Winkelmand

Geen producten in de winkelwagen.

8 stappen om je securitybeleid naar het volgende niveau te brengen

In deze hyperverbonden wereld is het belangrijker dan ooit om goed voorbereid te zijn op risico’s. Maar hoe doe je dat, zonder dat het innovatie in de weg staat? 8 handige tips.

Op Prinsjesdag maakte het (toenmalige) kabinet bekend dat het structureel 26 miljoen extra uittrekt om cybercriminaliteit aan te pakken. Een druppel op een gloeiende plaat, zeggen experts, want in de wereld waar alles met iedereen verbonden is, liggen ook risico’s steeds makkelijker op de loer. Hoe daarmee om te gaan? Je verstoppen in je eigen, veilige bedrijf gaat niet, en 100% veilige muren bouwen is niet wenselijk, als het al mogelijk zou zijn.

De buitenwereld koste wat kost proberen buiten te houden is een hele dure en starre oplossing die elke innovatie in de weg staat. Maar hoe geef je dan wel je securitybeleid vorm? 8 tips.

1. Zorg voor goed huisvaderschap

Goed risicobeleid begint bij het bewustzijn van je eigen werknemers. Elk bedrijf zou het principe van goed huisvaderschap moeten omarmen. Als het eenmaal misgaat hoor je vaak dat de werknemers geen idee hadden, omdat ze nooit van de risico’s op de hoogte zijn gebracht.

Als het gaat om online risico’s kun je een policy inrichten aan de hand van bijvoorbeeld het protocol van Surf of Alert Online, dat je precies vertelt hoe je bijvoorbeeld ransomware kunt voorkomen. Raadpleeg ook het Nationaal Cyber Security Centrum, welk advies geven zij? Of kijk bij een partij als Deloitte, ook zij hebben veel informatie beschikbaar over verschillende risico’s, van reputatie- tot operationele risico’s.

Vergeet daarnaast ook de compliance niet. Er zijn veel regels, afspraken en industry protocollen waar je formeel aan kunt en moet voldoen als het gaat om verantwoord met je risicobeleid bezig te zijn. Richt je in je eigen beleid overigens niet alleen op de medewerkers op je loonlijst, maar eigenlijk op iedereen die met IT en klantdata van jouw organisatie bezig is. Of het nu gaat om freelancers of om partners in de keten: besmettingsgevaar zit vaak in een klein hoekje.

2. Weet wat je in huis hebt

Als je als bedrijf echt secure wilt worden, moet je eerst weten wat je allemaal in huis hebt. Over welke data beschik je precies, welke IT-applicaties gebruik je? Het lijkt misschien een open deur, maar zelfs veel start-ups weten niet altijd met wat voor data en IT-systemen ze precies werken. Besef ook dat de IT-afdeling niet altijd een volledig overzicht heeft, zeker niet nu steeds meer mensen ook eigen devices met eigen software mee naar binnen nemen.

Breng dus zoveel mogelijk in kaart, zodat je het specifiek kunt beveiligen. Leg ook vast wat wel en geen acceptabel gedrag is van medewerkers. Sommige bedrijven bouwen het liefst een muur om hun hele IT-systeem heen. Beter is het je beschermingsniveau te differentiëren. Welke data zijn het meest cruciaal? Wie heeft daar toegang toe? En welke data mogen als het ware publiekelijk toegankelijk worden?

3. Vervang het oude spul, maar verstandig

Alleen een start-up begint vanaf scratch met zijn ict-omgeving. Elk ander bedrijf heeft altijd te maken met zogeheten legacy. Sommige systemen raken verouderd, sommige data ook. Maar je wilt ze misschien ook niet kwijt. Hoe ga je daarmee om?

Met zogeheten information lifecycle management kun je dat in kaart brengen en verstandig beheren. Ook hier geldt: weet goed wat je hebt en welke eigenaren over welke data de beschikking hebben. Vaak verplaatsen bedrijven processen  en data naar de cloud. Wie zijn dan de eigenaren van die data? Van de applicaties en processen? En wie mag met die data aan de gang? Ook met het oog op de nieuwe privacyregels (AVG/GDPR) is het zaak dat vast te leggen in goede bewerkersovereenkomsten.

4. Eis veiligheid

Wie applicaties afneemt van een cloud- of SaaS-leverancier denkt meestal: dat zit wel snor met de veiligheid. Uiteindelijk blijf je echter altijd zelf verantwoordelijk voor je eigen data. Dus zorg dat je dit in een contract regelt zodra je met een derde partij in zee gaat voor je IT-infrastructuur. Een gewaarschuwd mens immers…

5. Doe aan monitoring

Een bedrijfspand beveilig je ook niet met alleen een hek. Boeven knippen er een gat in of klimmen eroverheen. Er moet dus een camera aanwezig zijn die de indringer detecteert waarna een plan in werking moet gaan om de ongewenste gast het pand uit te gooien.
Datzelfde principe geldt voor de IT: zorg dat de security monitoring werkt.

Zo kunnen apparaten in je IT-omgeving het netwerkverkeer in de gaten houden of er geen kwaadwillende bronnen aanwezig zijn of dat ‘men’ een aanval aan het uitvoeren is. Die aanval kun je niet stoppen, maar je kunt wel tijdig maatregelen nemen. Als er maar een plan is dat daadwerkelijk in werking treedt als er een ongewenste gast in huis is.

6. Vind het wiel niet opnieuw uit

Veel bedrijven willen hun hele security-beleid zelf regelen, inclusief de monitoring én detectie. Dan heb je het tenminste zelf in de hand, is dan de gedachte. Maar het is veel verstandiger hiervoor partijen in te schakelen die hierin gespecialiseerd zijn. Slechts weinig ondernemingen kunnen een security operation centre neerzetten dat 24/7 alles in de gaten houdt.

Bovendien is juist op security-gebied het belangrijk dat je je dagelijks laat informeren over mogelijke nieuwe risico’s. Een derde partij als het eerder genoemde Deloitte heeft voldoende capaciteit en expertise in huis om dit soort diensten te leveren of om mensen continu te trainen om up to date te blijven. Bovendien kijkt zo’n partij bij meerdere bedrijven in de keuken, zodat jouw bedrijf ook kan profiteren van de door hen elders opgedane kennis.

7. Maak een stappenplan

Er zijn op internet best veel standaarden te vinden die je helpen belangrijke kwetsbaarheden te voorkomen, zoals Sans-Top 20. Wie hier de stappen netjes opvolgt, heeft de vast majority van zijn kwetsbaarheden opgelost. Verder zijn er allerlei application security testing-platforms, zoals Portswigger, die je kunnen helpen nuttige tests uit te voeren. Een stappenplan met voldoende evaluatiemomenten helpt sowieso om niet eenmalig, maar continu je risico’s onder controle te krijgen.

8. Anticipeer

Prevent-Detect-Respond-Recover is een gangbare viereenheid in securityland. Ofwel: probeer eerst risico’s te voorkomen. Lukt dat niet, detecteer dan zo snel mogelijk als er iets loos is, stop het probleem en herstel het. Alles begint dus bij ‘preventie’. Kun je goed vooruitkijken? Security intelligence is daarbij essentieel. Dat stelt je in staat om goed op dreigingen te anticiperen.

Zorg ook dat alle bedrijven uit jouw supply chain de zaken goed op orde hebben. Jij kunt wel veilig zijn maar als anderen dat niet zijn, ben je alsnog de klos. En als laatste is weerbaarheid noodzakelijk, met andere woorden: hoe goed kun je herstellen van een cyberaanval? Ook hier geldt: laat je informeren, raadpleeg de specialisten.

Dagelijks de nieuwsbrief van Management & Leiderschap ontvangen?



Door je in te schrijven ga je akkoord met de algemene en privacyvoorwaarden.

Dit artikel kwam tot stand met dank aan Kees Plas, security expert van Deloitte.