BLOG – In een eerder verschenen stuk beschreef ik de three-box-solution, een strategisch raamwerk ontwikkeld door professor Vijay Govindarajan waarbij het gaat om evenwicht in energie, tijd en middelen in de drie domeinen heden, verleden en toekomst. Wellicht iets filosofisch, maar toegepast op (identity) security kan het model voor een verschuiving van perceptie zorgen.
Vele multinationals hebben het succesvol toegepast op hun bedrijfsmodel en ook op het gebied van security-strategie kan het voor een welkome verandering van aanpak zorgen. In de kern gaat het er dan om dat het lineair denken wordt doorbroken, waardoor organisaties effectiever en snellen inspelen op dat wat komen gaat in de toekomst. Dit komt neer op het optimaliseren van security-maatregelen voor huidige identiteitssystemen zodat legacy-systemen niet voor onnodig veel risico’s zorgen. Vervolgens moeten oude identiteitsbeheerpraktijk worden uitgefaseerd. In de derde ‘box’ wordt er gebouwd aan een moderne zero-trust-architectuur.
Voor een verdere uitleg van de theorie verwijs ik naar het eerdere artikel. Hieronder een korte uiteenzetting wat de stappen voor de ciso zijn die een dergelijke wetenschappelijke benadering wil doorvoeren.
Drie stappen binnen de three-box-solution
We blijven het getal drie hanteren, want bij het toepassen van de three-box-solution op security identity moet een ciso de volgende drie zaken in gedachten houden:
- Breng innovatie en security in evenwicht. Het is cruciaal om nieuwe technologieën te gebruiken om bedrijfsdoelstellingen te verbeteren. Deze transformatie mag echter de beveiliging van legacy-systemen niet in gevaar brengen. Een gefaseerde aanpak, waarbij prioriteit wordt gegeven aan elementen met een hoog risico, kan helpen om dit effectief te doen. Hiervoor is zichtbaarheid van groot belang; je moet weten wat er in huis is, en wat die systemen doen. Dit kan met name bij oudere systemen een uitdaging zijn, dus breng die in kaart. Vervolgens zijn dan vernieuwingsstappen te plannen.
- Bouw een beveiligingscultuur op. Beveiliging draait uiteindelijk allemaal om mensen. Het succesvol implementeren van nieuwe technologieën en security-kaders vereist een aanzienlijke verschuiving in de organisatiecultuur. Door de nadruk te leggen op opleiding/training en het faciliteren van medewerkers, kan dit in goede banen worden geleid en wordt de kans op succes vergroot.
- Werk samen binnen de organisatie. Effectieve identity security vereist samenwerking tussen it- en securityteams en medewerkers ‘vanuit de business’. Het opzetten en stimuleren van sterke communicatiekanalen en een open, transparante dialoog zorgen ervoor dat beveiligingsinitiatieven op één lijn blijven met de bedrijfsdoelstellingen. Het meekrijgen van het team is bepalend voor het slagen hiervan.
Bart Bruijnesteijn is solutions engineering director North Europe bij CyberArk
