes en manieren om deze zwaktes uit te buiten. Zo proberen ze de ICT-afdeling telkens een stap voor te zijn.
Daar komt bij dat de potentiële impact van cyberaanvallen groter is dan ooit, nu organisaties steeds afhankelijker worden van digitale informatie. We slaan meer en meer gegevens digitaal op en raken bovendien nauw verweven met de digitale wereld buiten de muren van onze organisaties. We zijn dus niet meer alleen afhankelijk van de eigen systemen, maar ook van vele koppelingen met externe gegevens en databases. Wanneer de organisatie of informatie plotseling niet of nauwelijks nog digitaal bereikbaar is, heeft dat grote gevolgen. Niet alleen voor het bedrijf, maar óók voor klanten, leveranciers en partners.
Het is dus enorm belangrijk om telkens een antwoord te vinden op die nieuwe aanvalsmethoden. Soms is dat makkelijk, maar steeds vaker kost dat veel moeite. Want voor complexer wordende aanvallen, zijn ook complexere verdedigingsmuren nodig. Het ophogen van de cybermuren wordt daarom met iedere nieuwe aanvalsvorm uitdagender. En dus tijdrovender. Beschouw cybersecurity dan ook als een continu proces.

Cybersecurity is meer dan techniek
Om je te wapenen tegen cybercriminelen zijn technische beveiligingsmiddelen alleen niet genoeg. Zie cybersecurity als een complex bouwwerk dat rust op drie pilaren: technologie, mensen en processen. Iedere pilaar moet voldoende, passende aandacht krijgen om te zorgen dat je cybersecurity als geheel solide blijft.
Traditioneel zijn het de pilaren technologie en processen die de meeste aandacht krijgen. De ICT-afdeling zet bijvoorbeeld slimme tooling in, zoals firewalls en antivirussoftware, en richt processen in die de kans op beveiligingslekken verkleinen. Maar vaak blijkt, hoe clichématig ook, de mens uiteindelijk de zwakste schakel. Bewustzijn ten aanzien van de risico’s en de mogelijke gevolgen én het vermogen naar dat bewustzijn te handelen zijn net zo belangrijk als technologische beveiligingsmiddelen.

Directie en management zijn het fundament onder cybersecurity
Als cybersecurity een bouwwerk is, dan is draagvlak van directie en management het fundament eronder. De drie pilaren technologie, mensen en processen worden ondersteund door het organisatie brede informatiebeveiligingsbeleid dat de directie vaststelt. Het hoogste management geeft richting aan cybersecurity en vaardigt het belang ervan actief uit binnen de organisatie.
Als directie leg je dus de eerste steen voor een solide cyberbeveiligingsbouwwerk. Dat doe je met een governance model dat vorm geeft aan het brede informatiebeveiligingsbeleid binnen jouw organisatie. Dat governance model wordt ook wel information security management system of ISMS-model genoemd. Het is een overzichtelijk model dat je helpt grip te houden op je cybersecuritybeleid.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *