Behandel security als een gangbaar bedrijfsrisico en kom vooral met een praktische aanpak. Dat is beter dan de opeens populaire cyberverzekeringspolis af te sluiten voor claims rond onbehoorlijk bestuur.

Door Sytse van der Schaaf en Raymond Linkers van Metri Group

Bestuurders van organisaties leggen security veelal in handen van hun technische experts, terwijl zij het zelf als een bedrijfskundige kwestie aan zouden moeten pakken. In het aanbod van managed security services is genoeg gerichte hulp van buiten te vinden waarmee de weerbaarheid effectief omhoog kan. Wat vooral nodig is, is een cultuurverandering in de directiekamer. Bestuurders moeten de agenda bepalen en security benaderen als hun probleem.

Cybersecurity is hoger op de strategische agenda komen te staan. Drie factoren zijn hierin essentieel: de ernst van de dreigingen, het toegenomen belang van IT en tot slot regelgeving. Bestuurlijk Nederland is cybersecurity serieus gaan nemen door aanvallen van de WannaCry- en Petya-ransomware medio 2017. Deze schadelijke software ontregelde de IT van toonaangevende organisaties als de APM-terminal in Rotterdam en TNT Express met aanzienlijke schadeposten tot gevolg.

De risico’s zijn ook groter geworden doordat een vergaande digitalisering van bedrijfsprocessen de afhankelijkheid van bedrijfskritische IT heeft doen toenemen. Gedigitaliseerde overheidsdiensten, internetbankieren en e-commerce zijn gevoelig voor verstoringen door cyberaanvallen. De overheid onderkent dit economisch en maatschappelijk belang. Nieuwe regelgeving dwingt organisaties tot nieuwe maatregelen om de grote stroom datalekken en andere negatieve gevolgen van cybercrime in te dammen. De Algemene Verordening Gegevensbescherming (AVG) brengt het privacybelang van consumenten in balans met de dataverzamelwoede van de BV Nederland. Het dwingt organisaties bovendien om een informatiebeveiligingsplan in te stellen of het flink te herzien.

Aansprakelijk
Van een alarmerend gebrek aan urgentie rondom security is er nu opeens volop aandacht. Dat is op zich een positieve ontwikkeling, maar draagt ook risico’s in zich. In ‘Nederland verzekeringsland’ zijn cyberverzekeringspolissen opeens ontzettend populair geworden. Bestuurders lopen het risico van persoonlijke aansprakelijkheid bij het niet melden van datalekken of claims rond onbehoorlijk bestuur als zij te weinig aandacht aan security hebben geschonken. Maar is de praktische weerbaarheid van organisaties werkelijk gediend met het afsluiten van dit soort kostbare polissen? Of wat te denken van de relatief nieuwe CISO en privacy-functionarissen die in grote organisaties opduiken? Zitten zij werkelijk aan de directietafel en wordt er echt iets met hun input gedaan? Uit het ‘Mind the breadge gap’ rapport van Gemalto blijkt dat er vooral meer geld gaat naar gangbare technische security-oplossingen die in het huidige cloudtijdperk hun beperkingen hebben.

Wat zet meer zoden aan de dijk? Behandel security als een gangbaar bedrijfsrisico en kom vooral met een praktische aanpak. Dat betekent dat er vanuit specifieke operationele risico’s duidelijkheid komt welke systemen en data beveiligd moeten worden, wie waarvoor verantwoordelijk is inclusief de directie, hoe die beveiliging tot stand komt en wat dat mag kosten. Een belangrijk en bekend voorbeeld van zo’n aanpak komt van het National Institute of Technology and Standards (NIST), een organisatie die Amerikaanse overheidsinstanties bijstaat in cybersecurity. Er is net een nieuwe versie van dit raamwerk uitgebracht, op basis waarvan het Department of Defense voor het begin van de herfst een order met een geschatte contractwaarde van 10 miljard dollar gaat plaatsen voor het verhuizen van de eigen IT naar de public cloud.

Expertise van buiten
Ook het afnemen van gerichte managed securityservices kan een goed middel zijn om de eigen
weerbaarheid aanzienlijk te verhogen. Voorbeelden van diensten zijn bijvoorbeeld het beheer van firewalls, het aanbrengen van kritieke softwarepatches of real-time monitoring van de IT-omgeving op afwijkend gedrag. Een ander voorbeeld is deskundig advies bij de bouw van applicaties rond goede security praktijken. Een leverancier als Cast Software past dit medicijn toe door software tijdens de levenscyclus minder vatbaar te maken voor het uitbuiten van kwetsbaarheden. Door externe expertise en de overdracht van operationele taken aan een leverancier komt er meer tijd om security beleidsmatig aan te pakken en de business beter te ondersteunen. IT-adviesbureau METRI brengt binnenkort een rapport uit over het succesvol sourcen van managed securityservices. Meer informatie is te vinden op www.metrigroup.com.