zoeken binnen de website

Cybersecurity heeft toegevoegde waarde

door: Freek Blankena | 17 december 2013

Het is nog steeds niet makkelijk cybersecurity te ‘verkopen’ aan bestuurders. Maar cybersecurity is niet alleen een zorg, het biedt ook kansen – voor het imago, de efficiency en de dienstverlening. Op het iBestuur symposium op 28 januari leggen de kopstukken op dit gebied uit hoe je het onderwerp op de agenda zet.

De toegevoegde waarde van cybersecurity

Dinsdag 28 januari, Sociëteit De Witte, Den Haag. Van 15 uur tot 17 uur, borrel na.


Vraag een paar prominente cybersecurity-strijders naar hoe ze bestuurders bewegen tot fundamentele aandacht voor digitale veiligheid en bij elk van hen komt al gauw de naam DigiNotar voorbij. Het plotseling onbetrouwbaar worden van de versleuteling van de digitale overheidscommunicatie, twee jaar geleden, ligt nog vers in het geheugen als wake-up-call en als voorbeeld van hoe het niet moet. En effect heeft het ook bij die bestuurders wel gehad, denkt Ad Reuijl, directeur van het Centrum Informatiebeveiliging en Privacybescher-ming (CIP). “DigiNotar heeft een enorme schokgolf teweeggebracht bij de over- heid, waardoor het urgentiegevoel aan de bestuurstafel heel erg is toegenomen.” Het ontstaan van het CIP, een vrijwillig samenwerkingsverband van de grote uitvoeringsorganisaties, is daarvan ook een gevolg. “Men heeft de samenwerking opgezocht en besteedt er fondsen aan. De awareness is gegroeid.”

Maar ‘awareness’ alleen is niet genoeg om nieuwe DigiNotars te voor- komen. Douwe Leguit, manager van de Interbestuurlijke Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID), geeft aan dat het lastig is om cybersecurity echt tussen de oren te krijgen bij de bestuurders. “De eerste reflex is nog vaak ‘dat is iets van de IT- afdeling’, of ‘dat heb ik geoutsourced’. De vertaling van die problematiek naar een business case wordt vaak niet gemaakt of niet herkend.” Terwijl ze zich volgens Leguit toch moeten afvragen ‘wat betekenen dit nu eigenlijk voor mijn dienstverlening?’. De Taskforce BID zet in op ‘verplichtende zelfregulering’ voor alle bestuurslagen binnen de overheid. Leguit: “Geen ‘afvinklijstjes’ – die voorkomen situaties als DigiNotar niet – maar zorgen dat men gericht is op zijn rol en verantwoordelijkheid, juist op het niveau van bestuurders.”
En op dat vlak gebeurt er wat, volgens hem. Begin november was er een interbestuurlijk diner over dit thema en de gemeenten hebben eind november ingestemd met een resolutie informatieveiligheid.

Remmen

Leguit krijgt vaker de vraag naar de toegevoegde waarde van al die inspanningen op cyber-securitygebied. “De remmen in je auto laten je stoppen, maar bovenal geven ze je de mogelijkheid om harder te kunnen rijden. Informatieveiligheid kan voor je organisatie ook meer mogelijkheden bieden.”

Alleen maar kijken naar de gevaren is niet de goede aanpak, vindt ook Wil van Gemert, directeur van het Nationaal Cyber Security Centrum (NCSC). “Je moet ook kijken naar de kansen. Nieuwe producten en vormen van dienstverlening worden mogelijk.”
Hij vestigt zijn hoop op de Nederlandse poldermentaliteit en de neiging coalities aan te gaan. “En daarnaast moeten we ons realiseren dat we naast de Rotterdamse haven en Schiphol nog een derde mainport hebben: onze cyber-infrastructuur.”

Matthijs Ros, managing consultant Cyber Security bij Capgemini, gaat nog een stapje verder. “Het werkt al lang niet meer om puur vanuit dreigingen het management te overtuigen, een bestuurder zal dat wegwuiven en zeggen dat dit hem niet overkomt. Pas bij een incident zal hij actie ondernemen. Het bankwezen gebruikt cybersecurity al een tijd als marketingmiddel richting burgers en klanten: als je bij ons klant bent zijn je gegevens veilig.”

Daarnaast ziet Ros dat bestuurders, door security de juiste aandacht te geven, gedwongen worden goed te kijken naar hun eigen organisatie. “Daarmee kun je efficiency-voordelen behalen.” Bestuurders en managers moeten er dan wel eerst achter zien te komen wat de ‘kritieke assets’ zijn, hun kroonjuwelen. “Dán weet je pas waar je op moet focussen en kom je erachter dat je lang niet alles tot het hoogste niveau hoeft te beveiligen. Je moet het management de middelen geven waarmee ze overtuigd raken dat ze weer ‘in control’ zijn.”

Proactief

Zijn collega Zsolt Szabo, vice president bij Capgemini, benadrukt nog het belang van de kwaliteit van de dienstverlening van de overheid. “Klanten bepalen zelf op welke manier ze willen communiceren met de overheid. Overheden hebben de risico’s die zij hierbij lopen steeds beter in kaart. Ze zullen echter blijvend dagelijks proactief moeten blijven monitoren om incidenten te voorkomen. Kwaliteit van dienstverlening en grip op security hebben een rechtsreeks verband.”

De sprekers hebben elk hun eigen voorbeelden van denkfouten die rond cybersecurity worden gemaakt. Van Gemert: “De grootste is toch dat men denkt dat het iets is van de IT-sector en het dus niet in de boardroom thuishoort. En een tweede is dat het iets is dat je achteraf toevoegt. En dat kan niet meer, het is geen sluitpost.” Reuijl: “Ik denk dat je altijd weer overvallen wordt door weer nieuwe mogelijkheden die door de criminele wereld veroorzaakt worden. De boeven zijn eigenlijk altijd een stap voor.” Ros ziet nog een ander misverstand: “Het beeld heerst dat cybersecurity ongelooflijk lastig is en heel veel kost. Dat is denk ik de belangrijkste denkfout. Pas als je weet wat er in jóuw organisatie kritiek is, kun je zeggen hoe groot het wordt. Je hóeft ook niet alles te beveiligen.”

Meer informatie over het iBestuur symposium ‘De toegevoegde waarde van cybersecurity’ vindt u hier

tags: , ,

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.