Print:

Drie securitytrends om als privacy officer in het vizier te houden

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

De scheidslijn tussen een hype en een trend is dun. Vooral in de wereld van privacy, dataprotectie en cybersecurity. Maar er zijn natuurlijk trends die zeker aandacht verdienen. De drie actuele ontwikkelingen in security om als privacyprofessional in het oog te houden.

De dreiging van ransomware-aanvallen is groter dan ooit. Er komt steeds meer nieuwe malware. De investeringen in cybersecurity kunnen de groeiende risico’s nauwelijks bijhouden. Het is een kleine greep uit de trends die aan bod komen in de meest recente editie van “European cybersecurity perspectives”. In dit jaarlijkse rapport bundelt KPN de laatste inzichten over cyberrisico’s.

De input is afkomstig van onder andere de Nationale Politie, het National Cyber Security Centre, Europol, Bits of Freedom, Philips en diverse universiteiten. De experts blikken terug op de ontwikkelingen van de laatste tijd, zoals de impact van veelbesproken DDoS-aanvallen. Maar er wordt ook vooruitgekeken. Zo schetst de Technische Universiteit Eindhoven een toekomstbeeld van de cryptografie en voorspelt Kaspersky Lab een opmars van robots in de boardroom.

Vergezichten op onze digitale samenleving leveren niet altijd kennis op die direct bruikbaar is in de dagelijkse praktijk van privacy officers en securityprofessionals. Drie trends om wel op de radar te houden.

 

Groeiende kennis over effectieve awareness-programma’s

Om voorbereid te zijn op cyberincidenten is awareness – van de risico’s van cyberincidenten én de maatregelen ertegen – belangrijker dan ooit. Organisaties beschikken tegenwoordig over immense hoeveelheden data. Het risico dat die data in verkeerde handen vallen, neemt toe. De mens is in de verdedigingslinie tegen datalekken en digitale diefstal vaak de zwakste schakel. Een effectief awareness-programma kan helpen om de risico’s te verminderen en de juiste werkwijze te volgen als het toch misgaat.

Ingewikkeld? Er is steeds meer praktische kennis over effectieve awareness-programma’s. Zo hebben ethische hackers hun meerwaarde bewezen voor organisaties die een bewustwordingscampagne willen ontwikkelen. De security-experts kruipen in de huid van een potentiële hacker en kunnen op die manier de zwakke plekken blootleggen. De resultaten van de scan geven een campagne een stevige inhoudelijke basis.

Daarnaast heeft de praktijk geleerd dat het essentieel is om te werken aan organisatiebreed draagvlak voor preventie. Overtuig alle medewerkers van het zwaarwegende belang van alertheid op risico’s, en informeer de verschillende lagen van de organisatie over de noodzakelijke voorzorgsmaatregelen.

Bovendien is herhaaldelijk aangetoond dat een goede awareness-campagne natuurlijk méér is dan een eenmalige stunt. Net zoals digitale security regelmatig een update nodig heeft, is het interne risicobewustzijn een blijvend aandachtspunt. De methoden van cyberaanvallen veranderen continu. Bovendien kan na een bepaalde tijd het bewustzijnsniveau rondom beveiligingsissues wegzakken. Maak van een awarenesscampagne dan ook een doorlopende – of op zijn minst regelmatig terugkerende – exercitie.

Groeiende zorgen over cyberexpertise

“Het wordt tijd dat we de noodklok luiden. We hebben in Nederland een flink tekort aan cybersecurity specialisten.” Dat zei Bibi van den Berg in april in een interview met FD. Van den Berg is hoogleraar aan de Universiteit Leiden en lid van de Cyber Security Raad. Volgens Van den Berg vertrekken veel studenten na hun studie in Nederland naar het buitenland, waar de salarissen en arbeidsvoorwaarden aantrekkelijker zijn. De braindrain leidt niet alleen tot krapte op de arbeidsmarkt, maar ook tot een dreigend tekort aan onderwijzend personeel aan de universiteiten. Terwijl die docenten juist hard nodig zijn om nieuw talent op te leiden.

Van den Berg maakt zich ook zorgen over een ander aspect van de dreigende schaarste in cyberexpertise: de beperkte beschikbaarheid van wetenschappelijk onderbouwde kennis over risico’s en oplossingen. De Nederlandse overheid zou te weinig investeren in onderzoek.

“In de EU is afgesproken dat landen in 2020 3% van het nationaal inkomen uitgeven aan onderzoek. Nederland heeft nu al jaren de 2% niet eens gehaald,” aldus Van den Berg. Minister Grapperhaus van Justitie heeft inmiddels aangekondigd om meer geld in cybersecurity te steken, oplopend tot een jaarlijks bedrag van 95 miljoen euro. Van den Berg vindt dat goed nieuws, maar nog steeds onvoldoende. Zo is er onderzoek nodig naar de drijfveren van werknemers, eindgebruikers en burgers om rekening te houden met security.

Wetenschappelijk onderzoek en onderwijs zijn volgens Van den Berg ook essentieel om te voldoen aan de groeiende vraag naar veelzijdige cybersecurityprofessionals, die niet alleen verstand hebben van technische zaken maar ook van bestuurlijke vraagstukken. “Hoe en waar zit cybersecurity in je organisatie? Hoe zit het juridisch en internationaal? Hoe volg je de wet- en regelgeving? Zijn er economische prikkels om iets te doen? Wat zijn de normen in en rond het internet? Er zijn mensen nodig die dat allemaal begrijpen.”

Alsmaar complexere wet- en regelgeving

De komst van de Algemene verordening gegevensbescherming (AVG) is voor veel organisaties en ondernemers al een hele klus. Maar er is nog meer wet- en regelgeving op komst die tot hoofdbrekens kan leiden. Denk aan de e-Privacy verordening, de Amerikaanse Cloud Act en de Nederlandse cybersecuritywet. Bovendien ligt het volgens de Cyber Security Raad voor hand om in ons land – zo lang er geen Europees keurmerk is – een accreditatie- of certificeringssystematiek voor aanbieders van cybersecuritydiensten in te voeren.

De ontwikkelingen binnen wetten en normenkaders plaatsen securityvraagstukken hoog op de agenda van privacyprofessionals. Nieuwe eisen aan security kunnen nu eenmaal impact hebben op dataprotectie en AVG-compliance. Hoe hangen de vereisten uit de diverse wetten en regels onderling samen? Ontstaan er spanningen tussen privacybescherming en securitymaatregelen? Hoe gaan privacy- en security-awareness samen? Wanneer is de beveiliging van cloud computing AVG-proof? Het zijn vragen om zeker bij stil te staan. Alle juridische ontwikkelingen zijn namelijk vast en zeker geen kortstondige hype.

Alle basiskennis van security opdoen die noodzakelijk is voor het werk van privacy officer? Volg dan de driedaagse praktijkcursus Security voor privacyprofessionals.

Security voor Privacy Professionals | IIR

 

Verder lezen?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten