Blog

De must van een roadmap voor security

6 jul 2020

Vroeger was de inrichting van de IT-security vergelijkbaar met het beschermen van een fort. Prikkeldraad, een sloot rondom en hoge muren zorgden ervoor dat indringers niet de kans kregen om te enteren. De IT-infrastructuur was zo opgezet dat met diverse punt-oplossingen de security werd gewaarborgd. Dit is echt verleden tijd: de simpelste apparaten hebben een internetverbinding en zijn als het ware open voor de hele wereld. Traditionele informatiebeveiliging biedt een organisatie geen garantie meer dat cruciale bedrijfsdata veilig is. Daarom moet het C-level in actie komen en de controle over cybersecurity terugpakken. Een roadmap, in combinatie met een risk assessment, biedt uitkomst in het perspectief van risicomanagement en zorgt voor grip.

Marcel Schipper door Marcel Schipper

In een andere blog schreven we over het security assessment, waarin je je businessmodel en risico’s in kaart brengt. Een cruciale vervolgstap is dat er wordt nagedacht over de gevolgen van die risico’s. Dit lijkt logisch, maar wordt door organisaties nog te vaak overgeslagen. Simpelweg omdat ze niet de vereiste kennis en inzichten hebben. Dit heeft tot gevolg dat er wél duidelijk is wat de positie in de markt is en welke risico’s er zijn op het gebied van cybersecurity, maar niet wat die risico’s voor impact hebben op de business. Iedere organisatie is uniek en er bestaat dus geen one size fits all-methode bij cybersecurity. Om grip te krijgen op de security van jouw organisatie, moet duidelijk zijn welke stappen de hoogste prioriteit hebben. Dit doe je door het maken van een unieke security roadmap. Dit is bij uitstek een uitdaging waarbij CIO of CEO het voortouw moeten nemen. Zij overzien de (toekomstige) ontwikkelingen van de organisatie en maken met hun betrokkenheid duidelijk dat cybersecurity een thema is op het hoogste niveau.

Confidentiality, Integrity and Availability-analyse

Het is onmogelijk om alles tegelijkertijd aan te pakken als het op je security aankomt. Vergelijk het met het afsluiten van een levensverzekering: ieder mens is uniek en het is onmogelijk om je voor alle risico’s even goed te verzekeren. Door stil te staan bij hetgeen voor jouw organisatie de hoogste prioriteit heeft, voorkom je dat je een verzekering met een torenhoge premie neemt die niet aansluit bij jouw unieke situatie. Of misschien erger, je investeert in slechts één oplossing en vergeet daarbij andere grote risico’s. Met de Confidentiality, Integrity and Availability-analyse breng je in kaart wat de gevolgen zijn van een bepaald risico. Dus je stelt de vragen; hoe vertrouwelijk zijn mijn gegevens, tast dit risico de integriteit van de organisatie aan en welk gevolg heeft dit risico op de continuïteit van de processen? Hoeveel kost het jouw organisatie als bedrijfsgegevens op straat komen te liggen? Wat is de schade als de IT-systemen een dag ontoegankelijk zijn? Vaak genoeg lees je negatieve verhalen over organisaties die de dupe zijn geworden van onverwachte gebeurtenissen ten gevolge van een falende IT-security. Het helder hebben van de impact en kosten van een risico zijn de eerste stappen bij het maken van een security roadmap. Dit is een samenspel tussen CIO, CFO en mogelijk ook de CEO; alle disciplines komen namelijk aan de orde. Op het hoogste niveau moeten risico’s en investeringen tegen elkaar worden afgewogen.

Roadmap leidt tot mitigeren van risico’s

Wanneer je weet welke risico’s de hoogte prioriteit hebben in jouw organisatie en wat dit de organisatie kost, ga je op zoek naar de geschikte oplossing. Het project dat hier uitrolt, bijvoorbeeld het voorkomen van datalekken, kost net als het risico een bepaald bedrag. Vergelijk dit met de kosten van het risico en je kan een goede afweging maken. De cybersecurity roadmap wordt opgesteld door de kans van het risico maal de impact te doen. Op deze manier bepaal je de volgorde van belangrijkheid en breng je structuur en planning aan. Het risico dat hoog x hoog scoort, zet je op de roadmap vooraan en laag x laag stel je uit of wordt zelfs helemaal niet aan de planning toegevoegd. Een security roadmap biedt direct een structuur om dit te besturen. Zo blijf je in control en verhoog je de volwassenheid van de organisatie als het gaat om cybersecurity.

Maturity-level op gebied van security

Organisaties met een security roadmap hebben een plan om hun maturity-level te verhogen en zijn daarmee in staat om sneller te schakelen als het aankomt op securityprojecten. Het cybersecurity volwassenheidsniveau (maturity-level) wordt bepaald door een aantal factoren. Heb je als organisatie een cybersecuritystrategie? Is er beleid geformuleerd? Is het beleid vertaald naar beheersmaatregelen en kun je hier over rapporteren? Kortom; ben je als organisatie aantoonbaar in control? Hoe hoger de volwassenheid, hoe sneller de transitie kan worden gestart. Toch zijn er ook genoeg organisaties die wel een firewall geïnstalleerd hebben, maar er nooit een blik op werpen. Een security roadmap geeft de richting aan waar je als organisatie naartoe wil bewegen. Samen met de risico- en prioriteitenlijst, geeft een security roadmap een duidelijk overzicht van de planning en het benodigde budget. Dit overzicht is een belangrijke leidraad voor het C-level. De CxO kan dit gebruiken om benodigde investeringen te onderbouwen .

Je hebt nu de kwetsbaarheden van de IT-omgeving in kaart gebracht en prioriteiten gesteld door een link te leggen met impact voor de business. Vervolgens dien je de roadmap die is gerealiseerd uit te voeren; dit gebeurt in de executiefase. Dan blijkt dat je er niet bent met het implementeren van oplossingen alleen. Je hebt als management wel een belangrijke stap gezet: er is weer controle over security. Lees onze blog over cybersecurity executie en voorkom verrassingen.

Geïnteresseerd?

Marcel Schipper
Neem contact op met onze Security- specialist Marcel Schipper

Marcel Schipper is Commercial Lead bij Telindus Security. Marcel begeleidt organisaties met het verbinden van hun business doelen met innovatieve IT-toepassingen en een veilige bedrijfsvoering. Met een achtergrond in Bedrijfskundige Informatica en een brede expertise in business consultancy, cloud, managed services en cybersecurity, heeft Marcel de juiste kennis in huis. In zijn lange loopbaan heeft hij ervaring opgedaan in onder andere de zorgsector, e-commerce, zakelijke dienstverlening en industrie.

Marcel haalt energie uit gesprekken met klanten, leveranciers en professionals. Zijn drijfveer is om betere resultaten te halen door te innoveren en te automatiseren. Naast zijn gezin heeft Marcel een grote passie voor wielrennen.

geen reacties
Plaats een reactie