Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

The million dollar question: zijn we veilig?

Dit artikel delen:

Computable Expert

Mark-Peter Mansveld
Area Vice President EMEA North , Ivanti. Expert van Computable voor de topics Management, Security en Beheer.

De vraag of we veilig zijn, slaat iedere chief information security officer om het hart. Waarna meestal de reactie volgt dat het een gecompliceerde vraag betreft. Dat het ingewikkeld is, is omdat beveiliging nooit echt klaar is.

Voor softwareontwikkelaars is het antwoord op genoemde vraag ingewikkeld, omdat je moet definiëren wat ‘klaar’ betekent. Voor beveiliging is het zelfs zo dat als je een grens vaststelt die aangeeft wanneer de beveiliging ‘klaar’ is, dat die grens blijft bewegen omdat hackers altijd nieuwe manieren bedenken om in te breken en waarop moet worden gereageerd. Voor de meeste securityexperts grenst ‘klaar’ aan een vals gevoel van (gevaarlijke) veiligheid.

Hoe, met dit in je achterhoofd, reageer je dan op de vraag of we veilig zijn? Waarbij je niet de indruk wilt wekken dat je er nog nooit over hebt nagedacht.

Proces

"Veiligheid is een proces waarbij je moet voldoen aan een reeks normen"

De meeste topmanagers realiseren zich dat veiligheid een proces is waarbij je moet voldoen aan een reeks normen. Veel leidinggevenden zijn zich er ook van bewust dat deze normen in de loop van de tijd veranderen – waarbij voortdurend aanpassingen nodig zijn, problemen aangepakt moeten worden en incidenten onderzoek verdienen. Daarom is het meestal prima om te reageren met een iets complexer antwoord dan ja of nee.

Als ik dé vraag krijg, heb ik het graag over de verbeteringen. Voor mij komen de drie grote indicatoren van de algehele gezondheid van een securityprogramma neer op: risicobeheer, incidentbeheer en beheer van kwetsbaarheden.

Beheer

  • Risicobeheer

Heeft de organisatie de belangrijkste cyberveiligheidsrisico's adequaat geïdentificeerd? Is de organisatie actief bezig met het beheer van deze risico's? Bestaat er een actieve pijplijn van risicobeheersingsplannen en -activiteiten die in de komende zes tot achttien maanden worden voltooid om het algehele risicobeheerprofiel te verbeteren?

Voor mij definiëren deze vragen, mits bevestigend beantwoord, een risicoprogramma dat onder controle is.

  • Incidentbeheer

Hebben we een IR-team (incident response) dat alle grote afdelingen binnen de organisatie omvat? Hebben we een responseplan voor incidenten dat duidelijk is en werkt? Reageert het IR-team op incidenten? Heeft het IR-team ervaring met incidenten uit de ‘echte’ wereld? Kunnen we het team vertrouwen als of wanneer er een groot incident plaatsvindt?

Dit zijn de belangrijkste indicatoren voor een effectief incidentresponsprogramma dat actie kan faciliteren wanneer het moment daar is.

  • Beheer van kwetsbaarheden

Hebben we een nauwkeurige hardware- en software-inventaris? Voeren we vulnerability scans/assessments uit op onze server- en workstationdomeinen? Patchen we actief servers en workstations? Stellen we actief configuraties bij om rekening te houden met veranderingen? Zijn er serviceniveauvereisten voor het aanpakken van tekortkomingen in de kwetsbaarheidsscan?

Dit zijn de sleutels tot een functioneel programma voor kwetsbaarheidsmanagement.

Progressie, in plaats van perfectie

"Er is en zal altijd een risico zijn"

Het zal je opvallen dat deze programma’s geen indicatie van perfectie in de organisatie zijn. Ze geven aan dat de organisatie een traject van continue verbetering doorloopt. Er is en zal altijd een risico zijn, maar deze metrics zijn gericht op hoe de organisatie is georiënteerd.

Op de vraag of we veilig zijn, kun je dankzij deze metrics zeggen: ‘We hebben de juiste processen geïmplementeerd, zodat we ook in de toekomst zullen blijven verbeteren. Dat is een veel bevredigender antwoord.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2018-11-27T11:07:00.000Z Mark-Peter Mansveld
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.