door Robert Schmidt 3 jaar geleden

Cybersecurity; zorgen voor de IT-afdeling toch? Volgens mij is dat een cruciale denkfout. Het begint al bij de naam. De Nederlandse variant, informatiebeveiliging, dekt de lading beter. Informatiebeveiliging behandelt alle beveiligingsaspecten van informatie; in gesproken, geschreven, elektronische of welke vorm dan ook. Dat gaat veel verder dan het bereik van de gemiddelde IT-afdeling.

Toch is het deze afdeling die, al dan niet logischerwijs, belast is met de meeste implementaties van de maatregelen. Het grootste gedeelte van de informatie wordt digitaal ontsloten. Maar er is een deel van de technische inrichting die organisaties vaak vergeten.

Uitheemse systemen

De gemiddelde IT’er is bekend met het beveiligen van systemen op basis van Microsoft, Apple of Linux omgevingen. Maar systemen buiten deze noemer zijn vaak een ander verhaal. Hebben we het over Internet-of-Things (IoT) apparaten of complexere systemen, dan ligt het beheer vaak buiten de IT-afdeling.

Binnen bijvoorbeeld de logistieke en industriële sector zien we een grote toename in het aantal, aan internet aangesloten operationele systemen. Van “oudsher” zijn deze systemen afgesloten van het internet. Maar ook deze sector ontdekt steeds meer voordelen van verbindingen tussen het internet en operationele systemen.

Naast de voordelen heeft ook negatieve gevolgen. De systemen staan bloot aan cyberaanvallen. IoT-apparaten zijn minder beveiligd tegen geavanceerde aanvalsscenario's. In tegenstelling tot een aanval op gebruikelijke informatiesystemen, kan een geslaagde aanval op een operationeel systeem niet enkel leiden tot verlies van informatie, maar ook tot enorme fysieke schade en zelfs tot een gevaar voor mensenlevens.

Één richting, één visie, één aanpak

Toch moeten we vooruitgang niet tegenhouden, de voordelen zijn te groot om te negeren. We moeten het op een gedegen manier invoeren. Het is van groot belang dat we de verschuiving van de operationele systemen van standalone naar cloud-gebaseerde omgevingen goed in zicht brengen en houden. Hierin lopen we aan tegen de verschillende verantwoordelijkheden, belangen en visies binnen een organisatie. Terwijl IT een focus heeft op kantoorautomatisering, houdt de operationele afdeling (Operationele Technologie ofwel OT) zich bezig met de techniek op de werkvloer. Beide afdelingen hebben hun eigen uitdagingen. Zo kan de IT-afdeling bijvoorbeeld zoeken naar een oplossing voor toenemende ransomware aanvallen, en de OT-afdeling zoeken naar een manier om de mobiele handscanners te beveiligen tegen diefstal of verlies.

Leggen we de focus alleen op deze twee afdelingen en de bijhorende technische oplossingen? Dan vergeten we de andere afdelingen. Elke HR-afdeling werkt bijvoorbeeld ook met persoonlijke informatie, die, in overeenkomst met de AVG-beveiliging nodig heeft. Ondanks dat het voor elke organisatie van belang is om te kiezen voor een integrale informatiebeveiligingsaanpak, geldt dit in extreem grote mate voor organisaties die te maken hebben met onderscheid tussen de IT- en OT-afdeling.

Floor-to-paper

Een integrale aanpak werkt alleen wanneer er voldoende draagvlak is binnen de gehele organisatie. Om dit te bereiken is het van belang dat het te voeren beleid niet vanuit het management is opgelegd. Bestaande afspraken en procedures, al zijn deze soms niet formeel vastgelegd, moeten de basis vormen voor het te bepalen beleid. Hiervoor dient er dus een uitvoerige inventarisatie plaats te vinden. Op basis van de resultaten kan de organisatie een Gap analyse uitvoeren en de ontbrekende maatregelen, in overleg met de betreffende afdelingen, opstellen en uitvoeren.

Onafhankelijk advies

Het opstellen en implementeren van een integraal informatiebeveiligingsplan met bijhorend beleid is niet eenvoudig. Omdat iedere organisatie, en vaak zelfs iedere afdeling binnen een organisatie een andere manier van werken kent, is het noodzakelijk om eerst de neuzen dezelfde kant op te krijgen. Aces Direct helpt organisaties met het opstellen en implementeren van een passend beveiligingsbeleid, waar de hele organisatie achter staat. Onze uitgebreide ervaring op dit gebied maakt dat wij voor elke type organisatie een passend beleid kunnen opstellen. Of dit nu voor een midden- kleinbedrijf is of een enterprise is die zich klaar maakt voor de ISO27001:2013, Aces Direct kan altijd een helpende hand bieden.