Print:

Informatiebeveiliging is niet alleen een ICT aangelegenheid

Michiel van der Kraats , Digital Security en Privacy expert

LinkedIn profiel

Iedere dag lees je wel over een groot beveiligingslek of een organisatie die slachtoffer is geworden van ransomware. En in veel gevallen is de oorzaak heel eenvoudig: een zwak wachtwoord, een verdacht attachment, een update die vergeten is. Het lijkt bijna meer een kwestie van tijd dat een organisatie getroffen wordt door ransomware. Hoe komt dit? Bij veel bedrijven denkt men “De ICT’ers lossen die technische problemen op en doen daarnaast ook de IT-beveiliging, toch? Want beveiliging is technisch en ICT’ers zijn technisch”. Het gaat namelijk veel breder dan dat. Informatiebeveiliging is niet alleen een ICT aangelegenheid, ook het management moet mee en medewerkers moeten basiskennis hebben of leren. En volgens de stelling dat een goede voetballer niet altijd een goede trainer is, geldt dat ook voor een ICT’er.  Goed in het ICT-vak, maar hoeft niet automatisch een goede informatiebeveiliger te zijn.

Creëer bewustzijn

ICT afdelingen zijn vaak druk bezet: nieuwe applicaties, vervangen van hardware, medewerkers faciliteren om thuis te werken en een oneindige stroom aan kleine verzoekjes. Dat beveiliging vaak in diezelfde lange lijst staat is een groot risico voor het bedrijf. En doordat goede ICT afdelingen heel veel op de achtergrond werken bestaat het risico dat ze van de radar van het management vallen. Onder het mom van “ICT gaat bij ons altijd goed”, waardoor het beveiligingsbewustzijn in organisaties helaas vaak minder hoog is.

Bij veel bedrijven is de ICT uitbesteed aan een partner. Veel ICT partners adverteren met “one stop shopping” en “terug naar uw core business, ICT moet zijn als water uit de kraan”. Met als valkuil dat bedrijven bij beveiligingsproblemen alleen wijzen naar de ICT partner. Uitbesteden is prima maar zorg ervoor dat je nog steeds zelf de regie pakt. En vraag je ICT leverancier hoe ze je beschermen tegen ransomware en datadiefstal.

Voor verspreiders van ransomware vormen ICT leveranciers een aantrekkelijk doelwit. Deze organisaties hebben immers toegang tot vele andere bedrijven. En in tegenstelling tot wat iedereen denkt is de beveiliging vaak ondermaats. Dat komt omdat men er van uit gaat dat met al die goed technisch onderlegde mensen de beveiliging wel op een hoog niveau zal zijn. Daarom wordt er binnen technische organisaties minder gedaan aan bewustzijn en beveiligingsbeleid. Criminelen maken hier handig gebruik van en gebruiken de ICT leverancier als opstapje om bijvoorbeeld een “supply chain attack” uit te voeren. Want bedrijven vertrouwen hun leveranciers meestal wel 100%.

Hoe verbeter je de informatiebeveiliging?

Hoe til je je informatiebeveiliging naar een hoger plan? Welke eenvoudige stappen kun je doorvoeren waarmee je de beveiliging verbeterd:

  1. Maak het breder dan alleen de ICT afdeling of een zaak van je ICT partner. Het is een belangrijk onderwerp voor de gehele organisatie. Een kleine fout kan desastreus zijn voor de bedrijfsvoering. Zorg ervoor dat er in het management en bij niet-technische afdelingen basiskennis is. Geef intern bijvoorbeeld periodiek een workshop over informatiebeveiliging. Train nieuwe collega’s hoe ze optimaal kunnen omgaan met veilig houden van informatie.
  2. Pak de regie als ICT-afdeling op het gebied van informatiebeveiliging door de grote risico’s in beeld te brengen en controleer actief hoe deze gereduceerd kunnen worden.
  3. Initieer de rol van informatiebeveiliger of CISO (Chief Information Security Officer) en neem daarvoor iemand in dienst (of stel een huidige medewerker aan voor deze functie).
  4. Zet informatiebeveiliging hoog op de agenda van management en collega’s. Doordat ICT en informatiebeveiliging vaak gezien wordt als pure techniek, staat bij organisaties niet heel hoog op de agenda. Ga niet uit van de verwachting dat het eigenlijk altijd wel werkt (wat meestal wel het geval is). Voorkom een calamiteit door het bedrijf continu te informeren en attenderen op de noodzaak.
  5. Maak ICT een onderdeel van het proces bij het starten van een nieuwe bedrijfsactiviteit of grote nieuwe aanschaf. Net zoals nieuwe contracten altijd langs finance gaan moet ICT vanaf het begin hierbij betrokken worden. Zet informatiebeveiliging in als standaard onderdeel en voorkom problemen achteraf.

Maak informatiebeveiliging onderdeel van een continuïteitsplan

Grote beveiligingsincidenten zoals ransomware vormen vrijwel altijd een bedreiging op de bedrijfscontinuïteit maar organisaties zijn zelden echt goed voorbereid. In een continuïteitsplan wordt gekeken naar risico’s zoals brand of een grote machine die niet meer werkt. Een calamiteit zoals ransomware hoort daar ook onderdeel van te zijn. En zorg er natuurlijk voor dat je dit regelmatig weer up-to-date brengt.

Regelmatige technische controles zijn belangrijk maar hoe vaak moet je die uitvoeren? Het antwoord is eigenlijk continu dus zorg voor goede tools om zoveel mogelijk automatisch te controleren.

De CISO

De rol van CISO is cruciaal binnen bedrijven. Beleg deze rol van informatiebeveiliger expliciet. Vaak wordt gedacht dat dit uitsluitend voor een medewerker op de ICT-afdeling is, maar dat hoeft per definitie niet zo te zijn. Een CISO is bij uitstek een persoon die zowel beschikt over goede technische kennis maar ook goede kennis heeft van de interne processen en activiteiten van het bedrijf. Het is geen pure technische positie of iemand die alleen maar werkt aan compliance. Een goede CISO is een combinatie van beide werelden. Eigenlijk een belangrijke rol voor een “typische spin in het web”.

Start vandaag!

De kans op een echt grote calamiteit op het gebied van informatiebeveiliging is alleen maar toegenomen, zeker nu iedereen veel vaker thuiswerkt. Iedereen in een organisatie vertrouwt op ICT en gaat er van uit dat het altijd veilig en beschikbaar is. Daarom is het van groot belang dat buiten de ICT afdeling er ook voldoende kennis is. Zoals de titel al aangaf is informatiebeveiliging niet alleen maar een ICT aangelegenheid. Begin nu: vraag aan je ICT’ers of ICT partner hoe ze de organisatie veilig houden en pas de tip & tricks, die ze verstrekken, toe in je manier van werken.

Meer te weten komen over informatiebeveiliging en het verbeteren ervan in uw eigen organisatie? Volg de zesdaagse praktijkcursus Opleiding Informatiebeveiliging. Speciaal ontwikkeld voor ambitieuze professionals die betrokken zijn bij informatiebeveiliging.

Verder lezen?

Laat uw e-mail achter en ontvang de gehele brochure direct in uw mailbox.