De opzet van informatiebeveiliging moet in sommige organisaties veel beter. Het kan goedkoper, effectiever, en met nadruk op het ondersteunen van het primaire proces, in plaats van op wet- en regelgeving. Het volgen van een aantal simpele stappen kan hieraan bijdragen.
Het is niet meer de vraag of organisaties digitale aanvallen zullen ondervinden, maar nog slechts wanneer. Ondanks aanzienlijke dreigingen en risico’s lijkt de ‘business’ van organisaties soms nog lastig te overtuigen van de noodzaak van maatregelen. Dat heeft twee redenen: ze hebben nog onvoldoende scherp op welke manier informatiebeveiliging hun strategie ondersteunt. En ze weten onvoldoende waar ze moeten beginnen, door de gebrekkige verbinding tussen de IT-beveiligingsafdeling en het primaire proces.
Wat betekent dat voor onze organisatie?
Organisaties willen vooral dat hun primaire, kritische processen normaal blijven opereren. Om de voordelen van beveiligingsinvesteringen te formuleren is het essentieel de waarde van de beveiliging voor deze processen zo scherp mogelijk te beschrijven. Wat zijn de gevolgen voor de specifieke KPI’s bij een concrete dreiging of aanval?
De securityafdeling dient bij een aanval niet alleen inzichtelijk te maken wat er precies is gebeurd en welke data zijn verloren, maar dient ook een vertaling te maken naar de potentiële schade in termen van de relevante KPI’s van een organisatie. Alleen dan gaat het leven in veel organisaties. Uiteraard is het niet verstandig om een incident af te wachten om zwakke plekken bloot te leggen. Een eenvoudig stappenplan kan hieraan bijdragen.
1. Basis op orde
In de praktijk blijken veel organisaties moeite te hebben om de basis van beveiliging op orde te krijgen. In het oog springende beveiligingsmaatregelen zoals fysieke beveiliging, screening van personeel, patch management, firewalls en andere puntoplossingen voor netwerkbeveiliging zijn veelal geïmplementeerd. Beveiliging op basis van risico’s, security by design, beveiligingsbeleid en naleving ervan is vaak minder goed onder controle.
Samen met de business moet een prioritering van de beveiligingsinspanning worden bepaald. De prioritering wordt gebaseerd op de meest kritische bedrijfsprocessen van de organisatie. Hetzelfde geldt voor de kritische data die een organisatie heeft, zoals persoonsgegevens of intellectueel eigendom. De business bepaalt de gewenste beveiligingsniveaus in termen van vertrouwelijkheid, integriteit en beschikbaarheid.
2. Vernieuwing en innovatie
De basisbeveiliging zal door de steeds veranderende bedrijfsprocessen mee moeten ontwikkelen. Het kan niet bij een eenmalige analyse en implementatie van maatregelen blijven. Bedrijfsprocessen veranderen immers momenteel in snel tempo door digitalisering. Het proces uit stap 1 moet daarom periodiek worden herhaald. Door beveiliging als een onderdeel van de bestaande planning- en controlecyclus te borgen krijgt informatiebeveiliging permanente aandacht van de organisatie. De beveiliging moet ook aansluiten bij organisatieonderdelen die veelal vooraan staan bij vernieuwingen en innovaties, zoals inkoop, programma’s en projecten, én natuurlijk de business zelf. Informatiebeveiliging wordt adviseur van de business.
3. Integraal risicomanagement
Wanneer de verbinding met de primaire processen zich tot dynamische samenwerking heeft ontwikkeld, dienen zich nieuwe kansen aan. Digitale veiligheid moet deel gaan uitmaken van het integrale risicomanagement van de organisatie. Bovendien moet de bestuurder van de organisatie er voortdurend van op de hoogte worden gebracht, en deze moet dat ook willen. Hij wordt er in ieder geval op afgerekend. Digitale veiligheid dient daarbij in verbinding te staan met gekende risicomanagementspecialismen als financieel risicomanagement, reputatierisicomanagement of contractrisicomanagement, zodat digitale risico’s inzichtelijk zijn voor de organisatie.
4. Realtime monitoring: SOC als big data-bron
De manier om de verbinding tussen de beveiliging en primaire processen op een dagelijkse manier te versterken is door vanuit de meest operationele afdeling, het Security Operations Center (SOC), de basis te laten leggen naar realtime integraal risicomanagement in een organisatie. Het verschil met stap 3 is dat een SOC veel accurater en dynamischer kan acteren.
Conclusie
Kijkend naar de trends in digitale transformaties, zoals social, mobile, cloud, Internet of Things, moet beveiliging momenteel meegroeien naar realtime en een steeds bredere en diepere digitalisering van processen aankunnen. Dit verbetert als de verbinding tussen de securityafdelingen en de business wordt versterkt. Want pas als er betekenis kan worden gegeven gerelateerd aan de KPI’s van de organisatie, zal security de rechtmatige stem in boardroom kunnen bemachtigen.
Moet u dan maar afzien van de digitale transformatie? Zeker niet! Zolang u cybersecurity meeneemt in uw strategie doet u er zelfs heel goed aan. Capgemini helpt u de risico’s in kaart te brengen en uw organisatie te beschermen op het niveau dat past bij de aard van uw business. Ruim 2.500 professionals denken als hackers en kijken door hun ogen naar risico’s voor uw organisatie. Ze zijn volledig gefocust op de bescherming van u en uw klanten met een breed portfolio aan producten en diensten. En helpen u gecontroleerd de digitale transformatie te maken met het juiste beveiligingsniveau. We adviseren en controleren, we beschermen en we monitoren.
Matthijs Ros is leader cybersecurity bij Capgemini.
Laurens van Nes is managing consultant bij Capgemini en actief op het gebied van cybersecurity en intelligence.