Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Security draait niet om systemen maar om data

24 maart 2015 - 07:184 minuten leestijdAdvertorialSecurity & Awareness
Redactie Computable
Redactie Computable

Bij veel organisaties is de ict-beveiliging op systeemniveau ingericht. Daardoor ontbreekt het vaak aan een bedrijfsbrede aanpak van beveiliging waarbij de bescherming van de strategische assets, zoals data, centraal staat. Wanneer organisaties hun ict-beveiliging op systeemniveau hebben georganiseerd, is de benadering meestal erg technisch of operationeel en gericht op de beveiliging van individuele systemen. Maar het draait juist om databeveiliging.

Over deze blogger

Martijn Sprengers MSc is werkzaam als IT Security Consultant bij KPMG IT Advisory. Hij studeerde af op het gebied van Computer Security en heeft meer dan 5 jaar relevante ervaring met IT-beveiliging. Hij is gespecialiseerd in de vele facetten van het beoordelen van IT-beveiliging: ethisch hacken, social engineering, penetratie testen, red teaming en IT-auditing. Klanten zijn onder meer grote bedrijven, zoals financiële instellingen, overheden en petrochemische organisaties. Onlangs heeft Martijn zich verder gespecialiseerd op het gebied van industriële IT-beveiliging (Industrial Control Systems), met een focus op nieuwe ontwikkelingen en bedreigingen.

Waar staat nu de data die echt belangrijk is voor de uitvoering van je bedrijfsstrategie? En hoe is die data verspreid over de applicaties, systemen en (netwerk)componenten. Dat zijn belangrijke vragen. We weten namelijk allemaal dat de gestructureerde databronnen, bijvoorbeeld de SAP-applicatie of Oracle-database, digitale kroonjuwelen bevatten.

Maar de vraag is juist wat er in de ongestructureerde databronnen staat, zoals mail van medewerkers, bedrijfsfolders en bestanden die online gedeeld worden via platformen als Sharepoint of cloud-diensten? En hoe zijn die gegevens eigenlijk beveiligd?

Steeds vaker hoef ik tijdens penetratietesten niet eens meer de gestructureerde databronnen aan te vallen, het infecteren van één medewerker die toegang heeft tot Sharepoint of gedeelde mappen is vaak genoeg om de kroonjuwelen te stelen. Dat patroon zie je ook terug in de digitale onderwereld.

Een populaire hackersgroep die op dit moment veel slachtoffers maakt is bijvoorbeeld FIN4. Zonder diep in het bedrijfsnetwerk door te dringen, kopiëren ze de mailbox van slachtoffers. Zo vangen ze allerlei informatie uit e-mailverkeer af, waaronder informatie over bijvoorbeeld aanstaande overnames. Die data wordt vervolgens op illegale online marktplaatsen verkocht of gebruikt om te handelen met voorkennis. Het gaat bijvoorbeeld om aanvallen op mensen die werken voor multinationals en financiële instellingen.

Wie moet de verantwoordelijkheid nemen?

Het management moet een belangrijke rol spelen om de aandacht te vestigen op beveiliging van bedrijfsgevoelige informatie. Het besef dat security niet de taak van één team of verantwoordelijke is, maar van iedereen, moet doordringen tot alle lagen van de organisatie. Daar komt bij dat bedrijven of organisaties zich vaak alleen op de dreigingen focussen en pas reageren als er grote incidenten plaatsvinden, zoals de Gemalto-hack of  diefstal van gegevens over chauffeurs van taxi-dienst Uber. Door het focussen op dit principe van “Fear, Uncertainty and Doubt” (FUD) wordt security eerder symptoombestrijding.

Van dreigingen naar kansen

Hoe kun je die cyber-risico’s voor de belangrijkste data (assets) binnen de bedrijfsvoering dan beperken? Stel daartoe eerst vast wat je strategische bedrijfsdoelen zijn. Op basis daarvan kun je dan bepalen wat je belangrijkste data zijn en waar deze staan. Stel vragen als: ‘wat zouden de gevolgen zijn van het gebrek aan beveiligingsmaatregelen voor onze bedrijfsstrategie?’
Een voorbeeld: voor een zorgverzekeraar is een DDOS-aanval of ‘SQL-injection’ op een marketingwebsite natuurlijk vervelend, maar het hoeft nog niet te betekenen dat dan de strategische bedrijfsdoelen in gevaar zijn. Echter op het moment dat medische gegevens op grote schaal lekken is dat direct een nachtmerrie voor de betreffende zorgverzekeraar. Als dat één van je strategische risico’s is, kijk je dus met name hoe je die data beveiligd. Met name voor de “chief information security officer” (CISO) is hier een belangrijke rol weggelegd.

Die moet de vertaling kunnen maken tussen de wijzigende (externe) factoren zoals technologische omstandigheden, marktontwikkelingen, dreigingen, wet en regelgeving, enerzijds en wat deze veranderingen betekenen voor de daadwerkelijke impact op de bedrijfsstrategie en het informatiebeveiligingsbeleid anderzijds.

Maar let op de CISO is niet verantwoordelijk voor de implementatie van beveiliging in de organisatie. Dat is lijn-management, want beveiliging moet je juist integreren in de bedrijfsvoering waardoor het een regulier proces voor verbetering wordt. Vergelijk het met het sturen op ‘kwaliteit’. Dat is een verantwoordelijkheid voor de eerste lijn en niet voor ‘het kwaliteitsteam.’

Daarmee wordt beveiliging verankert in de basis van de bedrijfsvoering en biedt beveiliging geen symptoombestrijding van incidenten maar een degelijk fundament voor het veilig stellen van de bedrijfsvoering. Organisaties die kun klanten, stakeholders en medewerkers kunnen aantonen dat hun data goed beschermd is, hebben een competitief voordeel en een beter imago.

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    AchtergrondSecurity & Awareness

    Dit gaat NIS2 jouw bedrijf aan tijd en geld kosten

    compliance
    OpinieGovernance & Privacy

    Waarom Dora- en NIS2-compliance beginnen met assetmanagement

    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    ActueelSecurity & Awareness

    Vaarwel C++ en C: VS zetten in op memory safe-programmeertalen

    ActueelSecurity & Awareness

    Cybersec Netherlands trekt op met Data Expo

    Eén reactie op “Security draait niet om systemen maar om data”

    1. Michiel Gosens schreef:
      24 maart 2015 om 15:38

      Wat een verrassend artikel. Zou graag eens contact opnemen.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs