Naar een geintegreerde aanpak

Een verandering in hoe we omgaan met dreigingen

Auteur: Dirk Jan van den Heuvel, Algemeen Directeur bij Secura

Als directeur van een groeiend cybersecuritybedrijf zie ik een verandering in hoe we omgaan met dreigingen. De traditionele scheiding tussen bijvoorbeeld 'awareness', 'governance' of 'technische maatregelen' leidt vaak tot een disconnectie in het beheer van cyber risico's. De oplossing: een meer geïntegreerde, multidisciplinaire benadering.

Sommige grote ondernemingen hebben goede maatregelen opgesteld om hun cybersecurityrisico's te beheersen. Ze beschikken over een CISO-kantoor, een beveiligingsmanagement systeem, training en technische maatregelen. Ze volgen de ISO 27k-normen of het NIST Cybersecurity Framework (Identificeren, Beschermen, Detecteren, Reageren, Herstellen, Besturen). Ze hebben beleid om risico's, dreigingen, bevindingen en kwesties te analyseren, zodat ze kunnen leren en verbeteren. Met een groot team van beveiligingsexperts beheersen ze de cyber risico's van zo'n grote onderneming. Hulde!

Disconnectie tussen verschillende maatregelen

Voor kleinere organisaties (tot duizenden werknemers) is de uitdaging echter groter. Ze hebben heel wat competenties nodig om de cyber risico's op een volwassen manier te hanteren. Van buitenaf zien hun beveiligingsmaatregelen er misschien goed uit: ze kunnen trainingen organiseren, beveiligingsbeleid en technische maatregelen hebben om de cyber risico's te verminderen. Maar wat we in de praktijk zien, is dat deze maatregelen vaak behoorlijk losgekoppeld zijn:

• De Awareness en Gedrag training is niet gekoppeld aan de specifieke kenmerken van die organisatie of de sector waarin ze actief zijn. Vaak wordt het behandeld als een compliance onderwerp, en niet als een manier om de echte risico's te beheersen.
• Een Security Management systeem kan aanwezig zijn, maar het kan de echte bedreigingen aan de technische kant, of risico's met betrekking tot het governance en menselijke factor niet aanpakken.
• De technische en IT-maatregelen kunnen goed zijn, maar onvoldoende of ongebalanceerd. Bijvoorbeeld, als er adequate “Protect” maatregelen zijn, maar onvoldoende “Detect” of “Response” maatregelen.

We hebben een meer gebalanceerde aanpak nodig

De cyberuitdagingen van vandaag vereisen een gebalanceerde, geïntegreerde aanpak van cybersecurity maatregelen. Bescherming, Detectie, Reactie en Governance maatregelen moeten allemaal op één lijn liggen. Mensen met een achtergrond in Awareness en Gedrag, Security Management of IT Security moeten samenwerken om de organisatie te beschermen. We moeten af van de traditionele silo's en meer focussen op samenwerking en integratie. Informatiebeveiliging, cybersecurity en de menselijke factor moeten samensmelten, zowel voor grotere als kleinere organisaties.

NIS2 en DORA: beweging richting integratie

Gelukkig zien we een beweging richting deze geïntegreerde aanpak in regelgevingen zoals NIS2 en DORA. Ze gaan niet over een checklist of een eenvoudige actielijst, maar uiteindelijk over kennis en training, mindset, verantwoordelijkheid, doorlopend risicobeheer, bewijsvoering of misschien zelfs boetes. Deze Europese regelgevingen vereisen dat veel kritieke en belangrijke organisaties solide, geïntegreerde beveiligingsmanagementmaatregelen implementeren. En volgens de regelgeving moeten hun kritieke leveranciers hetzelfde doen.

Dit is een flinke uitdaging voor kritieke en belangrijke organisaties in onze samenleving. De tijd dat alleen het hebben van een ISMS voldoende was; de tijd dat een jaarlijkse pentest de risico's zou aanpakken; de tijd dat klanten elk cyberincident als ‘pech’ konden accepteren, is voorbij. We hebben een meer professionele, multidisciplinaire, programma-gebaseerde aanpak nodig (met verschillende sporen parallel). Bij Secura houden we van deze uitdaging. Daarom noemen we 2024 het jaar van de Geïntegreerde Aanpak.

De wereld van cybersecurity is in verandering. Abonneer u op onze Cyber Vision Nieuwsbrief om meer te leren over de veranderende aard van cybersecurity en de toekomst van cyberweerbaarheid.