Cybersecurity is een ruim begrip. Waar de term voorheen met name doelde op de veiligheid van een publiek toegankelijke website, is het inmiddels uitgegroeid tot een overkoepelend begrip op het gebied van veilige ICT. Aan bedrijven de taak om, naast het beschermen van de eigen belangen door middel van goede cybersecurity, te zorgen dat wordt voldaan aan alle wet- en regelgeving. Dat lijkt een hele opgave, maar wordt een stuk werkbaarder door de juiste vraag te stellen, aldus Eric IJpelaar (manager Traxion Services en Traxion Security) en Johan van Middelkoop (senior consultant) van Traxion.
Welke vraag moet gesteld worden?
IJpelaar: “Als het gaat om cybersecurity zou elk bedrijf zich moeten afvragen: ‘Welke cyber-gerelateerde risico’s loop ik als bedrijf, die een bedreiging vormen voor het behalen van mijn bedrijfsdoelstellingen?’ Een waterleidingbedrijf heeft andere risicoprioriteiten dan een luchthaven, maar ze willen beide de bedrijfsdoelstellingen halen.”
Van Middelkoop: “Die vraag stelt bedrijven in staat om te investeren daar waar het nodig is en verder te denken dan de traditionele IT-beveiliging van netwerken, websites en data. Cyberrisico’s hebben binnen bedrijven steeds vaker directe gevolgen voor de fysieke wereld. Dankzij het Internet of Things (IOT) zijn steeds meer apparaten op het internet aangesloten, die kunnen vervolgens misbruikt worden voor fysieke aanvallen. Dat geldt ook voor consumentenproducten.”
Wie is verantwoordelijk voor welke beveiliging?
Van Middelkoop: “Daar zijn grote discussies over gaande. Bedrijven zijn verantwoordelijk voor de cybersecurity binnen de eigen bedrijfsvoering, maar hoe zit het met de producten die ze leveren? Bij recente grote DDoS-aanvallen is gebruikgemaakt van de internetcapaciteiten van onder andere waterkokers om websites te overbelasten. Wie moet dat soort apparaten beveiligen?”
IJpelaar: “Producenten zeggen tot nu toe onder druk van de time to market: ‘Wij niet.’ Dat betekent dat producten standaard slecht beveiligd zijn en misbruikt kunnen worden. De consument kan zo’n waterkoker namelijk niet beveiligen. Er is behoefte aan een keuringsinstantie die minimale eisen stelt omtrent IOT en zo goede beveiliging stimuleert.”
Wat eist de Algemene Verordening Gegevensbescherming (AVG/GDPR) van bedrijven?
IJpelaar: “De AVG verplicht bedrijven de persoonsgegevens goed te beveiligen. Dat gaat onder andere over toegangscontrole. Op basis van de AVG moeten bedrijven inzicht hebben in alle persoonsgegevens die worden verwerkt en opgeslagen. Dat gaat zowel om grote datasets met klik- en bestelgedrag als een Excelbestand met namen en adressen. Een organisatie moet inzicht hebben in de opslag van persoonsgegevens, omdat bij een beveiligingslek aangetoond moet worden dat er geen toegang verkregen is.”
Wat kunnen jullie betekenen op dat gebied?
Van Middelkoop: “Onze visie is dat cybersecurity weer terug moet naar de eenvoud. Te vaak is de raad van bestuur het vertrouwen in de IT-afdeling kwijt, omdat ze voor hun gevoel te weinig grip hebben op veiligheidsincidenten zoals datalekken en het voorkomen ervan.”
IJpelaar: “Wij maken informatiebeveiliging weer begrijpelijk door een simpel denkmodel te gebruiken met een focus op toegang tot data. Het begint allemaal bij een goede toegangscontrole en versleuteling van de data in rust, in transport en in gebruik. Daarbij maakt het niet uit of je een apparaat beveiligt waarmee een sluisdeur bediend wordt of persoonsgegevens in een klantenbestand. Traxion biedt onafhankelijke diensten in security- en privacy consultancy, identity en access management, priviliged access management, public key infrastructure, penetration testing en awareness. Door de juiste beveiligingsprioriteiten te stellen en in te voeren kunnen voorgenomen bedrijfsdoelstellingen worden gerealiseerd.”
Meer informatie |
---|
Traxion www.traxion.com 0418-653883 |