Hoe dicht je de kloof tussen cybersecurity en business?

Door de digitalisering van onze economie werken organisaties anno 2022 in grote mate digitaal. Dit nieuwe digitale werken brengt helaas ontzettend veel cybersecurityrisico's met zich mee. Maar welke risico's zijn dit? Hoe uiten ze zich in de praktijk? En wat kun je er tegen doen? Lees er alles over!

De digitalisering zet door, en daarmee ook een toenemend aanvalsoppervlak en dreigingen. Daarom is het moeilijk voor IT-beveiligingsprofessionals om hun kalmte te bewaren en niet bij elk risico dat ze zien van de daken te schreeuwen. Dit ‘van de daken schreeuwen’ komt veel voor, maar heeft meestal weinig structurele impact. Hoe komt het dat dit gebeurt en wat kunnen we doen om ervoor te zorgen dat IT-beveiligingsprofessionals het hoofd koel houden? Lees er alles over in de nieuwste blog van Master IT!

Wat moeten we beschermen?

Het verbazingwekkende is dat we ons vaak richten op bedreigingen. Dit is niet verwonderlijk aangezien cybersecurityprofessionals voortdurend alarmerende ontwikkelingen observeren, vooral met betrekking tot misdaad en APT-dreigingen. Daarnaast worden we bijna dagelijks geconfronteerd met nieuwe kwetsbaarheden in software, die veel risico’s met zich mee kunnen brengen.

Afbeelding rollen binnen een organisatie
Afbeelding 1: Rollen binnen een organisatie – Nationaal Cyber Security Centrum

“Maar wat moet je nu echt beschermen?” Dit is een belangrijke vraag. Door deze vraag te stellen, kunt u veel van de bedreigingen die u ziet in verband brengen met risico’s voor uw organisatie. Op het eerste gezicht lijkt dit misschien een simpele vraag, maar het antwoord dat je geeft hangt sterk af van je focus als individu en je rol binnen de organisatie.

  • Als je een ingenieur bent, kun je denken aan de beschikbaarheid van infrastructuur, vertrouwelijkheid van gegevens, integriteit van de configuratie, enz.
  • Heb je een politieke achtergrond? Dan zoek je waarschijnlijk antwoorden op proces- en informatieniveau. Bijvoorbeeld het tijdig verstrekken van informatie en de mogelijkheid om aanvragen in te
    dienen.
  • Bestuurders en strategische adviseurs kunnen nadenken over zaken die verband houden met bedrijfsdoeleinden, zoals: relaties met strategische partners, reputatie van de organisatie of
    klantvertrouwen binnen de organisatie.

Een sterke boodschap

Kun je verschillende doelen zien in het voorbeeld dat ik zojuist heb gegeven? Als IT-beveiligingsprofessional zou je bewuster worden als je weet hoe je bedreigingen aan deze verschillende doelen kunt koppelen. Luister bijvoorbeeld in gesprekken met het management naar de ‘frequentie’ van de bedreiging en breng op basis daarvan de belangen en risico’s is kaart die je aan een organisatie kunt koppelen.

Dit kan worden gezien als belangenanalyse, het zoeken naar verbanden tussen belangen op verschillende abstractieniveaus. Afbeelding 2 illustreert dit.

  • Cyberassets (hieronder afgebeeld) zijn infrastructuur, systemen, configuraties, etc. Ze spelen een rol bij informatieverwerking of ondersteunen bedrijfsprocessen.
  • Op het niveau van informatie-assets identificeer je verzamelingen van relevante/bedrijfskritische informatie en processen en koppel je deze aan organisatorische taken.
  • Koppel tenslotte operationele taken aan de missiedoelen van de organisatie

Afbeelding belangen per organisatieniveau
Afbeelding 2: Belangen van een organisatie per niveau – Nationaal Cyber Security Centrum

Continuïteit en ongestoord functioneren van de business is het doel van cybersecurity

Het citaat hierboven is een goed startpunt bij het overbruggen van de kloof tussen IT-beveiliging en bedrijfs- of organisatiedoelen. Beveiliging is essentieel voor het functioneren van een organisatie. Zonder beveiliging zouden er al snel problemen ontstaan door bijvoorbeeld ransomware of duizenden andere bedreigingen die voor kunnen komen.

Maar veiligheid heeft ook een keerzijde. Er is veel geld en capaciteit voor nodig. Bovendien introduceert het nieuwe kwesties van toegankelijkheid, privacy (denk aan diepgaande pakketinspectie) en flexibiliteit rond wanneer en waar iemand onafhankelijk kan werken. Om als IT security-professional gehoord te worden, moet er ruimte zijn voor dialoog met de business. We moedigen je aan om je boodschap af te stemmen op mensen die het probleem niet vanuit een cyberperspectief bekijken en andere doelen hebben. Bij deze mensen ligt namelijk het grootste risico op het binnenkomen van een cyberdreiging.

Meer informatie over de security trainingen van
Master IT

Wil je meer informatie over hoe jouw organisatie zich beter weerbaar kan maken tegen cyberdreigingen met Security trainingen van Master IT? Neem dan telefonisch contact met ons op via 040 23 23 390 of bekijk ons volledige trainingsaanbod!

Bij Master IT leer je alleen wat je echt nodig hebt.
Certificeringen Trainingen
Beste lesmethode
Flexibel inplannen
Kleine klassen
100% Slagingsgarantie
Gerelateerde trainingen