BLOG – Duurzaamheid en security zijn twee op het eerste oog totaal verschillende onderwerpen die beide bij veel organisaties hoog op de directieagenda staan. Ze hebben dan ook meer met elkaar te maken dan je in eerste instantie denkt: duurzaamheidsinitiatieven brengen nieuwe techniek binnen en die kunnen securityrisico’s met zich meebrengen.
Zo blijkt uit onderzoek van Rijksdienst voor Ondernemend Nederland in samenwerking met Topsector Energie en Secura dat er binnen de zonnesector drie dreigingsscenario’s zijn die potentieel grote economische, fysieke en maatschappelijke schade kunnen veroorzaken. Het is aan de ciso om dergelijke gevolgen van verduurzaming te voorzien, zodat de organisatie ze kan voorkomen. Hoe kun je dat het beste doen? Hier zijn drie belangrijke punten.
- Een visie, missie en strategie
Een bedrijf dat wil gaan verduurzamen heeft ten eerste een duidelijke visie, missie en strategie op dit vlak nodig. Dat bevordert niet alleen de betrokkenheid van medewerkers, maar creëert ook vertrouwen bij stakeholders. Daarnaast biedt het een bruikbaar stappenplan voor het managementteam zelf.
De ciso is nauw betrokken bij de ontwikkeling van deze duurzame bedrijfsstrategie. Zo hoort de ciso een essentiële rol te spelen tijdens het selectieproces van nieuwe techniek en leveranciers voor het duurzaam benutten van nieuwe energiebronnen. Een kans voor de ciso hierbij is om duidelijk te communiceren hoe de focus op veiligheid deze bedrijfsmissie mogelijk maakt. Het is immers van belang dat het hele bedrijf op de hoogte blijft van duurzame ontwikkelingen – zowel voor de groei van het vertrouwen binnen en buiten de organisatie als voor het kunnen afwegen van de mogelijke risico’s.
- Leergierigheid
Het kunnen inschatten van de mogelijke risico’s is cruciaal. Verduurzaming ten koste van de bedrijfssecurity is gevaarlijk en onacceptabel. Kennis over cybersecurity, duurzaamheid en wat die onderwerpen met elkaar te maken hebben, is dus een voorwaarde om te kunnen verduurzamen – niet alleen bij directieleden, maar ook breder in de organisatie. Daarom is het belangrijk dat de ciso betrokken medewerkers up-to-date houdt met nieuwe kennis die nodig is bij deze initiatieven, bijvoorbeeld aan de hand van voorlichting of trainingen. Zo kan de ciso met projectteams sneller afstemmen wat de veranderende risico’s zijn die voortkomen uit verduurzaming.
- Veilige ot-apparatuur
Bij verduurzamingsinitiatieven binnen jouw organisatie krijg je te maken met ot- of iot-apparatuur. Deze apparatuur faciliteert slimme automatisering die efficiëntere en zuinigere bedrijfsvoering mogelijk maakt. Denk aan slimme meters voor temperatuur en licht, groen transport, zuinig waterbeheer, zonnepanelen, laadinfrastructuren en hernieuwbare energie.
Hoewel deze apparatuur onmisbaar is voor een duurzame bedrijfsvoering, brengt het gebruik ook securityrisico’s met zich mee. Wanneer je dergelijke nieuwe apparatuur op het bedrijfsnetwerk aansluit, kan dat voor nieuwe kwetsbaarheden veroorzaken, zoals configuratiefouten of verouderde, en dus onveilige, software. Dit creëert openingen voor kwaadwillenden. Als ciso moet je hierop anticiperen en controleren of zorgen dat het bedrijfssecuritybeleid passende regels bevat.
Verder kan het onderhoud van ot-apparatuur een aanvullend cyberrisico betekenen, wanneer je onderhoud laat uitvoeren door de leverancier of een onderhoudspartner daarvan. Het is belangrijk om de toegang van deze leveranciers goed te regelen. Je wilt weten wie er toegang hebben tot systemen of het netwerk, wie dat goedgekeurd heeft binnen het bedrijf en deze toegang het liefst beperken tot de momenten dat het nodig is.
Daarnaast is het belangrijk om te weten dat deze onderhoudspartijen hun security goed hebben ingericht. Niet alleen op papier, maar ook getoetst in de praktijk. Dit valt bij voorkeur onder third-party-riskmanagement, waarbij aan de hand van risicoanalyses, monitoring en duidelijke afspraken betreft samenwerking met derden bijdragen aan de cyberweerstand van een organisatie worden geleverd.
Veilig een duurzame toekomst in
Verduurzaming is vandaag de dag essentieel, maar brengt de nodige risico’s met zich mee, vooral door de techniek die daarbij geïntroduceerd wordt. De ciso speelt daarom een sleutelrol in de verduurzaming van een organisatie door te zorgen dat deze twee begrippen samengebracht worden. De ciso helpt daarmee een organisatie veilig de duurzame toekomst in.
Lex Borger is information security consultant bij Tesorion
