7min Security

Voor goede security moeten alle neuzen dezelfde kant op

Insight: Security

Voor goede security moeten alle neuzen dezelfde kant op

Vandaag de dag is het verbeteren van de beveiliging voor veel bedrijven topprioriteit. Organisaties kunnen daarbij baat hebben bij een brede security-aanpak, met oog voor technologie, processen en mensen. Hoe kun je ervoor zorgen dat dit succesvol wordt?

Technologie heeft bewezen dat het bijdraagt aan het verhogen van het cyberweerbaarheidsniveau van een organisatie. Voor de meeste cybersecurityaspecten zijn inmiddels volwassen tools beschikbaar. Zeker als je aan de basisdisciplines “identify”, “protect”, “detect”, “respond”, en “recover” denkt, zijn er genoeg mogelijkheden. Met de juiste oplossingen bouw je een muur op die cybercriminelen buiten de deur houdt.

De muur is echter pas stevig genoeg als de menselijke factor voldoende wordt meegenomen, ziet men bij Cegeka. Die opvatting kun je vergelijken met een inbraaksysteem in je huis. Daar kunnen allerlei alarmen en bewakingssystemen actief zijn, maar als de deur niet op slot gaat, kunnen criminelen alsnog eenvoudig binnenkomen.

Cybersecurity binnen organisaties is daarmee uitgegroeid tot een zaak die iedereen aangaat. Het gaat niet langer alleen de CISO en IT’ers aan. In een ideale situatie houdt elke medewerker zich bezig met het onderwerp, terwijl ze zich bewust zijn van hoe ze de tools gebruiken en taken veilig uitvoeren.

Een grote stap voorwaarts maken

Om meer inzicht te krijgen in hoe je dit als bedrijf goed aanpakt, besloten we om in gesprek te gaan met Division Director Security Frank Voskeuil van Cegeka. De consultants van Cegeka komen bij veel organisaties over de vloer, waar ze het volwassenheidsniveau analyseren en vervolgens advies geven over noodzakelijke verbeteringen.

Op basis van zijn ervaring stelt Voskeuil dat het menselijke element een zeer belangrijke rol speelt. Medewerkers moeten zich actief willen inzetten voor de beveiligingsdoelen van het bedrijf. Of je nu besluit om beveiligingsinspanningen te intensiveren of drastische veranderingen wilt doorvoeren, de bereidheid van medewerkers om mee te werken is van essentieel belang. De houding van medewerkers bij de implementatie van nieuwe tools en methodieken zal uiteindelijk bepalen of de werknemers ze toepassen. Voskeuil stelt dan ook dat veel cybersecurityprojecten 20 procent techniek bevatten en 80 procent om menselijk gedrag gaat.

Lees ook ons verhaal over solution adoption, waarin we bespreken hoe je cybersecurity een competentie van werknemers maakt.

Waar begin je de weg naar een gedragen securitybeleid?

Met de kennis dat technologie in de basis uitstekend werkt en dat de mens een bepalende rol speelt, is het de vraag wat organisaties kunnen doen om verbeteringen te realiseren. Volgens Cegeka begint het realiseren van die veiligere omgeving niet bij het kopen van een tool, maar bij het analyseren van de huidige staat van het securitybeleid en de uitvoering daarvan. Cruciaal onderdeel om te beoordelen is business continuity, compliance en risicobeheer. Hiervoor breng je in kaart wat je kritische assets en gevoelige data zijn en wie erbij kunnen. Hoe belangrijk zijn kritische applicaties en processen voor de continuïteit van je bedrijf en wat zijn de risico’s die je loopt? Hoe is het met de securityonderdelen gesteld, wat heb je en waar wil je naartoe? Het beantwoorden van dergelijke vragen helpen bij de evaluatie. Op basis daarvan kan je bepalen welke risico’s je loopt en waar de prioriteiten moeten liggen. Dit helpt bij het bepalen van je eerste stappen richting een verbeterde securitystaat.

Een diagram dat het proces van cyberweerbaarheid laat zien.

Als er eenmaal aanknopingspunten zijn, is het zaak om op basis van de staat van het securitylandschap en de prioriteiten te beslissen wat er moet gebeuren. Op basis van de kennis en expertise binnen een organisatie, het beschikbare budget en de beschikbare tijd kan men richting een plan werken. Hierin worden de gewenste oplossingen, het veranderproces en evaluatiemomenten meegenomen.

Cegeka komt bij dit proces bedrijven tegen die echt bereidwillig zijn om aan de slag te gaan, waar ze de basis op orde hebben. De volgende stappen zullen dan soepeler verlopen. Toch zijn er ook organisaties waar wel wil is, maar waar simpelweg de kennis of capaciteit niet aanwezig is. In dat geval gaan de gesprekken die Cegeka voert vaak over het wel of niet uitbesteden van technologie. Een goed voorbeeld hiervan is een SOC. Dit securityonderdeel is erg budget- en tijdsintensief, maar wel cruciaal om de activiteiten op een bedrijfsnetwerk te monitoren. Door het uitbesteden kunnen de waarschuwingen die via het SOC binnenkomen alsnog worden verwerkt en geanalyseerd. Op een potentiële dreiging kan snel ingegrepen worden, iets wat bij een tekort aan securityexperts in de eigen organisatie nog wel eens misgaat.

Technologie versus organisatie

Wanneer een organisatie technologische veranderingen door wil voeren om de cyberveiligheid te versterken, zijn er overwegingen om rekening mee te houden. Zoals we hierboven bespraken, begint dit proces met een grondige beoordeling van de huidige situatie om de technologische infrastructuur en de gevoelige data in kaart te brengen. Op basis van de beoordelingen worden de belangrijkste risico’s en prioriteiten vastgesteld.

In de volgende fase betrek je de organisatie meer, zodat zij meegaat in het veranderingsproces. Medewerkers moeten zich niet alleen bewust zijn van de veranderingen, maar ook begrijpen waarom ze worden doorgevoerd. Dit begint met duidelijke communicatie van de noodzaak van de veranderingen en hoe deze de organisatie en individuele medewerkers ten goede zullen komen.

Effectief veranderingsmanagement zal de doorslag geven. Het kan bepalen of de weerstand tegen verandering groot of minimaal is. Hiervoor worden medewerkers geïnformeerd over wat er zal veranderen, hoe ze betrokken zullen worden en welke ondersteuning beschikbaar is. Het kan helpen medewerkers te betrekken bij het ontwerpen van de veranderingen en ze de ruimte te geven voor opmerkingen.

De rol van het management

Verandering kan je uiteindelijk alleen te lijf gaan bij steun en overtuiging van het management. Voskeuil identificeert namelijk dat verandermanagement begint bij visie. Is het management echt bezig met het creëren van een digitaal veilige organisatie? Dit is gunstig voor de acceptatie van beveiliging door gebruikers, aangezien de houding van het management kan doorsijpelen naar de medewerkers.

Cegeka merkt echter vaak dat het management van een bedrijf verklaart dat ze cybersecurity belangrijk vinden, maar dat de praktijk aantoont dat ze nog lang niet veerkrachtig genoeg zijn en onvoldoende budget beschikbaar stellen. Voskeuil ondersteunt dit door te wijzen op onderzoekscijfers van Havard Business Review. Wat blijkt, ondanks de investering van tijd en geld in cybersecurity, vreest nog steeds 65 procent van de directeuren een cyberaanval in het komende jaar. De helft van de managers denktzelfs onvoorbereid te zijn op een doelbewuste aanval.

De onderzoeksresultaten laten wel zien dat de awareness, oftewel het besef van de risico’s, groeit. Tegelijkertijd leidt dit bewustzijn echter niet tot het beter voorbereid zijn als organisatie op een aanval.

Weet waarom je het moet doen

Uiteindelijk blijft het in het hele proces van technologie en mens wat Cegeka betreft cruciaal om het securitylandschap en de potentiële risico’s te blijven evalueren. Zo kunnen eventuele investeringen en middelen opnieuw geprioriteerd worden. Dit met als doel om de processen voor identify, protect, detect, respond en recover zo effectief mogelijk te laten verlopen.

Voskeuil ziet voor het overkoepelende verhaal uiteindelijk uitdagingen in het mee kunnen krijgen van iedere medewerker. Hij pleit dan ook voor het gebruik van meer trainingen en video’s om de securitycultuur binnen organisaties te verbeteren. “Je moet iedereen meekrijgen, van HR tot inkoop tot vrachtwagenchauffeurs.”

Al met al is het duidelijk dat security niet alleen een technologische uitdaging is, maar ook een culturele. Een effectieve securitystrategie vereist de betrokkenheid en medewerking van alle medewerkers, van hoog tot laag in de organisatie. Het streven naar een uniforme en proactieve securitycultuur is van essentieel belang om de groeiende dreiging van cyberaanvallen het hoofd te bieden.