Helikopterview op cybersecurity: integrale kijk op problematiek die alle sectoren verbindt
Cybersecurity is voor iedere organisatie uiterst relevant. In de afgelopen periode hebben we het belang ervan besproken voor de verschillende sectoren: zorg, overheid, onderwijs, financiële dienstverlening, de maakindustrie en transport en logistiek. Elke sector heeft zijn eigen basisprincipes. Denk aan patiënten beter maken, voorzien in educatie, zorgen dat mensen hun producten op tijd ontvangen, handel drijven, openbare voorzieningen beschikbaar stellen of zorgen dat Nederland een stevige economische positie heeft op de wereldmarkt.
Tegelijkertijd hebben de sectoren veel gemeen. Ze hebben allemaal te maken met personeelstekorten, een enorme druk om te innoveren en verduurzamen, een verscherpte controle op budgetten en een worsteling rondom security-, privacy- en compliancevraagstukken.
En hoewel organisaties verschillen qua omvang, cultuur, innovatiekracht, risicoprofiel, risicobereidheid en securityvolwassenheid, iedereen streeft in ieder geval twee doelen na: organisatiedata goed beschermen en de continuïteit van bedrijfsprocessen waarborgen. Of je nu met patiënt-, klant- of consumentgegevens te maken hebt — en of het nu om gevoelige persoonsgegevens of om financiële data gaat — je moet voorkomen dat informatie in verkeerde handen of op verkeerde plekken terechtkomt.
Blogreeks: Waarom ‘security op een organisatie-eiland’ niet meer voldoet
Compliancerichtlijnen vragen om integrale blik
Het gevoel van urgentie om ‘iets’ met cybersecurity te doen, verschilt sterk per organisatie. Maar op overheidsniveau is het gemeenschappelijke doel niet onopgemerkt gebleven. Compliancerichtlijnen als de AVG en NIS 2.0 (die binnenkort van kracht gaat) gelden voor organisaties in alle sectoren. Elke organisatie moet daaraan voldoen en op dezelfde manier rapporteren. Waarom dit het geval is? Overkoepelende instanties proberen integraal naar cybersecurity-problematiek te kijken.
Laten we in het kader van zo’n integrale kijk eens vier securitymaatregelen bespreken die elke organisatie kan treffen, ongeacht de sector waarin zij opereert.
Welke 4 securitymaatregelen kan elke organisatie treffen?
1. Preventie
Voorkomen is beter dan genezen. Dat geldt altijd en overal. Daarom is het cruciaal om preventieve maatregelen te nemen. Daarbij kun je denken aan het mitigeren van risico’s via security-patches of software-updates, het beperken van rechten voor beheerdersactiviteiten en het instellen van multifactorauthenticatie.
2. Datasecurity
Iedere organisatie dient haar data te kennen, te classificeren en te beschermen. Hoe ziet data-ontwikkeling eruit in je bedrijf en wat doe je met data die niet langer nodig is? Het is belangrijk dat je scherp bent op deze zaken.
3. Detectie
Identificeer jij bekende kwetsbaarheden en/of malicieuze activiteiten in systemen en apparaten? Dat zijn voorbeelden van detectiemaatregelen die elke organisatie kan nemen om zichzelf te beschermen tegen de gevolgen van een cyberaanval. Hoe vroeger je een indringer opmerkt, hoe beter. Een MDR-dienst is hier volledig op ingesteld (en onderneemt ook actie wanneer er onverhoopt sprake is van een cyberaanval).
4. Security awareness
Met een security-awareness-programma vergroot je het bewustzijn van medewerkers en leer je hen hoe zij kunnen handelen met betrekking tot security. Er zijn verschillende trainingsvormen beschikbaar. E-learning ligt voor de hand, maar je kunt ook mystery visits inzetten of posters in het gebouw ophangen om te laten zien wat er gaande is in de wereld van cybersecurity. Welke vorm het meest effectief is, hangt vaak af van de sector waarin je opereert. Bij een transportbedrijf kun je bijvoorbeeld een vreemde laten langskomen die beweert van de douane te zijn en vraagt om ‘even mee te kijken’. En in een zorgorganisatie wil je misschien banners in de kantine ophangen om medewerkers te vertellen wat hun rol in cybersecurity kan zijn.
Managed Detection and Response
Pleisters plakken óf kiezen voor een planmatige aanpak?
Ga je op wereldreis met of zonder plan? Waarschijnlijk kies je de gulden middenweg: je weet in grove lijnen hoe je van punt A naar punt B gaat, maar je laat ruimte open voor avontuur.
Hoewel cybersecurity misschien niet avontuurlijk is, is het wel verstandig om bewegingsruimte te creëren. Je weet immers niet hoe de wereld zich binnen afzienbare tijd gaat ontwikkelen. Je wilt echter niet achter de feiten aanlopen. Eerst aangevallen worden om vervolgens pleisters te plakken, is niet constructief. Kies daarom voor een planmatige aanpak: je stelt een routekaart op, maar je staat ervoor open om een andere weg in te slaan als externe factoren dat vereisen. En je bent flexibel wanneer het gaat om de invulling van details.
De kracht van een krachtenbundeling: leren van elkaar
Wat als een zorginstelling eens een kijkje neemt in de keuken van een financiële dienstverlener? In eerste instantie klinkt het misschien een beetje vreemd. Maar bedenk eens hoeveel zij van elkaar kunnen leren. Als de zorginstelling een lagere securityvolwassenheid heeft, kan zij wellicht het nodige opsteken omtrent security en compliance — zaken die veel financiële instellingen uitstekend op orde hebben. De financiële dienstverlener kan misschien weer veel leren van de kracht van het menselijke aspect van technologie, dat de zorginstelling waarschijnlijk goed geregeld heeft.
En zou het niet interessant zijn als een onderwijsinstelling bekijkt hoe een zorgorganisatie omgaat met gevoelige data? Of als een zorginstelling het patiëntendossier met een studentendossier vergelijkt?
Een laatste voorbeeld: wat gebeurt er als de overheid en de maakindustrie de handen ineenslaan op het gebied van OT-security? Een waterschap kan veel leren van een industrieel bedrijf — en vice versa.
Uiteraard kunnen dit soort kennisuitwisselingen alleen geschieden in goed overleg. Maar er bestaat een stevige fundering voor: uiteindelijk wil iedereen immers bedrijfsprocessen laten doorlopen, de reputatie bewaken en betrouwbaar zijn voor patiënten, klanten, burgers, investeerders of andere stakeholders.
Onderschat de kracht van mensen niet. Ze willen en kunnen vaak véél (zij het niet alles), mits je de juiste omgeving en voorwaarden creëert.
De securitydaad bij het woord voegen?
Dát doen we bij Wortell. Wij geloven in een integrale benadering van cybersecurity. Daarom hebben we bijvoorbeeld MDR-gebruikersgroepen (‘MDR’ staat voor ‘Managed Detection and Response’), waarin klanten uit verschillende sectoren zitten. Zo kunnen zij elkaars problematiek begrijpen en van elkaar leren.
In welke sector je ook zit, er is een rode cybersecurity-draad. Wil jij deze identificeren en de juiste maatregelen nemen om jouw organisatie te beschermen tegen cyberaanvallen? Neem gerust contact met ons op of laat je informeren over de aanpak van cybersecurity voor jouw organisatie op donderdag 9 november tijdens het webinar 'Security integraal bekeken: een holistische benadering'.
