Blog

Security

Een assessment vormt de basis van een evenwichtig securitybeleid

6 jul 2020

Het is wellicht naïef om te denken dat cybersecurity altijd toereikend is om cybercriminelen buiten de deur te houden en kwetsbaarheden en risico’s te elimineren. Om toch adequaat beveiligd te zijn, is het raadzaam om de belangrijkste processen, applicaties en informatiestromen in kaart te brengen en deze te voorzien van passende beheersmaatregelen. Dit risk assessment geeft inzicht in de vraag welke securitycomponenten essentieel zijn en stelt je tevens in staat de effectiviteit van investeringen te monitoren en te verbeteren. Zo staat het assessment aan de basis van succesvolle cybersecurity.

Marcel Schipper door Marcel Schipper

Het lijkt vanzelfsprekend dat je als C-level executive weet wat je belangrijkste processen zijn, wat je core business is. Maar nu de digitale transformatie om zich heen grijpt, is het goed mogelijk dat accenten verschuiven, prioriteiten veranderen en bepaalde klantsegmenten interessanter worden. Dat betekent ook dat het zwaartepunt van bedrijfsprocessen verandert. Daarom is het goed regelmatig stil te staan bij de vraag wat de essentiële onderdelen zijn van je organisatie en je dienstverlening. Vervolgens kun je de securityrisico’s in kaart brengen met een assessment. Deze risico’s kunnen immers ook mee veranderen en bewegen met ontwikkelingen die je als organisatie doormaakt. Als CxO moet je hier adequaat op inspelen.

Prioriteiten voor C-level

Idealiter begin je met het vaststellen van je primaire bedrijfsprocessen. Welke processen geven jouw organisatie bestaansrecht? Kijk hierbij naar de producten die je ontwikkelt en levert, de diensten die je aanbiedt, de klanten of klantsegmenten die de meeste waarde genereren, welke bedrijfsapplicaties de primaire processen ondersteunen en welke informatie daarbij onmisbaar is. Bedenk wat de gevolgen zijn als er een inbraak plaatsvindt op een primaire database. Wat gebeurt er als je één dag offline bent of in het nieuws komt omdat gegevens op straat liggen door een datalek? Wat gebeurt er als je intellectuele eigendom wordt gestolen door een hacker? Hoe groot is de schade? Wanneer je de kans van optreden maal de omvang van de impact berekent, kun je een soort ranglijst maken van de risico’s. Je kunt prioriteiten aanbrengen. Gezien de reikwijdte en de impact van de gevolgen van een security issue, dient dit onderwerp in de boardroom op de agenda te staan.

C-level zoekt verbinding met IT

Vervolgens is het zaak de link te leggen naar je IT-omgeving. Vandaag de dag zijn alle bedrijfsprocessen onlosmakelijk verbonden met een vorm van IT-ondersteuning. Met het lijstje business risico’s dat je eerder hebt opgesteld, kijk je naar de IT-architectuur en bepaal je welke IT-componenten verbonden zijn aan risico’s met een grote impact. Denk aan (delen van) het netwerk, business applicaties (CRM of ERP) of een productieomgeving die is voorzien van IoT-oplossingen en sensordata levert. Hierbij kun je geholpen worden door een stukje software dat je in het netwerk kunt plaatsen en van daaruit het netwerkverkeer monitort en scant. Zo worden risico’s en kwetsbaarheden automatisch blootgelegd en verzamel je technische bewijzen om je theoretische kader te ondersteunen. Het is bijvoorbeeld mogelijk om te detecteren of er een inlogpoging op een database heeft plaatsgevonden en zien of het hier ging om een fout in de Active Directory of dat er daadwerkelijk sprake is van een poging tot inbraak. Het beeld voor het management wordt zo steeds completer: wat staat je te doen?

Onbalans herstellen

Je hebt nu een duidelijk beeld van de business impact die cybersecuritydreigingen kunnen hebben en je hebt dit gekoppeld aan kwetsbaarheden in de IT-omgeving. De volgende stap in de assessment is bepalen welke securitymaatregelen je al genomen hebt om het gevaar af te wenden en of dit nog altijd toereikend is. Andersom kan natuurlijk ook; dat je een paardenmiddel hebt geïmplementeerd om een database en een server te beschermen die in onbruik zijn geraakt. Kortom, je stelt vast of de securitymaatregelen die je hebt genomen nog steeds in lijn zijn met de impact van de risico’s die je opnieuw hebt beoordeeld. De kans is groot dat er op een aantal onderdelen een onbalans is ontstaan die je moet herstellen. Met de resultaten van dit assessment heb je als management een degelijke onderbouwing zodat je nieuwe investeringen in security kunt verantwoorden. De resultaten van het scannen van het netwerkverkeer helpen hier ontzettend bij; er staat zwart op wit waar de kwetsbaarheden zitten.

Van assessment naar roadmap

Goed beschouwd levert een cybersecurity assessment je een mooie business case op. En dat is toch exact wat je als management nodig hebt. Je zet investeringen af tegen de risico’s die je uit de weg ruimt. Met andere woorden: als de aanpassingen niet worden doorgevoerd en investeringen niet worden gedaan, gaat je dat uiteindelijk opbreken: minder omzet, ontevreden klanten, imagoschade of boetes van toezichthouders. Met dit risk assessment heb je een uitstekende basis gelegd om de cybersecurity roadmap uit te stippelen. Je hebt nu immers de prioriteiten helder op het netvlies.

Klaar voor de volgende stap? Lees onze blog over de cybersecurity roadmap.

Geïnteresseerd?

Marcel Schipper
Neem contact op met onze Security- specialist Marcel Schipper

Marcel Schipper is Commercial Lead bij Telindus Security. Marcel begeleidt organisaties met het verbinden van hun business doelen met innovatieve IT-toepassingen en een veilige bedrijfsvoering. Met een achtergrond in Bedrijfskundige Informatica en een brede expertise in business consultancy, cloud, managed services en cybersecurity, heeft Marcel de juiste kennis in huis. In zijn lange loopbaan heeft hij ervaring opgedaan in onder andere de zorgsector, e-commerce, zakelijke dienstverlening en industrie.

Marcel haalt energie uit gesprekken met klanten, leveranciers en professionals. Zijn drijfveer is om betere resultaten te halen door te innoveren en te automatiseren. Naast zijn gezin heeft Marcel een grote passie voor wielrennen.

geen reacties
Plaats een reactie