Column


Michiel van den Bos, accountmanager bij Qualys:

‘Security-awareness begint bij inzicht’

Het creëren van security-awareness is een onderwerp dat op veel aandacht kan rekenen. “De vraag is echter wat er daadwerkelijk aan wordt gedaan”, stelt Michiel van den Bos, accountmanager bij Qualys. “Veel securityprofessionals worstelen om het onderwerp op de agenda te krijgen.” Hoe zorgen we ervoor dat het creëren van meer beveiligingsbewustzijn ook echt wordt opgepakt?

“Security-awareness houdt in dat organisaties zich bewust zijn van de positie die ze innemen en welke risico’s daarbij horen”, legt Van den Bos uit. “Maar dat is altijd al belangrijk geweest.” Er zijn echter enkele recente ontwikkelingen aan te wijzen die ervoor zorgen dat het onderwerp nog belangrijker wordt.

Als eerste ontwikkeling noemt de accountmanager van Qualys de digitalisering. “Het papieren kantoor is weg en daar is het digitale kantoor voor in de plaats gekomen. Dat betekent ook dat digitale middelen kritisch zijn geworden voor het bedrijfsproces en dat je er niet omheen kunt om die middelen te beschermen. Doe je dat niet, dan zijn de gevolgen mogelijk niet te overzien.”

“Maar ook Nederlandse en Europese regelgeving dwingt organisaties om bewust om te gaan met gevoelige gegevens en een beeld te hebben van het eigen risicoprofiel”, vervolgt Van den Bos. “Doe je dat niet, dan heeft dat onder de General Data Protection Regulation (GDPR) die vanaf 25 mei 2018 wordt toegepast een financiële weerslag in de vorm van een boete. Die financiële prikkel is blijkbaar nodig om een veilige omgang met gegevens af te dwingen. Money talks.”

Meters maken
Door de vergaande digitalisering en compliance met steeds strengere wet- en regelgeving is security volgens Van den Bos een onderwerp geworden dat tot op directieniveau moet worden bekeken. “En daar kunnen we echt nog meters maken. Bij securityprofessionals is de focus op security-awareness er wel. Buiten die groep is de gedachte toch vaak: ach, security, we geloven het wel. Terwijl iedere organisatie een keer wordt gehackt. Dat is een feit. Als je dan niet in security-awareness hebt geïnvesteerd en de signalen van een aanval niet oppikt, krijg je de rekening gepresenteerd.”

Volgens Van den Bos zijn een aantal zaken belangrijk om security-awareness te laten landen binnen de gehele organisatie:

1. Hanteer een top-downbenadering
“Wat je nu vaak ziet, is dat security-awareness vanuit de techniek naar boven komt worstelen. De board moet echter volledig achter een security-awarenessprogramma gaan staan en het de organisatie in pushen.” Bijvoorbeeld door uit te leggen waarom security belangrijk is en wat het beleid is van de organisatie. “Er moet sprake zijn van een top-downbenadering, niet bottom-up.”

2. Richt een security-awarenessprogramma op iedereen
“In security-awarenessprogramma’s ligt de focus vaak op de mensen ‘op de werkvloer’, die de security in gevaar brengen door op foute linkjes te klikken. Maar ook de mensen die de middelen om data te verwerken beschikbaar stellen, moeten op de hoogte zijn van de securityrisico’s. Security gaat iedereen binnen een organisatie aan.”

3. Zorg voor inzicht
“Security-awareness begint bij inzicht. Als je niet weet wat je hebt, wordt het heel lastig om security op een goede manier in te richten.”

Qualys Cloud Platform
“Qualys biedt dat inzicht”, stelt Van den Bos. “Met het Qualys Cloud Platform leveren we de tools die inzicht geven in hoe de vork precies in de steel zit. Dan gaat het bijvoorbeeld om tools om assets te inventariseren en om systemen te bevragen. Het resultaat is een overzicht waarin staat wat de kwetsbaarheden zijn en op welke punten je niet meer compliant bent. Met ‘Policy Compliance’ controleren we als het ware of de deur nog steeds dichtzit.”

“Ook hebben we tooling om inbraken snel in het vizier te krijgen”, vervolgt Van den Bos. “Zoals gezegd: iedere organisatie wordt een keer gehackt. De vraag is niet of, maar wanneer. De realiteit is echter dat een hack gemiddeld pas na een half jaar wordt opgemerkt, een lange periode waarin cybercriminelen ongestoord hun werk kunnen doen. Qualys biedt de tooling om die detectie te versnellen.”

GDPR-compliance
Daarnaast biedt het Qualys Cloud Platform ‘vragenlijsten’ om bijvoorbeeld de security bij toeleveranciers te toesten of om de eigen security awareness te meten. Ook helpt het Qualys Cloud Platform bij de compliance met de GDPR, oftewel de AVG in het Nederlands. Door in kaart te brengen welke IT-assets een organisatie heeft, is de eerste stap gezet om persoongegevens te lokaliseren. Uiteindelijk moet elke organisatie deze gegevens identificeren en classificeren om aan de GDPR-eisen te kunnen voldoen.

“De GDPR vereist dat je overzicht hebt over je data en systemen en hoe die beschermd zijn tegen cyberaanvallen”, besluit Van den Bos. “Dus ook hier geldt weer: het begint allemaal bij inzicht. En dat inzicht is de basis voor het creëren van security awareness.”


Tekst: Ferry Waterkamp

Dit artikel is eerder verschenen in Motivator Magazine, najaar 2017.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht