Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Hoe 'vitaal' is jouw organisatie eigenlijk?

Dit artikel delen:

Computable Expert

Wytze Rijkmans
Regional Vice President, Tanium. Expert van Computable voor de topics Management, Digital Transformation en Security.

Het Financieele Dagblad opende onlangs met een breaking story onder de titel ‘Overheid gooit informatie over hacks bij bedrijven weg’ en publiceerde enkele dagen daarna een verdiepend artikel ‘Nationale cyberwaakhond blaft lang niet voor iedereen’.

Het verhaal komt er kortweg op neer dat het Nationaal Cyber Security Centrum (NCSC) regelmatig tips krijgt over lekken, hacks en andersoortige bedreigingen, maar dat het deze waardevolle kennis alleen proactief deelt met organisaties die volgens het NCSC ‘vitaal’ zijn voor de BV Nederland. Zo heeft het kunnen gebeuren dat gevoelige bedrijfsgegevens van Nederlandse organisaties door een cybercrimineel online zijn gezet terwijl het NSCS allang wist dat deze bedrijven kwetsbaar waren. De bedrijven echter stonden niet op de 'lijst der vitalen' en 'buiten het wettelijke mandaat kunnen dergelijke bedrijven niet geïnformeerd worden'', aldus het NSCS.

Deze situatie biedt legio aanknopingspunten voor een goed gesprek. Het steeds maar toenemende aantal cyberincidenten, de rol van het NCSC (die wat mij betreft zeer relevant is), de trage wereld van politiek die hier raakt aan de snelle wereld van cybercrime, enzovoort. Maar waar ik graag de aandacht op wil vestigen is dat elke organisatie slachtoffer kan worden van cybercrime. En wanneer dat gebeurt, dan staat de overheid zeker voor je klaar. Echter niet per se om te helpen, maar in elk geval om te bepalen of je een boete zou moeten krijgen.

Maak serieus werk van beveiliging

Vrijwel dagelijks lezen we over bedrijven die gehackt zijn. Slachtoffers van ransomware, data van klanten die online komt te staan, noem maar op. Het lijkt alsof we niet leren van de fouten die anderen maken en we adviezen van experts massaal in de wind slaan. Het is tijd dat organisaties serieus werk gaan maken van de beveiliging van hun netwerken, endpoints en hun data, de meest belangrijkste company assets vandaag de dag.

Serieus werk maken van cybersecurity gaat over drie assen: people, processes & technology. Deze zijn alle drie even belangrijk en moeten daarom de aandacht krijgen die ze verdienen en die de organisaties en zijn stakeholders verdienen om veilig zaken te doen.

Onderzoek toont aan dat bijna alle cio's en ciso’s belangrijke afwegingen hebben gemaakt tussen het beschermen van de organisatie tegen disruptie en het garanderen van continue operations. Om te weten waar de pijn zit, is het echter belangrijk om inzicht te krijgen in de huidige stand van zaken binnen de organisatie. Wanneer dit niet het geval is, bestaat de kans dat er onvoldoende accurate informatie over de gezondheid van de it-omgeving beschikbaar is waardoor middelen mogelijk verkeerd verdeeld worden. Zonder inzicht in jouw it-ecosysteem heb je gewoonweg geen inzicht in de bedreigingen waaraan dat ecosysteem onderhevig is.

Dat inzicht begint bij het inventariseren van wat je hebt, waar deze assets zich bevinden en wat de status daarvan is. Organisaties die over die kennis beschikken, komen meestal tot het inzicht dat er werk aan de winkel is, bijvoorbeeld op het gebied van patches en updates of dat er veel meer devices - inclusief virtual machines - binnen het netwerk actief zijn dan gedacht, met alle kosten die dat met zich meebrengt. 

Door inzicht in endpoints kun je de gevaarlijke en onnodige overweging tussen security en it-operations op basis van onvolledige informatie voorkomen en vertrouwen op jouw people, processes & technology om snel en adequaat te reageren op cyberaanvallen. Want dat daar werk van gemaakt moet worden, maakt ook deze kwestie bij het NCSC weer duidelijk. Of je nu bij het NCSC op de lijst met vitale organisaties staat of niet, zegt uiteindelijk niets over de vitaliteit van je it-omgeving en hoe goed deze in staat is dreigingen van buiten en vanbinnen af te weren. Maar vitaliteit kost energie en vraagt om actie. En de eerste actie zou moeten zijn: zorg dat je weet wat je hebt, want dan kan je planmatig aan de slag om de vitaliteit van jouw organisatie (weer) naar topniveau te krijgen. .

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Heerlijk zo'n zin dat de overheid voor je klaar staat, niet om je te helpen maar om te kijken of ze je nog een boete kunnen geven. En ook de stemmingmakerij over NCSC is zo herkenbaar want nog altijd worden de adviezen van experts massaal in de wind geslagen met achteraf de gebruikelijk krokodillentranen. Zo las ik recentelijk in een rechtbankverslag dat toegegeven werd dat alle adviezen van experts genegeerd waren maar dat de schuld voor een hack uiteindelijk toch echt bij deze experts lag. Gebruikelijke workflow aangaande people, processes & technology gaat steeds vaker om een jurdische vlucht voorwaarts door het beschuldigen van anderen want er zijn nogal wat bedrijven die blijven vissen met de lekke 'Hoop op Zegen' op basis van een risicoafweging. De eerste actie daarin is trouwens niet uitzoeken wat je hebt maar wat je kunt missen want het gaat namelijk om het beschermen van de vitale belangen.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-09-14T13:50:00.000Z Wytze Rijkmans
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.