Oktober is cybersecurity maand
Wie de actualiteit volgt, ziet dat er geen ontkomen aan is: iedere week is er een nieuwe hack, heeft ransomware toegeslagen of is er sprake van een groot datalek. De vraag is niet meer of, maar wanneer je als organisatie aan de beurt bent. Edwin Lodder, managing Director bij Yellowtail Conclusion, ziet oktober cybersecurity maand als een uitgelezen kans. Waar rokers deze maand voornemens zijn te stoppen met hun gewoonte om gezondheidsrisico’s te voorkomen (stoptober), draait het in de maand van de cybersecurity voor organisaties juist om het stárten met gewoontes om risico’s te voorkomen en ervoor te zorgen dat de waardevolle bedrijfsinformatie veilig blijft.
Goed nieuws
Het goede nieuws: het gaat gemiddeld gezien goed met het risicobewustzijn, zowel in de top bij grote organisaties, als binnen de Rijksoverheid en gemeenten, waar wij met onze ISMS, GRC en PMS-software actief zijn. Bestuur en directies zijn doordrongen van het belang dat informatieveiligheid, informatiebeveiliging en privacy belangrijke thema’s zijn waaraan gewerkt moet worden binnen de organisatie. Tegelijkertijd ontbreekt het vaak aan slagkracht om de volgende stap te zetten naar volwassen beleid rond cybersecurity.
De bottlenecks
De vraag is wat deze organisaties ervan weerhoudt om door te pakken. Vanuit Key Control Dashboard zien wij drie oorzaken hiervan: het gebrek aan expertise, middelen en een goede integrale informatievoorziening.
1. Gebrek aan expertise
De expertise waar het bij informatiebeveiliging en cybersecurity om gaat is dun belegd. In 2021 lijkt iedereen echt wakker geworden. Alle organisaties zijn op zoek naar goede CISO’s en andere beveiligingsexperts, maar deze zijn er simpelweg onvoldoende. Het vakgebied is nieuw, is in ontwikkeling en kent nog relatief weinig studenten. Investeren in kennis, opleidingen en omscholing binnen organisaties is daarom een must. Daarnaast zal er binnen de lijnorganisaties meer interesse gecreëerd moeten worden voor het vakgebied en bijbehorende onderwerpen. Zo speelt de menselijke factor vrijwel altijd een rol bij informatiebeveiligingsincidenten. Een brandoefening is gemeengoed, maar hoe vaak simuleert u met uw medewerkers een ernstig datalek of een hack?
2. Middelen
Voor niets gaat de zon op. Er zijn investeringen nodig. Dit begint bij de investering in trainingen, maar denk ook aan een veilige (hosting)omgeving met alle bedrijfsdata. Maar ook diverse scanners met betrekking tot malware, ransomware, aandacht voor encryptie, pentesten, veilige wachtwoordpolicies en functiescheiding. Het bereiken van een volgend volwassenheidsniveau gaat niet vanzelf en zeker niet zonder investeringen in middelen.
3. Integrale informatievoorziening
Aantoonbaarheid is key. Uw organisatie kan nog zo goed bezig zijn, maar als niet vastgelegd wordt welke ontwikkeling uw organisatie doormaakt, is er niets om op terug te vallen als het misgaat:
- Welke beheersmaatregelen mitigeren effectief de risico’s?
- Werkt uw organisatie in lijn met de IB normenkaders?
Denk aan ISO 27001, DNB COBIT, de BIO of de NEN 7510. - Voert u aantoonbaar en periodiek risk-assessments uit op de belangrijkste bedrijfskritische assets?
ISMS software houdt scherp
Bij de integrale informatievoorziening komt onze Key Control Dashboard ISMS software van pas. Want aan elkaar geknoopte Excels schieten simpelweg tekort voor een robuust ISMS. Er is een gedegen en data driven informatievoorziening nodig die inzicht geeft in de volwassenheidsgroei van de organisatie, inclusief logging, actiemanagement en beheersbare governance. Beveiligingsnormen moeten overzichtelijk worden geborgd en gekoppeld aan de juiste risico’s. Een decentrale inrichting van het ISMS faciliteert de business verantwoordelijkheid en de accountability binnen de organisatie. Hiermee kan eigenaarschap worden belegd en zal het draagvlak groeien. Een integraal en robuust ISMS voorkomt niet dat het misgaat, maar het biedt de basis voor een nulmeting en het borgen van de ontwikkeling. Daarnaast – en minstens zo belangrijk – ontstaat er een dossier waarmee u kunt aantonen dat cybersecurity een focusgebied is binnen de organisatie. Wel zo fijn om ergens op terug te kunnen vallen, ook als oktober weer voorbij is.
Succes de komende maand,
Edwin

https://www.linkedin.com/in/edwinlodder/
elodder@yellowtail.nl
Edwin Lodder is managing Director bij Yellowtail Conclusion. Hij draagt binnen de organisatie de risicomanagement portefeuille en is verantwoordelijk voor de Key Control Dashboard GRC, ISMS en PMS software en dienstverlening.