Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

Security draait niet om systemen maar om data

24 maart 2015 - 07:184 minuten leestijdAdvertorialSecurity & Awareness
Redactie Computable
Redactie Computable

Bij veel organisaties is de ict-beveiliging op systeemniveau ingericht. Daardoor ontbreekt het vaak aan een bedrijfsbrede aanpak van beveiliging waarbij de bescherming van de strategische assets, zoals data, centraal staat. Wanneer organisaties hun ict-beveiliging op systeemniveau hebben georganiseerd, is de benadering meestal erg technisch of operationeel en gericht op de beveiliging van individuele systemen. Maar het draait juist om databeveiliging.

Over deze blogger

Martijn Sprengers MSc is werkzaam als IT Security Consultant bij KPMG IT Advisory. Hij studeerde af op het gebied van Computer Security en heeft meer dan 5 jaar relevante ervaring met IT-beveiliging. Hij is gespecialiseerd in de vele facetten van het beoordelen van IT-beveiliging: ethisch hacken, social engineering, penetratie testen, red teaming en IT-auditing. Klanten zijn onder meer grote bedrijven, zoals financiële instellingen, overheden en petrochemische organisaties. Onlangs heeft Martijn zich verder gespecialiseerd op het gebied van industriële IT-beveiliging (Industrial Control Systems), met een focus op nieuwe ontwikkelingen en bedreigingen.

Waar staat nu de data die echt belangrijk is voor de uitvoering van je bedrijfsstrategie? En hoe is die data verspreid over de applicaties, systemen en (netwerk)componenten. Dat zijn belangrijke vragen. We weten namelijk allemaal dat de gestructureerde databronnen, bijvoorbeeld de SAP-applicatie of Oracle-database, digitale kroonjuwelen bevatten.

Maar de vraag is juist wat er in de ongestructureerde databronnen staat, zoals mail van medewerkers, bedrijfsfolders en bestanden die online gedeeld worden via platformen als Sharepoint of cloud-diensten? En hoe zijn die gegevens eigenlijk beveiligd?

Steeds vaker hoef ik tijdens penetratietesten niet eens meer de gestructureerde databronnen aan te vallen, het infecteren van één medewerker die toegang heeft tot Sharepoint of gedeelde mappen is vaak genoeg om de kroonjuwelen te stelen. Dat patroon zie je ook terug in de digitale onderwereld.

Een populaire hackersgroep die op dit moment veel slachtoffers maakt is bijvoorbeeld FIN4. Zonder diep in het bedrijfsnetwerk door te dringen, kopiëren ze de mailbox van slachtoffers. Zo vangen ze allerlei informatie uit e-mailverkeer af, waaronder informatie over bijvoorbeeld aanstaande overnames. Die data wordt vervolgens op illegale online marktplaatsen verkocht of gebruikt om te handelen met voorkennis. Het gaat bijvoorbeeld om aanvallen op mensen die werken voor multinationals en financiële instellingen.

Wie moet de verantwoordelijkheid nemen?

Het management moet een belangrijke rol spelen om de aandacht te vestigen op beveiliging van bedrijfsgevoelige informatie. Het besef dat security niet de taak van één team of verantwoordelijke is, maar van iedereen, moet doordringen tot alle lagen van de organisatie. Daar komt bij dat bedrijven of organisaties zich vaak alleen op de dreigingen focussen en pas reageren als er grote incidenten plaatsvinden, zoals de Gemalto-hack of  diefstal van gegevens over chauffeurs van taxi-dienst Uber. Door het focussen op dit principe van “Fear, Uncertainty and Doubt” (FUD) wordt security eerder symptoombestrijding.

Van dreigingen naar kansen

Hoe kun je die cyber-risico’s voor de belangrijkste data (assets) binnen de bedrijfsvoering dan beperken? Stel daartoe eerst vast wat je strategische bedrijfsdoelen zijn. Op basis daarvan kun je dan bepalen wat je belangrijkste data zijn en waar deze staan. Stel vragen als: ‘wat zouden de gevolgen zijn van het gebrek aan beveiligingsmaatregelen voor onze bedrijfsstrategie?’
Een voorbeeld: voor een zorgverzekeraar is een DDOS-aanval of ‘SQL-injection’ op een marketingwebsite natuurlijk vervelend, maar het hoeft nog niet te betekenen dat dan de strategische bedrijfsdoelen in gevaar zijn. Echter op het moment dat medische gegevens op grote schaal lekken is dat direct een nachtmerrie voor de betreffende zorgverzekeraar. Als dat één van je strategische risico’s is, kijk je dus met name hoe je die data beveiligd. Met name voor de “chief information security officer” (CISO) is hier een belangrijke rol weggelegd.

Die moet de vertaling kunnen maken tussen de wijzigende (externe) factoren zoals technologische omstandigheden, marktontwikkelingen, dreigingen, wet en regelgeving, enerzijds en wat deze veranderingen betekenen voor de daadwerkelijke impact op de bedrijfsstrategie en het informatiebeveiligingsbeleid anderzijds.

Maar let op de CISO is niet verantwoordelijk voor de implementatie van beveiliging in de organisatie. Dat is lijn-management, want beveiliging moet je juist integreren in de bedrijfsvoering waardoor het een regulier proces voor verbetering wordt. Vergelijk het met het sturen op ‘kwaliteit’. Dat is een verantwoordelijkheid voor de eerste lijn en niet voor ‘het kwaliteitsteam.’

Daarmee wordt beveiliging verankert in de basis van de bedrijfsvoering en biedt beveiliging geen symptoombestrijding van incidenten maar een degelijk fundament voor het veilig stellen van de bedrijfsvoering. Organisaties die kun klanten, stakeholders en medewerkers kunnen aantonen dat hun data goed beschermd is, hebben een competitief voordeel en een beter imago.

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    De Nieuwe Realiteit van OT Security

    Waarom kritieke systemen om een andere securityaanpak vragen

    Computable.nl

    Videobeveiliging naar de cloud

    Ontwikkelingen in videobeveiliging en cloud-gebaseerde securityplatformen

    Computable.nl

    Regelgeving en zorgplicht helpen organisaties om succesvol en veilig te zijn

    Hoe helpen regelgeving en zorgplicht organisaties om succesvol en veilig te zijn?

    Eén reactie op “Security draait niet om systemen maar om data”

    1. Michiel Gosens schreef:
      24 maart 2015 om 15:38

      Wat een verrassend artikel. Zou graag eens contact opnemen.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Awards-nominaties

    Pijl naar rechts icoon

    Check Point

    Nadia van Beelen (Sales Associate, Check Point Technologies)
    Pijl naar rechts icoon

    ForceFusion

    Amber Quist (Cyber security specialist, ForceFusion)
    Pijl naar rechts icoon

    Hyperfox

    Vereenvoudiging bestelproces bij Duplast, specialist in voedselverpakkingen (Duplast en Hyperfox)
    Pijl naar rechts icoon

    Prodek Solutions BV

    Compleet pakket voor digitale aansturing duurzame energie bij Odura (Odura en Prodek Solutions)
    Pijl naar rechts icoon

    Norday

    Hyper-gepersonaliseerde cultuurpodcasts die nieuwe bezoekers vaker laten terugkomen via Wondercast (Norday en het Rotterdams Philharmonisch Orkest)
    Alle inzendingen
    Pijl naar rechts icoon

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Software & Development

    Businessanalyse als fundament voor duu...

    Een effectief traject begint bij het expliciet maken van businesswaarde. Die businesswaarde bestaat uit meer dan alleen functionele wensen. Het vraagt inzicht in de essentiële data, afhankelijkheden binnen processen en...

    Meer persberichten

    Meer lezen

    Overheid

    Kort: Nederland scoort goed op digitale overheid, or­ga­ni­sa­ties kritischer over ot-cy­ber­se­cu­ri­ty (en meer)

    shutterstock_2627527607 Evannovostro 16x9
    Overheid

    Ad­vies­col­le­ge ICT verwijt top­amb­te­na­ren slappe sturing op ict-projecten

    EDIC EU digitaal
    Data & AI

    Europarlementariërs eisen Europese ai-top: ‘Europa dreigt achterop te raken’

    Anthropic
    Data & AI

    Anthropic maakt Fable 5 weer wereldwijd toegankelijk

    Carrière

    Kort: Private equity stuwt banengroei, 9 op 10 it-leiders niet klaar voor ai-cyberaanvallen (en meer)

    Security & Awareness

    Eye Security haalt recordbedrag op voor expansie cyberplatform

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs