Bedrijven benaderen het gevaar van datalekken te veel vanuit de technische kant (ict). Ze zouden de beveiligingsrisico's meer op strategisch niveau moeten aanpakken. Een nieuwe Europese standaard, PAS 555, biedt daar een goede richtlijn voor. Dat stelt adviesorgaan Cyber Security Raad na gesprekken met de directies van grote Nederlandse bedrijven. 'Het voorkomen en aanpakken van datalekken hoort in de boardroom thuis', aldus de raad.
De raad: ‘De huidige operationele ict-standaarden, zoals ISO 27001, focussen met name op technische maatregelen in organisaties om cyber security te borgen. Maar dat is al lang niet meer genoeg. Op strategisch niveau is voor dit thema meer aandacht en samenhang nodig, zodat datalekken worden voorkomen in plaats van gemeld.’ Het adviesorgaan dat het kabinet en bedrijven adviseert over internetbeveiliging springt met het advies in op de recente berichten over de meldplicht van datalekken. ‘Bedrijven en organisaties besteden veel geld aan digitale veiligheid en informatiebeveiliging, maar het aantal cyberincidenten en de impact daarvan blijven stijgen. Er moet wat veranderen. Leunen op techniek alleen is niet meer genoeg. Dat bewijzen grote en recente cyberaanvallen die met succes zijn uitgevoerd’, aldus de Cyber Security Raad.
De raad dringt er bij het bedrijfsleven op aan om strategische kwaliteitsnormen in te zetten om het algehele niveau van cyber security te verhogen. De nieuwe Europese standaard PAS 555 is volgens hen één van de standaarden waarmee boardrooms en directies belangrijke stappen kunnen zetten om de toenemende cyberdreigingen het hoofd te bieden.
Strategie
Volgens de raad zijn er diverse standaarden, zoals een aantal ISO-normen en good practises, die helpen bij het borgen van cyber security in organisaties. ‘Maar dat is op operationeel niveau en met name gericht op technische maatregelen. Effectieve cyber security kan alleen bereikt worden als de complete bedrijfsvoering gericht is op het voorkomen van cyberincidenten.’
De raad benadrukt dat cyber security dus niet alleen een ict-probleem is. Het gaat ook over governance, leiderschap, cultuur, bewustzijn, gedrag, fysieke veiligheid, intelligence, onderzoek, detectie, respons en herstel na een incident. ‘In tegenstelling tot de operationele standaarden, beslaat de uit Engeland afkomstige PAS 555 al deze onderwerpen, net als de NIST uit Amerika. Daarmee is het een goede norm voor een brede aanpak van cybersecurity. ‘Nu er een Europese strategische standaard beschikbaar is, zijn alle bedrijven en organisaties in Nederland aan zet.’
PAS 555 is in mei 2013 gepubliceerd door The British Standards Institution. Het is een nieuwe Europese standaard die volgens de makers alle onderdelen beslaat die van belang zijn voor de internetbeveiliging van een organisatie. ‘Cyber security wordt op topniveau belegd in bedrijven en organisaties. De standaard is resultaatgericht en beschrijft de uitkomsten van effectieve cyber security. Hoe daaraan wordt voldaan, is flexibel en mag zelf worden bepaald. PAS 555 kent verwijzingen naar operationele ISO-normen als 20000-1, 27001:2005, 9001:2008 en 31000:2009, maar ook eigen processen mogen worden beschreven. De werklast die PAS 555 met zich meebrengt valt daardoor mee en maakt het geschikt voor kleine en grote bedrijven en organisaties’, aldus de raad.
Cyber Security Raad
De Cyber Security Raad is een onafhankelijk orgaan, dat op 30 juni 2011 is ingesteld. De raad geeft gevraagd en ongevraagd advies aan het kabinet en ziet toe op de uitvoering van de Nationale Cyber Security Strategie. Door de raad wordt ook aandacht besteed aan bewustwording in de boardroom, onderzoek en opleidingen en de afstemming rondom digitale veiligheid in internationaal verband.
De organisatie bestaat uit zestien leden. Dat zijn onder meer co-voorzitters Eelco Blok (VNO-NCW/MKB-Nederland) en Dick Schoof (Nationaal Coördinator Terrorismebestrijding en Veiligheid), Bart Hogendoorn (Nederland ICT), René Steenvoorden (CIO Platform), Ben Voorhorst (vitale infrastructuur) en Tineke Netelenbos (ECP). Zij komen zo’n zes keer per jaar bij elkaar voor algemeen overleg en organiseren themabijeenkomsten.
De Cyber Security Raad is partner van het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid.
Vreemd standpunt van dit nieuwe overheidsorgaan. De meeste hacks vinden plaats dankzij een achterstand in het onderhoud van de infrastructuur, veelal veroorzaakt door slechte governance/fout besparingsbeleid.
Om dan vol te houden dat een nieuwe ICT-standaard daar verandering in kan brengen (waren SOX, ISO-27000, ISA-99 daar al niet voor bedoeld ?) is dan ook opmerkelijk.
Bedrijven vergeten vaak dat ze vanuit de wetgeving (bijv. WBP) zelf juridisch aansprakelijk zijn voor de beveiliging. ICT bekijkt het vanuit een technisch perspectief, de directie zou het moeten bewaken vanuit juridisch oogpunt.
Neem de verspreiding van malware op diverse grotere websites een paar weken terug. Dit kun je zien als een technische zaak, maar het kan als een boomerang door klachten en claims ook jurische terugslaan naar het bedrijf!
In Europa kennen we als beveiligingstandaard natuurlijk ISO27001 maar inmiddels is PCI/DSS (mede door de credit card maatschappijen) een wereldwijde standaard geworden. PCI/DSS is bijvoorbeeld onderdeel van McAfee SECURE, waarbij beveiliging en marketing samengaan middels het vertonen van een McAfee SECURE-logo zodat klanten zien dat een website veilig is.
In dat opzicht is beveiligings ook voor de marketeers belangrijk; een zorgvoldig opgebouwd imago kan door 1 hack teniet worden gedaan…
Wanneer IT beveiliging een open deur is.
Zeker is beveiliging niet een feestje van ICT alleen en heb al eens gezegd dat als IT het voor het zeggen had we veel minder problemen zouden hebben. Meer dan een jaar geleden publiceerde ik een verslag over ALT-S, het open IT security congres dat gehouden werd omdat de werkelijke experts niet welkom waren op het feestje van NCSC. Daar repte ik ook over informatiebeveiligingsdienst van VNG die ondertussen verworden is tot een helpdesk voor Windows XP. En Brenno de Winter was ronduit slecht te spreken over de Nationale Cybersecurity strategie die nog steeds niet gericht lijkt op het dichten van datalekken omdat dit soort adviesorganen het verschil niet eens kennen router en kachel….