Alle IT-kennis onder één wereldwijd dak
Werken bij de beste IT dienstverlener van Nederland?
Resultaat door passie voor IT
Start trefwoorden te typen om de site te doorzoeken. Druk enter om te verzenden.
Generative AI
Cloud
Testing
Artificial intelligence
Security
December 30, 2024
Bestuurders moeten de kennis hebben (een rijbewijs) om de verkeersborden te begrijpen en de vaardigheden (rijervaring) om tijdig af te remmen, niet te hard door de bocht te gaan en te anticiperen op gevaarlijke situaties.
Veel organisaties benaderen informatiebeveiliging en cybersecurity als een afvinkoefening: als de wegbelijning en verkeersborden kloppen, komen we vanzelf waar we moeten zijn. Ze proberen informatiebeveiliging te realiseren door het toetsen en aantonen van naleving (compliance) van kaders en regelgeving (zoals GDPR en ISO 27001). Hoewel naleving van deze kaders belangrijk is voor verantwoordelijkheid en vertrouwen, overschaduwen ze vaak wat echt belangrijk is: Een omgeving creëren waarin veiligheidseisen aansluiten bij de doelen van de organisatie én bij de manier waarop medewerkers hun werk doen.
Naleving kan boetes voorkomen, maar garandeert geen veerkracht en weerbaarheid. Echte veiligheid vereist een verandering in mentaliteit: Van een focus op vinkenlijsten naar het integreren van veilige informatieverwerking als kernonderdeel van kwaliteit en de organisatiecultuur.
Denk je dat jouw CEO enige waarde hecht aan een lijst waarop staat dat je voldoet aan wet- en regelgeving op het moment dat je een cyberaanval moet afslaan, maar niet weet waar je moet beginnen? Of wanneer de media, of erger nog, je concurrent, je meest vertrouwelijke toekomstplannen in handen krijgt, en niemand kan achterhalen hoe dat is gebeurd?
Een sterke focus op naleving creëert een uitdaging die doet denken aan het onzekerheidsprincipe van Heisenberg1, bekend uit de kwantummechanica. Dit principe stelt dat we niet tegelijkertijd twee complementaire eigenschappen van een systeem – zoals positie en momentum – met absolute precisie kunnen meten. Hoe nauwkeuriger je de ene eigenschap meet, hoe minder precies je de andere kunt bepalen.
In de context van informatiebeveiliging biedt dit principe een inzichtelijke analogie. Door zich intens te richten op het meten en documenteren van naleving (een statisch aspect van beveiliging), verliezen organisaties het zicht op de meer dynamische en contextuele aspecten van beveiliging:
Dit creëert een paradox:
Hoe harder we ons focussen op naleving, hoe meer we het zicht verliezen op het daadwerkelijk veilig verwerken van informatie.
Op deze manier veranderd naleving (compliance) in het doel in plaats van een middel, losgekoppeld van het echte doel: het ondersteunen van het succes van de organisatie.
Wanneer organisaties middelen inzetten om naleving te bewijzen, anticiperen ze vaak niet op toekomstige risico’s. Deze blinde vlekken maken hen kwetsbaar voor nieuwe bedreigingen, omdat de inspanningen gericht zijn op prestaties uit het verleden in plaats van op aanpassingsvermogen en veerkracht.
Het meten en documenteren van beveiliging is belangrijk, maar het mag niet ten koste gaan van daadwerkelijk veilig zijn.
Veel organisaties beperken informatiebeveiliging tot de IT- of securityafdeling, losgekoppeld van bredere bedrijfsstrategieën. Deze silo-aanpak leidt tot drie kritieke problemen:
Deze valkuilen leiden tot Kafkaëske scenario’s waarin het volgen van beveiligingsprocessen bijna religieus wordt, maar organisaties niet veiliger maken.
Om deze reactieve cyclus te doorbreken, is een nieuwe aanpak nodig: mensgerichte informatiebeveiliging. In plaats van te beginnen met kaders of technologie, beginnen we met mensen.
Ter illustratie: bij de aanschaf van een nieuwe applicatie werden beveiligingseisen in het verleden pas besproken na het aanschaffen ervan. Tegenwoordig nemen organisaties enorme lijsten met beveiligingseisen op het aankoopproces. Dit laatste lijkt een vooruitgang, maar deze lijsten zijn vaak context loze monsters:
One-size-fits-all-oplossingen, die een vals gevoel van veiligheid creëren, zonder de unieke behoeften en context van de organisatie in ogenschouw te nemen.
Maar hoe moet het dan wel? De sleutel ligt in het vroegtijdig betrekken van informatie-eigenaren (weet je wie dit zijn?) en hen in staat stellen om zowel nu als in de toekomst te sturen op de verwerking van hun informatie. Deze stakeholders leveren de benodigde input over vertrouwelijkheid, integriteit en beschikbaarheidseisen die specifiek zijn voor de verwerking van hun informatie. Ze spelen een cruciale rol in het vertalen van informatiebeveiligingsbeleid naar hun afdelingsprocessen, procedures en werkinstructies.
Door informatie-eigenaren actief te betrekken bij het definiëren en documenteren van beveiligingsbehoeften, zijn organisaties in staat maatregelen aan te passen aan hun context in plaats van generieke nalevingschecklists te volgen. Zonder de input van informatie-eigenaren worden maatregelen generieke one-size-fits-all implementaties. Maatregelen die geen veilige informatieverwerking realiseren, maar zorgen voor een vinkje op een lijst van maatregelen. Het resultaat: schijnveiligheid.
Naast informatie-eigenaren (he)erkennen is er nog een ander cruciaal onderdeel voor het realiseren van veilige informatieverwerking: het in kaart brengen van informatiestromen. Dit zijn de paden die informatie aflegt binnen de organisatie. Door deze stromen te begrijpen, kunnen we eenvoudiger eigenaarschap bepalen en kritieke middelen beveiligen zonder andere gebieden te overbelasten.
Stel, je bent bezig met het werven van een nieuwe medewerker voor de Sales-afdeling:
Elk van deze afdelingen verwerkt specifieke typen informatie met verschillende beveiligingsbehoeften. Tijdens het proces komen er op zeker moment persoonsgegevens (van mogelijke kandidaten) in de workflow terecht. Afdelingen die persoonsgegevens verwerken, moeten voldoen aan privacywetgeving en aanvullende beveiligingsmaatregelen nemen.
Het probleem? Vaak worden dezelfde maatregelen opgelegd aan alle betrokken afdelingen, ook aan die geen persoonsgegevens verwerken, zoals de afdeling Finance. Dit leidt tot onnodige complexiteit, inefficiëntie en verspilling van middelen.
Door de informatiestromen te begrijpen en de behoeften per afdeling te onderscheiden, kunnen organisaties maatregelen effectief en efficiënt afstemmen. Zo veranderd informatiebeveiliging in een hulpmiddel in plaats van een hindernis.
De meest succesvolle organisaties integreren informatiebeveiliging in hun kwaliteitsmanagementsystemen. Ze zien beveiliging niet als een bijzaak of op zichzelf staand doel, maar als een fundament van kwaliteit.
Het positioneren van informatiebeveiliging als een aspect van kwaliteit verandert het van een last naar een kans: het winnen van vertrouwen bij prospects, klanten, medewerkers, zakenpartners en toezichthouders.
Naleving aantonen is belangrijk, maar een cultuur creëren waarin het veilig verwerken van informatie centraal staat, maakt investeringen in beveiliging duurzaam. Het is tijd voor organisaties om:
Door de focus te verleggen van naleving naar cultuur bouw je niet alleen een veiligere organisatie, maar ook een slimmere, veerkrachtigere organisatie.
