Ieder bedrijf heeft te maken met vertrouwelijke gegevens, ongeacht omvang of sector. Het hosten en beveiligen van deze gegevens is tegenwoordig dan ook een inherent onderdeel van iedere bedrijfsstrategie. Juist door de grote impact die een aanval kan hebben, is security niet langer alleen de verantwoordelijkheid van de it-afdeling. Het is dusdanig belangrijk geworden, dat het nu zelfs de zorg is van de directie.
Het is niet voor niets dat steeds meer bedrijven een ciso (chief information and security officer) aanstellen in de raad van bestuur, om het intellectueel eigendom van de organisatie veilig te stellen. De nieuwe Wet Meldplicht Datalekken geeft alleen nog maar meer momentum aan deze verschuiving. Er staat bedrijven een forse boete te wachten als persoonsgegevens in verkeerde handen vallen. Dit zorgt ervoor dat een steeds groter deel van het it-budget wordt besteed aan de beveiliging. Maar zorgt dit ook voor een effectiever securitybeleid? Ik denk van niet. Een focus op de menselijke en organisatorische kant is net zo hard nodig om de risico’s te minimaliseren.
De factor mens
Security is een zeer dynamisch vakgebied en dit maakt het onmogelijk voor een organisatie om zich 100 procent te beschermen tegen een lek. Het besef dat securityincidenten onvermijdelijk zijn, begint steeds meer door te dringen. Louter vertrouwen op beveiligingsoplossingen, bovenop bedrijfssystemen, is niet goed genoeg om vertrouwelijke gegevens te beschermen tegen steeds meer geavanceerde cyberbedreigingen. Vanuit dit perspectief zullen organisaties ook de beveiliging van bedrijfsgegevens moeten benaderen.
Tegenwoordig wordt een datalek al snel geassocieerd met hackers, terwijl het grootste risico juist van binnenuit komt. Een datalek is bijvoorbeeld ook een verloren usb-stick, een document dat onder het kopieerapparaat is blijven liggen, een makkelijk wachtwoord of een verloren tablet. Het zijn allemaal menselijke factoren, en ook daar moeten organisaties de juiste bescherming bieden. Om het securityniveau te verhogen zullen dus zowel technische als organisatorische maatregelen genomen moeten worden. Denk aan maatregelen zoals bewustzijn, leiderschap, governance en een goed detectie- en responsbeleid.
Richtlijnen
Het beveiligen van het bedrijf is niet makkelijk, maar de beste plek om een cultuurverandering te beginnen is aan de top. Maar hoe pak je dat nu slim aan? In eerste instantie moet cybersecurity een prioriteit worden voor het bedrijf. Veiligheid (en de maatregelen die zijn genomen) moet regelmatig op boardniveau worden besproken.
Om inzicht te krijgen of je als directielid de juiste dingen doet, kunnen bestuursleden zich wenden tot de Europese PAS 555-standaard. Dit raamwerk helpt directieleden bij het beoordelen of bestaande maatregelen, tools en standaarden voldoende risicobeheersing bieden. Dit maakt het mogelijk om op strategisch niveau te sturen op security en gelijktijdig ook operationele lagen te betrekken.
Leiderschap
Leiderschap is een even cruciaal onderdeel van security als de techniek. Ga bij jezelf te rade; werken wij op een veilige manier met elkaar samen, is het kennisniveau op peil, staat er een up-to-date crisis- en responsplan klaar en geven we zelf wel het goede voorbeeld? In het geval van een incident gaat het immers niet alleen om de detectie, het gaat om een adequate handeling.
De mate waarin een crisis goed wordt afgehandeld, hangt af van de daadkracht van de directie en de raad van bestuur. Immers zijn zij degenen die verantwoordelijk zijn om de risico’s in te schatten, schade te beperken, en te zorgen voor de juiste communicatie.
Concurrentiefactor
Organisaties die security goed inregelen, hebben goud in handen. Tegenwoordig willen klanten graag verrast worden door nieuwe technologie, maar zij willen tegelijkertijd dat hun gegevens veilig zijn en hun privacy is gewaarborgd. Bedrijven die erom bekend staan veilig en zorgvuldig om te gaan met hun klantgegevens zijn daarmee in het voordeel.
Veiligheid wordt daarmee meer en meer een onderscheidende en concurrerende factor. Een factor waarbij het niet langer gaat om het afschermen, maar om het beschermen van gegevens.