Naar een geintegreerde aanpak

Laten we afstappen van de traditionele silo's in cybersecurity.

Een verandering in hoe we omgaan met dreigingen

Auteur: Dirk Jan van den Heuvel, Algemeen Directeur bij Secura

Als directeur van een groeiend cybersecuritybedrijf zie ik een verandering in hoe we omgaan met dreigingen. De traditionele scheiding tussen bijvoorbeeld 'awareness', 'governance' of 'technische maatregelen' leidt vaak tot een disconnectie in het beheer van cyber risico's. De oplossing: een meer geïntegreerde, multidisciplinaire benadering.

Sommige grote ondernemingen hebben goede maatregelen opgesteld om hun cybersecurityrisico's te beheersen. Ze beschikken over een CISO-kantoor, een beveiligingsmanagement systeem, training en technische maatregelen. Ze volgen de ISO 27k-normen of het NIST Cybersecurity Framework (Identificeren, Beschermen, Detecteren, Reageren, Herstellen, Besturen). Ze hebben beleid om risico's, dreigingen, bevindingen en kwesties te analyseren, zodat ze kunnen leren en verbeteren. Met een groot team van beveiligingsexperts beheersen ze de cyber risico's van zo'n grote onderneming. Hulde!

Image in image block

Credit: N. Hanacek/NIST

Disconnectie tussen verschillende maatregelen

Voor kleinere organisaties (tot duizenden werknemers) is de uitdaging echter groter. Ze hebben heel wat competenties nodig om de cyber risico's op een volwassen manier te hanteren. Van buitenaf zien hun beveiligingsmaatregelen er misschien goed uit: ze kunnen trainingen organiseren, beveiligingsbeleid en technische maatregelen hebben om de cyber risico's te verminderen. Maar wat we in de praktijk zien, is dat deze maatregelen vaak behoorlijk losgekoppeld zijn:

  • De Awareness en Gedrag training is niet gekoppeld aan de specifieke kenmerken van die organisatie of de sector waarin ze actief zijn. Vaak wordt het behandeld als een compliance onderwerp, en niet als een manier om de echte risico's te beheersen.
  • Een Security Management systeem kan aanwezig zijn, maar het kan de echte bedreigingen aan de technische kant, of risico's met betrekking tot het governance en menselijke factor niet aanpakken.
  • De technische en IT-maatregelen kunnen goed zijn, maar onvoldoende of ongebalanceerd. Bijvoorbeeld, als er adequate “Protect” maatregelen zijn, maar onvoldoende “Detect” of “Response” maatregelen.

We hebben een meer gebalanceerde aanpak nodig

De cyberuitdagingen van vandaag vereisen een gebalanceerde, geïntegreerde aanpak van cybersecurity maatregelen. Bescherming, Detectie, Reactie en Governance maatregelen moeten allemaal op één lijn liggen. Mensen met een achtergrond in Awareness en Gedrag, Security Management of IT Security moeten samenwerken om de organisatie te beschermen. We moeten af van de traditionele silo's en meer focussen op samenwerking en integratie. Informatiebeveiliging, cybersecurity en de menselijke factor moeten samensmelten, zowel voor grotere als kleinere organisaties.

NIS2 en DORA: beweging richting integratie

Gelukkig zien we een beweging richting deze geïntegreerde aanpak in regelgevingen zoals NIS2 en DORA. Ze gaan niet over een checklist of een eenvoudige actielijst, maar uiteindelijk over kennis en training, mindset, verantwoordelijkheid, doorlopend risicobeheer, bewijsvoering of misschien zelfs boetes. Deze Europese regelgevingen vereisen dat veel kritieke en belangrijke organisaties solide, geïntegreerde beveiligingsmanagementmaatregelen implementeren. En volgens de regelgeving moeten hun kritieke leveranciers hetzelfde doen.

Dit is een flinke uitdaging voor kritieke en belangrijke organisaties in onze samenleving. De tijd dat alleen het hebben van een ISMS voldoende was; de tijd dat een jaarlijkse pentest de risico's zou aanpakken; de tijd dat klanten elk cyberincident als ‘pech’ konden accepteren, is voorbij. We hebben een meer professionele, multidisciplinaire, programma-gebaseerde aanpak nodig (met verschillende sporen parallel). Bij Secura houden we van deze uitdaging. Daarom noemen we 2024 het jaar van de Geïntegreerde Aanpak.


De wereld van cybersecurity is in verandering. Abonneer u op onze Cyber Vision Nieuwsbrief om meer te leren over de veranderende aard van cybersecurity en de toekomst van cyberweerbaarheid.

Over de auteur

Dirk Jan van den Heuvel, Managing Director at Secura

Ervaren Algemeen Directeur met een bewezen staat van dienst in de Informatietechnologie en Cybersecurity. Hierbij ligt de focus op expertise, (wereldwijde) normen, testen en certificering. Ondernemer en sterke bedrijfsontwikkelaar met leiderschapsvaardigheden en een PhD gericht op Natuurkunde van de Universiteit van Leiden.

Services with an Integrated Approach

Secura CyberCare

Your Challenges Secura Cybercare

In het snel veranderende veld van cybersecurity vragen veel van onze klanten om een cybersecuritypartner. Een onafhankelijke adviseur waarop u altijd kunt rekenen. Met Secura CyberCare heeft u altijd een betrouwbare beveiligingspartner bij de hand.

NIS2 Diensten

Your NIS2 Challenges

Hulp nodig bij NIS2? Ontdek onze deskundige diensten om u te helpen voldoen aan de cybersecurityvereisten van NIS2.

DORA Diensten

DORA Testing

Hulp nodig bij DORA? Ontdek onze deskundige diensten om u te helpen voldoen aan de cybersecurityvereisten van DORA.

Logo

Neem Contact op

Wilt u meer weten over Secura's visie op geïntegreerde diensten en hoe u deze in uw organisatie kunt implementeren? Vul het formulier in en we nemen binnen één werkdag contact met u op.

Waarom kiezen voor Secura | Bureau Veritas

Het doel van Secura/Bureau Veritas is om uw vertrouwde partner in cybersecurity te zijn. Wij gaan verder dan snelle oplossingen en geïsoleerde diensten. Onze geïntegreerde aanpak zorgt ervoor dat elk aspect van uw bedrijf of organisatie cyberweerbaar is, van uw technologie tot uw processen en uw mensen.

Secura is de cybersecuritydivisie van Bureau Veritas, gespecialiseerd in testing, inspection en certification. Bureau Veritas werd opgericht in 1828, heeft meer dan 80.000 werknemers en is actief in 140 landen.