Door: Abbas Shahim
Gouden regels om cyberaanvallen voor te zijn
Cyberaanvallen komen steeds vaker voor. Met welke beveiligingsuitdagingen krijgen organisaties de komende vijf jaar te maken? En welke impact heeft dit met betrekking tot beveiliging van data en compliance?
Door de razendsnelle technologische ontwikkelingen vinden organisaties het moeilijk om hun beveiliging up-to-date te houden. Nieuwe digitale platforms bieden zowel nieuwe kansen als bedreigingen. Processen digitaliseren en backoffice systemen worden opengesteld voor toepassingen waar zij niet voor bedoeld zijn. De IT/OT-convergentie zit in een stroomversnelling, zoals beschreven in onze publicatie Journey 2018.
Complexere security
We leven in een wereld waarin alles steeds meer met elkaar verweven is. Organisaties werken niet langer geïsoleerd, maar zijn onderdeel van complexe digitale ecosystemen en zakelijke ketens die soms bijna real time ontstaan. Hierdoor zijn zij mede afhankelijk van het beveiligingsbeleid van andere partijen. Daardoor wordt beveiliging steeds complexer en gevoeliger en blijft het pareren van cyberaanvallen topprioriteit voor de Chief Information Security Officer (CISO). De grootste uitdaging voor 2020 is bijblijven terwijl de complexiteit toeneemt. Dit betekent dat we ons moeten voorbereiden op het onbekende.
Waar krijgen organisaties qua security en compliance de komende jaren mee te maken? Jarenlang werden IT en business los van elkaar gezien. IT was ondersteunende technologie, terwijl de echte strategische issues zoals bedrijfsrisico’s en compliance tot business behoorden. Nu klopt die scheiding niet meer. IT is business en alle business is digitaal. Toch zijn IT en bedrijfsbeveiliging in veel organisaties nog steeds gescheiden, alhoewel sommige pioniers ze hebben samengebracht. Risico’s zijn nu eenmaal niet in een hokje te stoppen. Je moet met alles rekening houden.
Vertrouwen opent deuren
Het goede nieuws is dat de risico’s ook winst kan opleveren. Security gaat niet alleen over risico’s vermijden: het voegt ook daadwerkelijk iets toe. Het levert vertrouwen op en maakt het werk veiliger. Denk bijvoorbeeld aan veilige mobiliteit, het werken in ecosystemen van partners, nieuwe data-gedreven bedrijfsmodellen, etc. Sommige onderzoeken hebben al aangetoond hoe een klein verschil in klantvertrouwen kan resulteren in 20 procent meer verkoop bij online retailers. Hetzelfde geldt voor andere sectoren. Vertrouwen opent deuren. Steeds meer organisaties begrijpen dit en passen dit toe in hun privacy en compliance business-strategieën. Het geheim van het succes is een business gedreven beveiligingsstrategie ontwikkelen. Dit gaat veel verder dan security. Het is een kwestie van vertrouwen en compliance.
Security by design
Ik geloof dat we op het keerpunt staan wat betreft beveiliging. Was het in de afgelopen decennia vaak het sluitstuk van de business-strategie, nu is het zaak om beveiliging vanaf het begin af aan te integreren. Oftewel ‘security by design’. Het lijkt duidelijk, maar toch werken veel organisaties nog op de traditionele manier. Zelfs in sommige beveiligingscertificaten is dit nog niet ingeburgerd.
Gouden regels
Ik zie security by design als de belangrijkste verschuiving op het gebied van beveiliging voor de komende jaren. Ook de CISO’s verwachten dit. Zij zouden de steun van de top van de organisatie moeten krijgen. De ontwikkeling vraagt om een nieuwe manier van werken. Voor onze klanten hebben we gouden regels opgesteld voor een business gedreven beveiligingsstrategie. Deze zijn terug te vinden in ons white paper ‘Ready for Anything’:
- Maak security het hart van je digitale transformatie
- Denk in ecosystemen
- Zet klantvertrouwen op de eerste plaats
Dit vraagt om een meer ‘holistische’ visie voor het vaststellen van beleid en strategie, governance-structuur, security management en een transparante en meetbare aanpak. Dit vereist expertise in business én technologie. Grenzen vervagen in een wereld waarin telecombedrijven moeten leren van banken, de publieke sector van retail, de maakindustrie van nutsbedrijven en omgekeerd. Alleen zo is security vanaf het begin te integreren en zijn toekomstige risico’s beter te voorspellen.