Senior management hoort toch wel veel verontrustende berichten in de media op het gebied van cybersecurity incidenten en de hoge risico’s m.b.t. uitval of disruptie van de bedrijfsvoering en besluit daarom een cybersecurity taskforce op te zetten om de digitale veiligheid en weerbaarheid van de onderneming te verhogen en te vergroten.
Gesegmenteerd ICT-netwerk, (sterke) toegangsbeveiliging, autorisatieconcept, anti-virus, data versleuteling, back-up en restore voorziening en een noodplan geïmplementeerd; Informatiebeveiliging ingericht en taskforce opgedoekt…!
Het aangename van bovenstaand scenario is dat er in ieder geval aandacht is bij het management voor cybersecurity en de risico’s. De aanpak daarentegen heeft veel weg van de quick & dirty methode en zal op korte termijn vast wel wat brandjes blussen, maar op de lange termijn is dit model niet houdbaar.
Informatiebeveiliging is een onderwerp wat constant actieve aandacht vergt. Het is geen project met een concreet start moment, deliverables en einddatum. Het is een continu proces waarbij er een securitystructuur, dedicated skilled personeel, securitymaatregelen en tijd vereist is om ervoor te zorgen dat de risico’s verlaagd worden tot een acceptabel niveau en de digitale weerbaarheid/veiligheid verhoogd wordt. Wel kan het zo zijn dat er binnen het informatiebeveiligingsproces diverse projecten opgestart worden die het algehele proces ondersteunen, denk hierbij bijvoorbeeld aan het implementeren van specifieke software of beveiligingsmaatregelen.
Een mogelijk startmoment voor het aftrappen van een continu informatiebeveiligingsproces kan zijn ná een ernstig security incident met grote (financiële) impact of doordat er specifieke wet- en regelgeving van toepassing is of wordt.
Het is verstandig altijd te beginnen met een risicoanalyse om te bepalen waar je als onderneming staat op het gebied van informatiebeveiliging, hoe kwetsbaar je bent, welke reële dreigingen er zijn, waar verbeteringen doorgevoerd kunnen worden en welk niveau je ambieert v.w.b. informatiebeveiliging.
Op basis van deze verschillende variabelen kun je beginnen met het opzetten van de benodigde structuur en het continu proces gaan inrichten.
Datect weet ook dat niet elke onderneming een securitystructuur kan opzetten en dedicated personeel heeft. Enerzijds heeft dat o.a. te maken met het ontbreken van tijd en anderzijds met de benodigde kennis.
Wij kunnen je helpen bij het uitvoeren van een risicoanalyse en het inrichten van een continu informatiebeveiligingsproces om zo jouw onderneming sterker te maken in het digitale landschap en de risico’s te verlagen.
