Column


Column Patric Versteeg

Beveiligen met de voordeur open

Deze week schrijf ik mijn column vanaf een comfortabele bank, in een appartement vlakbij The O2 Arena in Londen. De CSX 2016 Europe van ISACA heeft mij als spreker hierheen gebracht en ik heb met volle teugen genoten van alles wat de conferentie mij te bieden had.

De keynotesessies waren inspirerend en de break-outsessies meer dan informatief. Allemaal met focus op cybersecurity en de dreigingen van een interconnected wereld. Uitstekend passend bij datgene wat inmiddels door elke securityspecialist wordt geroepen, door elke techjournalist wordt verslagen en waar zelfs onze eigen regering een speciale strategie voor heeft geschreven (inclusief periodieke updates!).

Beperkte focus
Uiteraard zal ik niet schrijven dat de focus op cybersecurity niet belangrijk is of dat wij niet moeten zorgen voor passende maatregelen om ons tegen de dreigingen van cyberspace te beschermen, maar op dit moment lijkt het wel of dat het enige is wat telt. Dat daar de eerste en enige focus moet liggen. En volgens mij is dat niet juist.

De ISO 27032, waarover ik een presentatie heb gegeven op de conferentie, stelt dat cybersecurity een integraal onderdeel is van informatiebeveiliging. Zonder informatiebeveiliging dus ook geen cybersecurity. En zo voelt het voor mij ook. We zijn druk bezig om alle zolderraampjes dicht te doen met DDoS-bescherming, implementaties van Web Application Firewalls, Next-Generation Firewalls, SIEM, et cetera. Ondertussen vergeten we dat de voordeur vaak nog openstaat door een gebrek aan aandacht voor zaken als awareness van de gebruiker en management, cleandesk-policy’s en wachtwoordgebruik.

Stapje terug
Als binnen jouw organisatie cybersecurity een synoniem is voor informatiebeveiliging, ga dan vooral door en laat je niet stoppen door mijn gedachten of opmerkingen. Maar als cybersecurity bij jouw organisatie de aandacht en focus heeft, maar alleen technisch gericht is, gericht op de dreigingen die cyberspace met zich meebrengt, wil ik je vragen om even een stapje terug te doen. Een stapje terug, om even te kijken of je met jouw cybersecurityprogramma wel de juiste dingen op het juiste moment aan het doen bent.

Voor mij gaan cybersecurity en informatiebeveiliging hand in hand. Cybersecurity is niet mogelijk zonder informatiebeveiliging en informatiebeveiliging is niet compleet zonder cybersecurity. Ondertussen probeer ik de informatie die ik heb opgedaan tijdens een sessie over het detecteren van covert channels (stiekem blijf ik een toch techie) een plekje te geven in mijn informatiebeveiligingsplan. Cheers!


Lees meer over