4 mei 2021

Blog: 3 tips voor meer structuur en vertrouwen in ICT-beveiliging

Sharman Santosh

Volgens de Cyber Security Raad zijn veel Nederlandse organisaties, óók vitale bedrijven in de financiële en nutssector, nog altijd erg kwetsbaar voor digitale aanvallen. Deze kwetsbaarheid hangt gedeeltelijk samen met het feit dat de producten die bedrijven, maar ook burgers, gebruiken lang niet altijd cyberveilig zijn. Denk daarbij aan boekhoudsoftware of ‘slimme’ verlichting of deurbellen.

De meeste gebruikers van producten en diensten die met het internet verbonden zijn, houden zich bepaald niet dagelijks bezig met cyberveiligheid. Veiligheid is voor hen dus doorgaans een kwestie van vertrouwen. En juist dat vertrouwen ontbreekt nogal eens. Voornaamste reden daarvoor is dat er onder gebruikers van ICT-systemen en Internet of Things-producten veel onduidelijkheid heerst rondom cyberveiligheid. Voor velen is cybersecurity een wirwar van samenwerkende onderdelen waarbij de onderlinge samenhang lang niet altijd duidelijk is.

Het creëren van overzicht en structuur is een goede manier om het vertrouwen van gebruikers, zowel binnen organisaties als bij de consument, in ICT-producten op te krikken. Met de drie onderstaande tips zetten organisaties hiermee een goede eerste stap:

  • Goede cyberveiligheid hangt af van de balans tussen mensen, processen en technologie. Ga dus voor een ketenaanpak, kijk naar de ‘requirements’ van elk afzonderlijk deel en zorg ervoor dat deze drie pijlers in balans zijn. Internationaal erkende security normen als de ISO 27001 en de IEC 62443 geven hieraan houvast, zowel in een dienstverlenende als in een industriële omgeving. Organisaties die zich laten auditen of certificeren door een onafhankelijke derde partij laten hiermee bovendien aan eindgebruikers zien dat er geïnvesteerd wordt in goede cyberveiligheid.
  • Laat je systemen regelmatig testen met behulp van een penetratie- of vulnerability-assessment. Dit legt heel vaak op het eerste oog onzichtbare kwetsbaarheden bloot en zorgt ervoor dat de cybersecurity op peil wordt gehouden.
  • Bepaal, samen met experts, een korte- en langetermijnstrategie voor cybersecurity waarbij beleidsprocedures, incidentresponses en training van personeel belangrijke punten zijn. Het is belangrijk dat deze strategie op directieniveau gesteund wordt.

Het is een utopie om uit te gaan van 100% cyberveiligheid, maar het is wél mogelijk (en noodzakelijk!) om continu bezig te zijn om het kwaadwillenden zo moeilijk mogelijk te maken.