Waar en hoe moet je als bedrijf beginnen als het gaat om Cyber Security?

Patrick van der Rijt vertelt zijn strategie.

Informatiebeveiliging blijft in toenemende mate een agendapunt voor directies van organisaties. Voor veel organisaties is het een drempel om hiermee aan de slag te gaan, omdat het analyseren van de mate waarin je als organisatie gevaar loopt complex en tijdrovend is. Waar en hoe begin je dan? Wij spraken erover met Patrick van der Rijt.

Patrick van der Rijt

Patrick werkt sinds 2014 als manager Risk & Compliance voor Dearbytes; een onderdeel van KPN Security Services. Daarvoor heeft hij diverse rollen vervuld binnen het IT security werkveld. Binnen Dearbytes jaagt hij de security- en riskoperatie aan en is hij de security-enabler voor zowel de interne organisatie als derde partijen. In zijn rol adviseert hij de raad van bestuur op het gebied van informatiebeveiliging en business continuïteit en verzekert hij dat de organisatie kan voldoen aan haar zakelijke doelstellingen.

2018: nieuwe uitdagingen op IT security vlak

‘Voor het nieuwe jaar zie ik op informatiebeveiligingsgebied wel een aantal uitdagingen voor het Nederlandse bedrijfsleven. Er worden strengere eisen gesteld aan beveiliging, want cyber crime is een groeiend probleem dat zich razendsnel ontwikkelt. Hackers verzinnen daarnaast steeds nieuwe technieken om organisaties binnen te dringen en organisaties zelf zijn continu in beweging waardoor het lastig wordt om de juiste beveiligingsprioriteiten te stellen. Tot slot gaat natuurlijk de privacywetgeving in Mei van kracht en nalatigheid kan geen optie zijn, gezien de torenhoge boetes die opgelegd kunnen worden.

De eerste stap richting een krachtige cyber security fundering

Reden genoeg dus om na te gaan denken over risico’s en blinde vlekken. Mijn advies zou zijn: creëer inzicht in de huidige situatie en maak je eigen strategieplan om samen met stakeholders organisatiedoelstellingen te behalen. Een goede analyse is de eerste stap richting een krachtig security programma. Het resultaat van de analyse vormt grotendeels het fundament voor het vervolg.

Risk based vs. rule based benadering

Afhankelijk van de behoefte moet de insteek van de analyse bepaald worden. Dit kan variëren van wetgeving, zoals privacy compliancy, tot aan de IT infrastructuur. Zelf maken wij onderscheid tussen een rule based approach en een risk based approach. De eerste methode rust op het raamwerk Critical Security Controls (CSC), welke is opgesteld aan de hand van verschillende bedrijfstrendrapporten, waaruit de meest voorkomende IT security-dreigingen naar voren zijn gekomen. De bekendste IT risico’s zijn omgezet in 20 controls die pragmatische IT maatregelen bieden.  De eerste 5 controls vormen een vereiste voor IT-bedrijfsomgevingen, omdat deze bescherming bieden voor ongeveer 80% van alle IT-security-dreigingen.

“Het doel van deze methode is om inzicht te krijgen in de te nemen IT maatregelen.”

De risk based approach biedt naast passende IT maatregelen ook fysieke- en beleidsmaatregelen. Deze benadering heeft als doelstelling om focus en inzicht in de prioriteitstelling van de belangrijkste security maatregelen te geven. Het hanteren van een op risico gebaseerde aanpak is een van de meest gebruikte methoden in de markt. Deze methodiek gaat namelijk uit van het gezamenlijk definiëren van de belangrijkste risico’s en vertaalt zich naar concrete actieplannen.

De menselijke factor

Veel organisaties betrekken security slechts op het IT aspect, maar realiseren zich niet hoe IT, de menselijke factor en procedurele maatregelen met elkaar samenhangen. Juist in deze dynamische tijd, waarin het aantal cyberaanvallen exponentieel groeit, is deze verwevenheid niet te verwaarlozen. ‘

Zelf is Patrick altijd op zoek naar mogelijkheden om zijn kennis op het gebied van Risk en Cyber Security vergroten. Bezoek je wel eens security events? Dan is de kans groot dat je hem daar tegenkomt.

 

Author: Diane Kwakman

Diane Kwakman is team manager bij Tergos; een specialistische recruitment organisatie uitsluitend gericht op IT Infrastructure & Cyber Security. Zij interviewt op regelmatige basis prominente CISO’s en Security Managers over hun visie op security. dkwakman@tergos.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *