Hoe dicht je de kloof tussen cybersecurity en business?
De digitalisering zet door, en daarmee ook een toenemend aanvalsoppervlak en dreigingen. Daarom is het moeilijk voor IT-beveiligingsprofessionals om hun kalmte te bewaren en niet bij elk risico dat ze zien van de daken te schreeuwen. Dit ‘van de daken schreeuwen’ komt veel voor, maar heeft meestal weinig structurele impact. Hoe komt het dat dit gebeurt en wat kunnen we doen om ervoor te zorgen dat IT-beveiligingsprofessionals het hoofd koel houden? Lees er alles over in de nieuwste blog van Master IT!
- Wat moeten we beschermen?
- Een sterke boodschap
- “Continuïteit en ongestoord functioneren van de business is het doel van
cybersecurity” - Meer informatie over de security trainingen van Master IT
Wat moeten we beschermen?
Het verbazingwekkende is dat we ons vaak richten op bedreigingen. Dit is niet verwonderlijk aangezien cybersecurityprofessionals voortdurend alarmerende ontwikkelingen observeren, vooral met betrekking tot misdaad en APT-dreigingen. Daarnaast worden we bijna dagelijks geconfronteerd met nieuwe kwetsbaarheden in software, die veel risico’s met zich mee kunnen brengen.
Afbeelding 1: Rollen binnen een organisatie – Nationaal Cyber Security Centrum
“Maar wat moet je nu echt beschermen?” Dit is een belangrijke vraag. Door deze vraag te stellen, kunt u veel van de bedreigingen die u ziet in verband brengen met risico’s voor uw organisatie. Op het eerste gezicht lijkt dit misschien een simpele vraag, maar het antwoord dat je geeft hangt sterk af van je focus als individu en je rol binnen de organisatie.
- Als je een ingenieur bent, kun je denken aan de beschikbaarheid van infrastructuur, vertrouwelijkheid van gegevens, integriteit van de configuratie, enz.
- Heb je een politieke achtergrond? Dan zoek je waarschijnlijk antwoorden op proces- en informatieniveau. Bijvoorbeeld het tijdig verstrekken van informatie en de mogelijkheid om aanvragen in te
dienen. - Bestuurders en strategische adviseurs kunnen nadenken over zaken die verband houden met bedrijfsdoeleinden, zoals: relaties met strategische partners, reputatie van de organisatie of
klantvertrouwen binnen de organisatie.
Een sterke boodschap
Kun je verschillende doelen zien in het voorbeeld dat ik zojuist heb gegeven? Als IT-beveiligingsprofessional zou je bewuster worden als je weet hoe je bedreigingen aan deze verschillende doelen kunt koppelen. Luister bijvoorbeeld in gesprekken met het management naar de ‘frequentie’ van de bedreiging en breng op basis daarvan de belangen en risico’s is kaart die je aan een organisatie kunt koppelen.
Dit kan worden gezien als belangenanalyse, het zoeken naar verbanden tussen belangen op verschillende abstractieniveaus. Afbeelding 2 illustreert dit.
- Cyberassets (hieronder afgebeeld) zijn infrastructuur, systemen, configuraties, etc. Ze spelen een rol bij informatieverwerking of ondersteunen bedrijfsprocessen.
- Op het niveau van informatie-assets identificeer je verzamelingen van relevante/bedrijfskritische informatie en processen en koppel je deze aan organisatorische taken.
- Koppel tenslotte operationele taken aan de missiedoelen van de organisatie
Afbeelding 2: Belangen van een organisatie per niveau – Nationaal Cyber Security Centrum
Continuïteit en ongestoord functioneren van de business is het doel van cybersecurity
Het citaat hierboven is een goed startpunt bij het overbruggen van de kloof tussen IT-beveiliging en bedrijfs- of organisatiedoelen. Beveiliging is essentieel voor het functioneren van een organisatie. Zonder beveiliging zouden er al snel problemen ontstaan door bijvoorbeeld ransomware of duizenden andere bedreigingen die voor kunnen komen.
Maar veiligheid heeft ook een keerzijde. Er is veel geld en capaciteit voor nodig. Bovendien introduceert het nieuwe kwesties van toegankelijkheid, privacy (denk aan diepgaande pakketinspectie) en flexibiliteit rond wanneer en waar iemand onafhankelijk kan werken. Om als IT security-professional gehoord te worden, moet er ruimte zijn voor dialoog met de business. We moedigen je aan om je boodschap af te stemmen op mensen die het probleem niet vanuit een cyberperspectief bekijken en andere doelen hebben. Bij deze mensen ligt namelijk het grootste risico op het binnenkomen van een cyberdreiging.
Meer informatie over de security trainingen van
Master IT
Wil je meer informatie over hoe jouw organisatie zich beter weerbaar kan maken tegen cyberdreigingen met Security trainingen van Master IT? Neem dan telefonisch contact met ons op via 040 23 23 390 of bekijk ons volledige trainingsaanbod!