Ons land heeft te maken met een continue digitale dreiging voor de nationale veiligheid. Omdat onze maatschappij en economie volledig afhankelijk zijn geworden van digitale middelen kunnen de gevolgen van digitale verstoringen, door bijvoorbeeld cyberaanvallen enorm zijn.
Dreiging van cyberaanvallen zal alleen nog maar toenemen
Dat constateert de Nationaal Coördinator Terrorismebestrijding & Veiligheid in het Cybersecuritybeeld Nederland 2018. Cyberaanvallen komen op steeds grotere schaal voor en de verwachting is dat deze dreiging alleen maar verder zal toenemen. Bovendien zijn voor veel organisaties basismaatregelen ter voorkoming van digitale verstoringen, zoals het tijdig installeren van updates of het voorkomen van tekortkomingen in configuraties, nog geen vanzelfsprekendheid.
De kloof tussen dreigingen en weerbaarheid wordt steeds groter
“We zien al jarenlang dat de kloof tussen dreigingen en weerbaarheid groter wordt”, zegt Ton Slewe, principal consultant bij Capgemini en gespecialiseerd in cybersecurityvraagstukken bij publieke en private organisaties. ”
Niet alle bedrijven bewust van hun afhankelijkheid van ICT
Of het nu gaat om Artificial Intelligence (AI), het Internet of Things (IoT), robotisering of blockchaintoepassingen – organisaties zijn geneigd om innovaties snel te omarmen. Dat doet het risico van digitale dreigingen toenemen”, vult Roger Wannee aan. Als principal consultant bij Capgemini richt hij zich ook op cybersecurityvraagstukken. “Sommige organisaties zijn zich goed bewust van de cyberrisico’s, omdat ze sterk ICT-gedreven zijn. Dat geldt bijvoorbeeld voor banken. Anderen zijn zich nog onvoldoende bewust van hun afhankelijkheid van ICT en de noodzaak van cybersecurity.” Een voorbeeld is de containerterminal in de Rotterdamse haven die vorig jaar werd getroffen door een cyberaanval. Pas daarna werd de directie doordrongen van de sterke afhankelijkheid van ICT en de noodzaak van aandacht voor cybersecurity.
Cybersecurity moet uit de ICT-hoek worden gehaald
Het bewustzijn van cyberrisico’s is niet voldoende om er passend op te reageren, benadrukken Slewe en Wannee. “Als de directie cybersecurity beschouwt als IT-issue dan kan de organisatie er nooit goed mee aan de slag. Cybersecurity moet uit de ICT-hoek worden gehaald”, aldus Wannee. Hoe kan dat? Slewe: “IT-professionals en security managers moeten de waarde van cybersecurity voor de innovatiekracht van de organisatie onderkennen én die boodschap breed binnen de organisatie uitdragen. Awareness van cybersecurity als integraal onderdeel van innovatieprocessen is daarvoor een basisvoorwaarde. Daarnaast is de steun van het hogere management onmisbaar om concrete stappen te kunnen zetten met security by design.”
Een plek tussen IT en business meer voor de hand
Cybersecurity wordt nogal eens gezien als een IT-feestje. Maar dat is ten onrechte, zegt Slewe. “Omdat CISO’s ook de inbedding van cybersecurity in innovatieontwikkeling belichten, ligt een plek tussen IT en business meer voor de hand.” Een dergelijke strategische positionering verandert het bereik van de CISO, die een serieuze gesprekspartner wordt voor verschillende teams binnen de organisatie. Tegelijkertijd vraagt dit om nieuwe kennis en vaardigheden: de CISO moet goed gaan begrijpen hoe innovatie plaatsvindt en op hoofdlijnen weten welke rol IT daarbij speelt.
De juiste positionering van de CISO is misschien wel belangrijker dan diens inhoudskennis
Wannee: “De juiste positionering van de CISO is misschien wel belangrijker dan diens inhoudskennis. De afdeling Legal is ook niet weggestopt bij IT: iedere bestuurder weet dat je dat tot in de puntjes geregeld moet hebben. Op net zo’n manier moet cybersecurity een integraal onderdeel zijn van alle innovatie binnen de organisatie.” Al in 2017 pleitte de Cyber Security Raad voor zogenoemde digitale zorgplichten, die bedrijven verplicht om te zorgen dat hun producten en diensten adequaat beveiligd zijn.
Innovation playbook
In hun bijdrage aan het Capgemini-rapport Trends in Veiligheid 2018 beschrijven Ton Slewe en Roger Wannee hoe een innovation playbook kan worden gebruikt als hulpmiddel om op boardroomniveau begrip te kweken voor het cybersecure implementeren van innovaties. Met deze tool kan elke organisatie in kaart brengen in welk stadium van ontwikkeling een innovatie zich bevindt. Vervolgens kunnen hieraan de kansen en risico’s worden gekoppeld, inclusief de mogelijke cybersecuritytoepassingen.
Security by design
Slewe: “Bij een zeer innovatieve technologie waarmee de organisatie alleen nog experimenteel bezig is, is het verstandig in een vroeg stadium expertise op te bouwen van de functionele toepassingsmogelijkheden én de bijbehorende cybersecurityvraagstukken en maatregelen. Op het moment dat de toepassing serieuzer wordt, kunnen in een proefomgeving de IT- en securityvraagstukken worden onderzocht. Op die manier kan er gericht worden gekeken welke impact de innovatie op de organisatie gaat hebben en welke keuzes er mogelijk zijn.” Daarnaast speelt security by design een rol in de implementatie van nieuwe technologie in het primaire proces van een organisatie.
Ervaringen opdoen met nieuwe technologiën
“De crux is om niet alleen security te regelen in het hier en nu”, legt Wannee uit. “Met innovaties die over enkele jaren klaar voor gebruik zijn, zoals blockchain en AI, moet je nu al ervaring opdoen. Cybersecurity is daarbij net zo belangrijk als bijvoorbeeld privacy, juridische aspecten en communicatie. Daarnaast zijn er zeer innovatieve technologieën, of zelfs toepassingen die we nu nog niet precies kennen, waarop je je al kunt voorbereiden. Bijvoorbeeld door er kennis over op te doen en experimenten mee te starten.”
‘De uitdaging is om de inzichten op het gebied van cybersecurity te vertalen naar de belevingswereld van het bestuur’
Een belangrijke randvoorwaarde voor succesvol innovatiebeleid is volgens Slewe en Wannee dat op boardroomniveau voldoende inzicht aanwezig is wat cybersecurity voor de organisatie betekent. De opgave voor CISO’s en security managers is om het kennisniveau zo nodig omhoog te brengen. Wannee noemt verschillende manieren om dit voor elkaar te krijgen.
Inzichten op het gebied van cybersecurity vertalen naar de belevingswereld van het bestuur
“Het begint met de activatie van boardroomleden die zich al betrokken voelen bij het onderwerp. Zit er bij wijze van spreken een Elon Musk aan het roer, of denkt de directie traditioneler? Er is altijd wel íemand die geïnteresseerd is in innovatie en zich bewust is van het belang van cybersecurity. Die persoon kan het thema op de managementagenda zetten. Daarnaast kunnen security managers en CISO’s complexe onderwerpen zoals digitale weerbaarheid en kwetsbaarheid op boardroomniveau zichtbaar en bespreekbaar maken. Zij moeten als geen ander in staat zijn om drukbezette managers de belangrijkste informatie over te brengen, in duidelijke taal. De uitdaging is om de inzichten op het gebied van cybersecurity goed uit te leggen en te vertalen naar de belevingswereld van het bestuur.”
Brug tussen cybersecurity en boardroom
Dat de brug tussen de wereld van security en het niveau van de boardroom essentieel is, blijkt ook uit diverse initiatieven van de Nederlandse rijksoverheid. Zo richt het Cybersecuritybeeld Nederland 2018 zich nadrukkelijker op de boardroom om cybersecurity op dat niveau onder de aandacht brengen. Slewe noemt ook de Cyber Security Raad (CSR) als goed voorbeeld. “De CSR is een nationaal en onafhankelijk adviesorgaan van het kabinet en het bedrijfsleven dat zich op strategisch niveau inzet om de cybersecurity in Nederland te verhogen. Het biedt daarmee een belangrijk platform om kennis uit te wisselen en elkaar verder te helpen.”
Integrale en dynamische aanpak van cybersecurity centraal
Ook in de Nederlandse Cybersecurity Agenda (NCSA) van het kabinet staat een integrale en dynamische aanpak van cybersecurity centraal. Wannee: “De agenda laat de ambities zien om security steviger te verankeren in de dagelijkse praktijk en processen van overheden en ondernemingen. De boodschap is duidelijk: publiek-private samenwerking is een must.”
Lynsey Dubbeld is communicatieadviseur, trendanalist, contentstrateeg & copywriter, bron: https://www.securitymanagement.nl/innovatie-in-cybersecurity-is-een-opgave-voor-de-boardroom/