Het is nog maar zes jaar geleden dat je als bedrijf een website maakte, die draaide vervolgens ergens en verder maakte je je nergens zorgen over. Nu check je eerst of de leverancier wel voldoende veiligheidsmaatregelen heeft getroffen en of deze van dezelfde kwaliteit zijn als de maatregelen die je als bedrijf zelf neemt. Er komt bijvoorbeeld ineens een ISO-certificering om de hoek kijken, of je kiest als bedrijf voor een SOC-verklaring. SOC behelst meer dan alleen security, maar het is wel een belangrijk onderdeel. Als Yellowtail hebben we sinds kort een SOC type 1 en werken nu toe naar SOC type 2. Voor ons is informatiebeveiliging een topprioriteit. Dat was bij ons zes jaar geleden ook nog anders.
De lat ligt hoog
Dat cyber security hard nodig is, bewijzen de nieuwsberichten over hacks, ransomware en datalekken. Het is steeds vaker raak – en ook in Nederland merken we dat steeds meer. De reden daarvoor is eenvoudig: Nederland loopt digitaal voorop én is groot in de diensteneconomie. Dat betekent dat er veel digitaal gewerkt wordt met gegevens. Nederlanders zijn heel digital minded, adapteren makkelijk. Dat maakt ons land ook aantrekkelijk voor cybercriminelen. Immers: hier is meer te halen dan bijvoorbeeld in Duitsland. Zo gaat veel pensioeninformatie in Duitsland nog per post, wij hebben vanuit de overheid Mijnpensioenoverzicht.nl. Als Yellowtail Conclusion implementeren we regelmatig nieuwe pensioenportalen voor pensioenfondsen. Al die digitalisering en de kwetsbaarheid die daarmee gepaard gaat, maakt dat we in Nederland de lat hoog (moeten) leggen als het gaat om de beveiliging van informatie.
Bewustzijn en investeringsbereidheid
Inmiddels weet iedere bestuurder en directeur wel dat het niet de vraag is óf er iets gebeurt, maar wanneer. Cyberrisico’s hebben dan ook aanzienlijk meer prioriteit gekregen op de boardroomagenda’s. Dus de bewustwording, die is er. Maar in de praktijk houdt de investeringsbereidheid niet altijd gelijke tred met dat bewustzijn. Waar geef je je geld aan uit en wanneer? Pas als er een incident geweest is en de organisatie de gevolgen gevoeld heeft? Dat is eigenlijk waar we nu staan: investeer je vooraf of achteraf in informatiebeveiliging?
Verantwoordelijk én alert
Het idee van informatiebeveiliging is dat je continu systematisch controleert. Het is geen eenmalige check. Wat het extra complex maakt, is dat digitalisering overal is: op alle afdelingen door de hele organisatie heen. De verantwoordelijkheid voor veilig omgaan met informatie ligt daarmee bij iedere eigenaar van een proces of asset. Diep vertakt in de organisatie dus. Toch voelt niet iedereen die verantwoordelijkheid. Neem de phishing e-mails. Het is te voorkomen om slachtoffer te worden van deze malafide praktijken. En toch klikken medewerkers nog volop op de linkjes in phishing e-mails. Mensen zijn nog steeds vaak de zwakste schakel. De bewustwording mag nog wel wat dieper doorsijpelen in organisaties. Ook dat is een opgave op dit moment: de hele organisatie verantwoordelijk én alert maken.
Het slot erop
Omdat informatiebeveiliging onderdeel is van de hele organisatie, is het lastig om die verantwoording en controle te bewaken. Het borgen van checks & balances in processen is nu een hot topic. Steeds meer organisaties beseffen dat je er tijd en geld in moet steken om die checks uit te voeren en de risico’s af te dekken. We gebruiken al jaren deuren met sloten, slagbomen bij terreinen en poortjes in gebouwen. Maar mensen screenen en de deur op slot draaien is niet meer voldoende; ook op informatie moet een slot. Dat is de denkslag die organisaties moeten maken. Waan je je veilig of weet je echt welke risico’s van kracht zijn in je organisatie en handel je daar dagelijks naar?
Een eerlijk beeld
Als je een eerlijk beeld ophaalt van de risico’s kun je vervolgens bepalen waar je je tijd en geld in investeert. Daar zit tegelijkertijd ook het moeilijke: omdat informatiebeveiliging tegenwoordig onderdeel is van de hele operatie, maakt dat het lastig om de verantwoording en controle te bewaken. Het Key Control Dashboard helpt daarbij. Hiermee breng je de risico’s in kaart en de benodigde acties worden duidelijk. Het systeem signaleert en dwingt af dat er wordt gehandeld. Daarmee leg je verantwoording af over wat je gedaan hebt aan informatiebeveiliging. Je kunt niet 100% voorkomen dat jouw organisatie het doelwit wordt van cybercriminelen. Maar als er een incident is, kun je wel aantonen dat er alles aan gedaan is om het te voorkomen. En dat je goed nagedacht hebt over de risico’s en ernaar hebt gehandeld.
Ewmancipatie van informatiebeveiliging
Zorg ervoor dat je kritieke processen veilig en effectief zijn. Toon aan dat de kwaliteit van je organisatie goed is en dat de processen op de juiste manier zijn ingericht. En maak vervolgens de investeringen die nodig zijn om je organisatie veiliger te maken. Tegelijkertijd is informatiebeveiliging niet langer een op zichzelf staand iets. Het moet diepgeworteld zijn in je hele organisatie, want het is cruciaal voor je hele organisatie. De vraag moet eigenlijk zijn: wat moet ik doen om ervoor te zorgen dat mijn organisatie blijft bestaan? Informatiebeveiliging is pas echt geëmancipeerd als het geïntegreerd is in je bedrijfsvoering en we het er niet meer over hoeven te hebben. Maar zover zijn we voorlopig nog niet.
Het Key Control Dashboard
Vanuit het Key Control Dashboard werken wij tijdens de implementaties intensief samen met onze klanten om gezamenlijk de beoogde ambities op informatieveiligheid zowel op korte als op de langere termijn te realiseren. Wij helpen bij het realiseren van de integrale doelstellingen met onze software.
Het Key Control Dashboard is vanwege de flexibiliteit, integraliteit en sterke governance structuur in staat om op de juiste plek het eigenaarschap te beleggen. Daarmee is onze software uitermate geschikt voor elke organisatie die haar beheersing en sturing in relatie tot informatiebeveiliging wil verbeteren. Meer weten over wat het Key Control Dashboard voor uw organisatie kan betekenen? Neem dan gerust contact op of vraag direct een vrijblijvende demo aan.