BLOG – Met Dora van kracht en NIS2 in aantocht, moet je als organisatie nu én in de toekomst aantoonbaar digitaal weerbaar zijn. Ondertussen is dit geen zaak van voorbereiden meer, maar een kwestie van inhalen als je nog niet zover bent. En dat laatste geldt voor veel organisaties. Het is duidelijk dat dit risicovol is, niet alleen gezien de hoge boetes, maar vooral het gevaar op securityincidenten. Hoe langer je wacht, hoe moeilijker het wordt om weerbaar te worden. Het goede nieuws is dat je dit gat nog kunt overbruggen als je nu start. Maar waar te beginnen? Assetmanagement is stap één.
- Ken je landschap
Je kunt pas weerbaar zijn als je weet wat je moet beschermen. Het startpunt is daarom inzicht in je applicatielandschap. Welke applicaties gebruik je in de organisatie? En welke gegevens staan daarin of verwerken ze? Denk alleen al aan Microsoft Teams waar veel bedrijfsdata in rondgaat. De praktijk leert dat veel organisaties nog geen duidelijk beeld van hun applicatielandschap hebben. Het is versnipperd en een eenvoudige export van gegevens brengt soms grote verrassingen met zich mee. Dit gebrek aan inzicht maakt het op securitygebied onmogelijk om een risico-inschatting te maken of securitybeleid te schrijven. Gebeurt er iets, zoals een datalek, dan word je compleet verrast. En daarmee is compliance voor Dora of NIS2 ook een brug te ver. Een eerste eenvoudige inventarisatie van je applicaties geeft je helderheid en is daarom onmisbaar voor de verdere stappen naar compliance.
- Waar Dora en NIS2 om vragen
Ben je zover dat je jouw applicatielandschap in kaart hebt? Dan is het zaak processen in te richten die ervoor zorgen dat dit zo blijft. Want applicaties, en vooral de data daarin, veranderen continu. Neem alle ai-applicaties die als paddenstoelen uit de grond poppen en waar medewerkers, al dan niet op eigen initiatief, data in uploaden. Dat vergroot het risico op datalekken. Je kunt er daarom voor kiezen om dit soort externe apps te verbieden. Maar doe je dat zonder beleid, dan is het weinig effectief.
Wat je nodig hebt, zijn heldere afspraken, bewustwording bij medewerkers en de juiste procedures voor als het mis dreigt te gaan. Oftewel: goed assetmanagement. Wat heb je in huis? Wie gebruikt welke applicaties? Wat doe je als er iets misgaat met de data daarin? Hoe groot is het risico voor een specifieke applicatie überhaupt? Wie registreert dit? Richt processen in rondom risicobeoordeling, incidentregistratie én herstel die je voor iedere nieuwe applicatie kunt herhalen.
Dat is waar Dora en NIS2 om vragen: inzicht in welke software je gebruikt, welke risico’s hieraan verbonden zijn én wat je doet als het misgaat.
- Combineer monitoring en assetmanagement
Met assetmanagement zet je een stap richting compliance. Maar op zichzelf biedt het geen volledige digitale weerbaarheid. Dat heeft te maken met wat in de vorige alinea naar voren kwam: wat doe je als het misgaat? Voor security is het belangrijk dat een mogelijke dreiging vroeg wordt gesignaleerd. Dat kan bijvoorbeeld via een melding van een medewerker die mogelijk een fout heeft gemaakt. Toch wijst de praktijk uit dat slechts een deel van dit soort securityincidenten daadwerkelijk wordt gemeld. Bijvoorbeeld vanwege angst voor de gevolgen, schaamte, maar ook door onwetendheid.
Dat maakt monitoring via een tool als InTune net zo belangrijk als assetmanagement. Sterker, beide zaken versterken elkaar. Zodra een monitoringssysteem een dreiging oppikt, wordt alle relevante informatie over het specifieke asset automatisch verzameld én start er een risicoanalyse, omdat je dit vooraf inzichtelijk hebt gemaakt. Is het risico groot genoeg om uit te gaan van een securityincident? Dan kun je via het systeem automatisch bepaalde mensen in de organisatie op de hoogte stellen en actie laten ondernemen. Door assetmanagement te combineren met monitoring, bespaar je niet alleen tijd, maar verklein je de mogelijke impact van een incident.
Van verplichting naar gewoonte
Digitale weerbaarheid is noodzakelijk kwaad. Vergelijk het met het regelen van een inboedelverzekering. Je regelt het vooraf om problemen later te voorkomen. Het verschil is dat digitale weerbaarheid geen eenmalige inspanning is, maar een doorlopend proces. Het applicatielandschap is continu in beweging en vraagt daarom steeds opnieuw om inzicht en scherpe monitoring van risico’s en data.
Met andere woorden: wetgeving dwingt je om assetmanagement serieus te nemen. Want net zoals een verzekering alleen uitkeert voor wat je hebt verzekerd, werkt digitale weerbaarheid alleen als je precies weet wat er beschermd moet worden én waarom. Digitale weerbaarheid begint dus niet met technologie, maar met regie.
Max Veenhof, business consultant TOPdesk
Ken je landschap klinkt als weet wat je MOET beheren want NIS2 heeft nog een staartje in het ketenbeheer als we kijken naar het risicobeheer. Een versnippert (IT) landschap met onduidelijke verantwoordelijkheden zoals het breiwerk van de cloud geeft nogal wat uitdagingen door zoiets als gedeelde verantwoordelijkheid. Ik zou niet de applicatie beschermen bij de SaaS oplossingen in de cloud maar een asset zoals de data. Of beter gezegd de informatie want het verlies van alle nutteloze data zorgt ervoor dat de organisatie beter presteert. NIS2 kan je tenslotte ook aangrijpen om tot een efficiëntere bedrijfsvoering te komen door niet alleen de nadruk te leggen op bedreigingen.
NIS2 vereist dat organisaties hun processen voor de risicobeheersing op orde brengen door meer aandacht te geven aan incidentrespons, governance en audittrails. Dat klinkt als werken onder architectuur waarbij een afstemming tussen de business, IT en beveiliging zowel op een strategisch als operationeel niveau geïmplementeerd moet worden. Dat is een organisatorische verandering die meer om de mensen dan de processen gaat. Culture verandering van risicomijdend naar risicobewust en daarmee ook kansgericht gaat om begrijpen wat er fout kan gaan en daarop sturen om dit te voorkomen.
NIS2 gaat dus niet om de compliance maar om de weerbaarheid door flexibiliteit.