Samen beleid uitstippelen en hier budget voor vrijmaken
De aandacht voor informatiebeveiliging is de laatste jaren significant toegenomen. Steeds vaker bereiken ons berichten over datalekken en andere cybersecurityschandalen. De impact van een slecht of geen securitybeleid kan ertoe leiden dat een bedrijf compleet stil komt te liggen. “En dan is de schade vaak veel groter dan men in eerste instantie voor mogelijk had gehouden”, stelt Jeff Scipio, Partner Director bij Guardian360.
Dagelijks praten de specialisten van Guardian360 met business partners en klanten over hun informatiebeveiliging, zo begint Jeff Scipio het gesprek. “We hebben het dan onder andere over het preventief scannen van hun IT-omgevingen, hun webapplicaties en/of hun IoT- en SCADA-omgevingen. Informatiebeveiliging beperkt zich niet alleen tot techniek of IT. Veel organisaties hebben securityspecialisten in dienst zoals een CISO (Chief Information Security Officer), een PO (Privacy Officer) en/of een FG (Functionaris Gegevensbescherming). Deze specialisten werken samen met IT-specialisten aan het securitybeleid.”
De verantwoordelijkheden van de securityspecialisten
Als we vanuit IT-perspectief bekijken, dan kijken we in eerste instantie naar de veiligheid van onze netwerken, websites, databases en dergelijke. De switches moeten juist geconfi gureerd zijn, poorten mogen niet onnodig openstaan, software moet up-to-date zijn en er mogen geen veelgebruikte of zwakke wachtwoorden gebruikt worden. “Deze lijst met mogelijke zwakke plekken kan nog veel langer gemaakt worden en dat gebeurt ook”, constateert Scipio. “Elke maand worden er honderden nieuwe issues gevonden die mogelijk een ingangspunt voor een crimineel bieden. Er moet continu inzicht zijn in deze zwakke plekken, zodat een organisatie kan gaan acteren om een incident te voorkomen.”
Het maken van een goed en onderbouwd securitybeleid
Scipio weet als geen ander dat het handhaven van securitybeleid niet eenvoudig is wanneer er geen goede, leesbare en bruikbare rapportages zijn.
‘Als men het belang inziet van informatiebeveiliging, zal er minder snel over kosten gesproken worden’
“Rapportages waarbij alle disciplines – IT en MT – vanuit hun eigen vakjargon op basis van feitelijkheden – gevonden en goed omschreven kwetsbaarheden – een link kunnen leggen tussen die gevonden IT-kwetsbaarheden en de voor dat bedrijf geldende en relevante compliancy, regels en richtlijnen. Als die rapportages er zijn kunnen de securityspecialisten gesprekken aangaan met de IT-specialisten, samen beleid uitstippelen en hier budget voor vrijmaken.”
Informatiebeveiliging als voorwaarde voor business continuity
Bij informatiebeveiliging denkt men ook vaak aan: ik mag niet gehackt worden, ik moet me wapenen tegen cybercrime, de medewerkers moeten secure omgaan met data en dergelijke. Bij informatiebeveiliging wordt te weinig de link gelegd met business continuity, weet Scipio. “Toch is deze er wel degelijk. Wellicht is dit voor het bedrijf wel de belangrijkste drijfveer om ervoor te zorgen dat de security op orde is. De impact van een slecht of geen securitybeleid kan ertoe leiden dat het continueren van de business in gevaar komt.” Scipio heeft het dan niet over het item waar heel vaak over gesproken wordt: imagoschade. “Het hebben van geen of een slecht securitybeleid kan ervoor zorgen dat de business volledig stil komt te liggen. Een bedrijf moet er bijvoorbeeld niet aan denken dat zijn fabrieken platgelegd worden omdat zijn procesautomatisering is gehackt of dat door middel van een hack productieprocessen gemanipuleerd worden. Bij informatiebeveiliging moet dus niet alleen gekeken worden naar IT-kwetsbaarheden in kantooromgevingen maar zeker ook naar de kwetsbaarheden van de IT omgeving in productieomgevingen.”
Kosten versus business continuity
Scipio: “Tijdens gesprekken van onze securityspecialisten met partners constateren we regelmatig dat klanten vaak in een vroeg stadium vragen wat het allemaal kost. Hieraan merken we dus dat, als we over informatiebeveiliging praten, de klant zich nog niet voldoende realiseert dat, wanneer dit niet goed geregeld is, dit de continuïteit van het bedrijf in gevaar kan brengen.”
Bij informatiebeveiliging wordt te weinig de link gelegd met business continuity, maar deze is er wel degelijk
Wanneer de securityleverancier zich verdiept in het businessproces van de klant, snapt waar de klant zijn geld mee verdient en welke ‘kroonjuwelen’ echt beschermd moeten worden, dan ziet de klant zelf in dat een goede informatiebeveiliging van cruciaal belang is voor het continueren van zijn business, meent Scipio. “Er wordt dan niet meer meteen gevraagd hoeveel het kost, maar hoe goede informatiebeveiliging een business enabler kan zijn. De klant staat op dat moment open voor adviezen op het gebied van het ontzorgen van security en hoe deze te borgen. Is de dienstverlener in staat om periodiek het gesprek met de klant aan te gaan, waarin beslissingen genomen kunnen worden die gebaseerd zijn op actuele en complete informatie, dan raakt de klant ‘in control’ van zijn informatiebeveiliging. Pas dan ziet men het belang in van informatiebeveiliging en zal er minder snel over kosten gesproken worden.”
Over Guardian360
Guardian360 is een Nederlandse organisatie die zich als doel gesteld heeft om het beste securityplatform ter wereld te leveren. Guardian360 heeft een 100 procent ‘partner only’-strategie: geselecteerde partners leveren de Guardian360-dienst aan eindklanten en leveren daarbij aanvullende diensten en producten zoals een SLA, consultancy, SOC-diensten en nieuwe hardware. Door het Guardian360platform in te zetten zijn partners in staat om preventieve, mitigerende en curatieve diensten aan te bieden op de informatiebeveiligingsonderdelen mens, proces en technologie. Zonder dat hier vooraf hoge investeringen voor nodig zijn.
Dit artikel is eerder gepubliceerd in het Security Dossier 2019