Als organisatie moet je cybersecurity aantoonbaar goed geregeld hebben. En dat klinkt makkelijker dan dat het is… want waar begin je eigenlijk? En hoe weet je zeker dat de maatregelen die je treft toereikend zijn? Het dreigingslandschap is complex en evolueert in sneltreinvaart. Hoe voorkom je dat je achter de feiten aanloopt? Met deze vijf vragen toets je hoe je organisatie ervoor staat.
“Cybersecurity raakt iedereen” zegt Hotze de Jong. “En daarom is het ook een zaak van iedereen. Toch wordt het in veel organisaties nog beschouwd als louter een IT-kwestie, te meer omdat cybersecurity gezien wordt als een complex en specialistisch onderwerp. Met als gevolg dat de directie op veilige afstand blijft, en cyberweerbaarheid de agenda niet haalt.”
“Onverstandig”, zegt Hotze. “Want het is niet de vraag óf je geraakt wordt, maar wanneer. En dat kan desastreuze gevolgen hebben. Daarom doen organisaties er goed aan om digitale veiligheid serieus te nemen. De juiste vragen stellen kan iedereen, ook als je geen specialist bent.
Cyberweerbaarheid is juist een onderwerp dat in breder perspectief moet worden beoordeeld én aangepakt. Daarom kijken wij naar 5 aspecten, te weten business, governance, organisatie, processen en technologie.” De Jong adviseert als Principle Consultant bij TriOpSys organisaties zoals de Nationale Politie en Rijkswaterstaat over deze aspecten.
Cyberweerbaarheid vanuit breder perspectief
Business
De eerste vraag die op het hoogste niveau in de organisatie gesteld moet worden is:
“Hoe kwetsbaar is mijn organisatie voor cyberaanvallen?”
De betrokkenheid van de directie is een kritische succesfactor voor de aanpak van cyberweerbaarheid. Het is van belang te erkennen dat cybercrime elk bedrijf kan overkomen, ook jouw organisatie. En dat de gevolgen je bedrijfscontinuïteit in gevaar kunnen brengen. Bijvoorbeeld doordat je systemen uitvallen of je niet meer bij je data kunt.
Maar erkennen alleen is niet genoeg, zegt Hotze: “Cyberweerbaarheid vraagt om een proactieve houding van het management.” Uit onderzoek blijkt aandacht van het management zelfs de grootste drijfveer achter volwassen organisaties als het gaat om het beheer van cyberbeveiligingsrisico’s, belangrijker dan de bedrijfsgrootte, de sector en de beschikbare middelen (McKinsey) .
“Als je denkt ‘komt tijd komt raad’, dan kun je wel eens voor onaangename verrassingen komen te staan. Bijvoorbeeld door gebrek aan sturing op het moment dat zich een calamiteit voordoet, waardoor je niet goed kunt de-escaleren en je letterlijk ‘out-of-business’ kunt raken.”
“Een cyberaanval op jouw bedrijf kan ook anderen schaden, zoals klanten en leveranciers. En vice versa, daarom is het belangrijk om dit onderwerp breder in de keten te adresseren.” – Hotze de Jong – Principle consultant TriOpSys
Governance
Governance gaat over de wijze waarop je sturing geeft aan de organisatie en toezicht houdt op gewenst gedrag. Als leidinggevende moet je in staat zijn om in de koude én warme fase van een crisis te kunnen handelen, dus zowel preventief als responsief. Preventief gaat over de maatregelen die je treft om je organisatie te beschermen en responsief over de maatregelen die je treft bij calamiteiten. Dit kun je toetsen met de vraag:
“Wat doet mijn organisatie ter preventie van cyberincidenten én kan de organisatie handelen als we tóch slachtoffer worden?
Preventief betekent dat je start met een risicoanalyse, waarin je de risico’s en de impact in kaart brengt. Dat wil zeggen, op je eigen organisatie én op derden. Een cyberaanval op jouw organisatie kan ook anderen schaden, zoals klanten en leveranciers. En vice versa, daarom is het van belang om dit onderwerp breder in de keten te adresseren: welke maatregelen treffen anderen om zichzelf én jouw organisatie te beschermen? Ook is het van belang te kijken naar de normen waaraan je als organisatie moet voldoen om compliant te zijn, in het bijzonder voor organisaties met een hoog risicoprofiel (zoals de overheid, gemeenten en ZBO’s).
Responsief is het van belang dat als zich een crisis voordoet, het voor iedereen duidelijk is welke acties moeten worden ondernomen en door wie. Het opstellen van duidelijke protocollen helpen de maatregelen uitvoerbaar te maken. Een belangrijke succesfactor is om dit niet te beperken tot een papieren werkelijkheid, maar de uitvoerbaarheid ook te toetsen door middel van praktijkoefeningen. Dit kan bijvoorbeeld door de inzet van table tops, serious gaming of digital twins, waarbij je een crisis simuleert om te zien hoe je de governance beter kunt regelen. Juist dan ontdek je hoe het handelingsperspectief van de organisatie écht is.
Organisatie
“Beschikken we als organisatie over voldoende capaciteit en hoe hebben we dit georganiseerd?”
Cyberweerbaarheid valt of staat met de kennis, ervaring en beschikbaarheid van mensen. Hotze: “De meeste organisaties beschikken over securitykennis. Onze overheid biedt hierin goede ondersteuning door instrumenten als risicoanalyses, preventiechecklists en architectuurprincipes beschikbaar te stellen. Wat echter ontbreekt, is de juiste ervaring om die kennis op de juiste manier toe te passen.”
“59% vindt het een uitdaging om te reageren op een cyberbeveiligingsincident vanwege het tekort aan vaardigheden binnen hun team.” – Global Cybersecurity Outlook 2022
Logische vervolgvragen zijn dan ook: ‘Welke competenties hebben we nodig, wat willen we in eigen huis hebben en wat besteden we uit?’ Bij die laatste optie speelt niet alleen een tekort aan ervaren specialisten een rol, maar ook de vraag in hoeverre je als organisatie zelf de beschikbaarheid, integriteit en vertrouwelijkheid van je informatie en systemen kunt borgen (en tegen welke kosten).
Processen
Een belangrijk onderdeel van weerbaarheid is om de maatregelen te borgen in je processen. Een juiste inrichting van processen helpt risico’s te reduceren en compliant te zijn aan de wet- en regelgeving.
“In hoeverre worden onze monitorings- en detectie processen gevoed met data en zijn deze in staat om (real-time) te reageren op de situatie?”
Eén van de basisvereisten is hier dat er een monitorings- en detectieproces is ingericht, waarmee dreigingsinformatie wordt opgehaald. Belangrijk is jezelf af te vragen wanneer sprake is van een dreiging, hoe snel je deze in beeld kunt hebben en wanneer en hoe je opschaalt. Wie deze processen goed inricht (en wederom test) vergroot zijn handelingsperspectief. Moderne technologieën helpen je processen (gedeeltelijk) te automatiseren; de inzet van AI en Machine Learning reduceert het menselijke falen.
Technologie
Cybersecurity is een specialistisch vakgebied, dat zich in rap tempo ontwikkelt. Tegelijkertijd nemen de risico’s en de impact van een cyberaanval toe. De vraag die organisaties zich moeten stellen ten aanzien van de techniek, is:
“Kunnen (en willen) wij zélf voor 100% de bedrijfscontinuïteit waarborgen en zo niet, in welke mate vertrouwen wij op gespecialiseerde partners?”
Het uitbesteden van ICT monitoring, beheer en onderhoud is een goede manier om de beschikbaarheid, integriteit en vertrouwelijkheid van de ICT omgeving te borgen. Toch kan het een bewuste keuze zijn om de ICT helemaal of gedeeltelijk in eigen beheer te houden, bijvoorbeeld omdat je veel geïnvesteerd hebt in kennis en ontwikkeling van mensen en systemen of simpelweg omdat je jouw data niet aan derden toevertrouwt.
Dat laatste komt veel voor bij overheden, ZBO’s en veiligheidsregio’s, vertelt Hotze: “Een organisatie als de politie beschikt over zeer vertrouwelijke gegevens maar wil ook voorkomen dat bijvoorbeeld namen en woonadressen van agenten op straat komen te liggen. Dat zijn redenen om een deel van de data altijd in eigen beheer te houden.”
Tegelijkertijd hechten zij veel belang aan een stabiele en veilige omgeving én is het voor veel organisaties gewoonweg te kostbaar om alles zelf te beheren en onderhouden. “Denk bijvoorbeeld aan een organisatie als het KNMI. Over het algemeen is het verkeer op de website van de KNMI redelijk constant. Tenzij er speciale omstandigheden zijn, zoals code rood (weeralarm). Dan nemen de bezoekersaantallen enorm toe en is het van belang dat de website de piekbelasting aan kan. Dankzij de hybride cloud strategie kan het KNMI flexibel op- en afschalen, dat zou in eigen beheer veel te kostbaar zijn.”
Cyberweerbaarheid vraagt een voortdurende inspanning om kwetsbaarheden terug te dringen en de kans op reputatieschade en financiële gevolgen te verminderen. Door bovenstaande vragen te stellen krijg je als organisatie een goede eerste indruk van je cyberweerbaarheid. Dit vraagt een integraal beeld, daarom is het van belang te kijken hoe de business, governance, organisatie, processen en technologie ervoor staan.
