Cybersecurity: Techniek en governance steeds meer een geheel
Cybersecurity: Techniek en governance steeds meer een geheel
In cybersecurity kunnen we het informatiebeveiligingsbeleid en techniek al lang niet meer als afzonderlijke entiteiten beschouwen, als dat al zo was. Binnen normenkaders en raamwerken vormen processen, procedures en technische maatregelen een logisch geheel en lijken de grenzen te vervagen.
Door steeds meer geautomatiseerde tooling, clouddiensten en de toepassing van AI raakt dit proces in een stroomversnelling. Niet alleen preventieve en technische detectie maatregelen zijn al grotendeels geautomatiseerd, maar ook assessments en audits van raamwerken en elementen uit de Plan Do Check Act-cyclus zijn hieraan onderhevig. Wat betekent dit voor de cybersecurity van organisaties?
Traditioneel wordt dat vaak gezien als een losstaand technisch gedeelte, waarbij specialisten, zoals ethical hackers, pentesten, vulnerability scanning of red teaming uitvoeren. Het governance-gedeelte was altijd meer het domein van specialisten op het gebied van risico, beleid & proces audit; specialisten die met hun kennis van raamwerken toetsen op de opzet, bestaan en werking van maatregelen. Beide elementen vereisen nog steeds specifieke aandacht van de juiste specialisten, maar vormen ook een onlosmakelijk geheel. Cybersecuritymaatregelen worden ook steeds meer technisch van aard.
Op die manier kan de governance voor organisaties in de toekomst makkelijker worden, omdat het systeem vanzelf herkent welke informatie aan wie toebehoort. “Het is dan nog wel belangrijk om een soort ‘sanity check’ daarop loslaten of het allemaal nog wel klopt en toegestaan is”, benadrukt Van Vianen. “Maar wat voorop staat, is de boodschap dat het stoffige governance-aspect en het ‘hippere’ technische stuk geen gescheiden wereld zijn, maar steeds meer samenkomen. Het is voor organisaties zelf alleen niet mogelijk om alle ontwikkelingen bij te houden, laat staan om daar zelfstandig op in te spelen en alle mogelijkheden effectief in te zetten. BDO heeft alle specialisten in huis om bij die ontdekkingstocht als gids te fungeren.”
Lees meer
Door steeds meer geautomatiseerde tooling, clouddiensten en de toepassing van AI raakt dit proces in een stroomversnelling. Niet alleen preventieve en technische detectie maatregelen zijn al grotendeels geautomatiseerd, maar ook assessments en audits van raamwerken en elementen uit de Plan Do Check Act-cyclus zijn hieraan onderhevig. Wat betekent dit voor de cybersecurity van organisaties?
Cybersecuritymaatregelen steeds meer technisch van aard
“Bij de implementatie van raamwerken, zowel in het kader van risico als compliance, kijken we naar de volledige as van mens, techniek, organisatie en fysieke elementen”, vertelt Robert van Vianen, Partner BDO Advisory. “Daarbij is het belangrijk om niet alleen de kwetsbaarheden in beleid, processen en scope te ontdekken, maar ook in systemen en applicaties.”Traditioneel wordt dat vaak gezien als een losstaand technisch gedeelte, waarbij specialisten, zoals ethical hackers, pentesten, vulnerability scanning of red teaming uitvoeren. Het governance-gedeelte was altijd meer het domein van specialisten op het gebied van risico, beleid & proces audit; specialisten die met hun kennis van raamwerken toetsen op de opzet, bestaan en werking van maatregelen. Beide elementen vereisen nog steeds specifieke aandacht van de juiste specialisten, maar vormen ook een onlosmakelijk geheel. Cybersecuritymaatregelen worden ook steeds meer technisch van aard.
Techniek en governance bij elkaar brengen
Het is volgens Van Vianen noodzakelijk die twee onderdelen bij elkaar te brengen. “Het is niet meer óf dit óf dat. Nee, het is techniek én governance. Dat is één geheel. Met andere woorden, als wij nu compliance-opdrachten uitvoeren in het kader van een ISO of een NEN, zit daar sowieso ook altijd een technisch component bij. En dat is essentieel, want dat zorgt voor een compleet overzicht van mogelijke kwetsbaardheden, binnen en buiten het systeem, want de mens kan ook een risicofactor zijn. Op die manier ontstaat een helder inzicht van de huidige status en kun je veel gerichter de beheersmaatregelen implementeren. “Op alle gebieden van mens, techniek, organisatie en zelfs fysiek zijn technische maatregelen te implementeren. Denk niet alleen aan bijvoorbeeld phishing-testen en (UEBA) User and entity Behavior Analytics, maar ook aan ingeplande trainingen voor werknemers, geautomatiseerde processen (door bijvoorbeeld RPA), geautomatiseerde penetratietesten, attack surface assessments en systemen die de fysieke omgeving in de gaten houden. Dat geheel van maatregelen kunnen organisatie ook in systemen bijhouden, zodat het cyberbeveiligingsbeleid en de status ten opzichte van bijvoorbeeld ISO 27001 of CIS-raamwerk continu wordt gemonitord; denk bijvoorbeeld aan Microsoft Purview of geautomatiseerde GRC-systemen.”Werelden komen samen
Ergo, ook compliance wordt steeds meer een technisch verhaal, met alle tools van dien om te voldoen aan het vereiste niveau van cybersecurity. Van Vianen: “Het idee dat dit bestaat uit een losstaand en onafhankelijk menselijk adviesstuk, aangevuld met wat technische beveiligingsmaatregelen en testen is achterhaald. Buiten dat de techniek zelf steeds meer beveiligingsmaatregelen biedt, komt nu ook AI om de hoek kijken. “In deze context hoeft de mens bijvoorbeeld zelf geen labels meer te hangen aan documenten, e-mails of andere vormen van communicatie. AI ontdekt voor ons vanzelf uit welke elementen bepaalde documentatie bestaat en stelt dan zelf de mate van vertrouwelijkheid vast.”Op die manier kan de governance voor organisaties in de toekomst makkelijker worden, omdat het systeem vanzelf herkent welke informatie aan wie toebehoort. “Het is dan nog wel belangrijk om een soort ‘sanity check’ daarop loslaten of het allemaal nog wel klopt en toegestaan is”, benadrukt Van Vianen. “Maar wat voorop staat, is de boodschap dat het stoffige governance-aspect en het ‘hippere’ technische stuk geen gescheiden wereld zijn, maar steeds meer samenkomen. Het is voor organisaties zelf alleen niet mogelijk om alle ontwikkelingen bij te houden, laat staan om daar zelfstandig op in te spelen en alle mogelijkheden effectief in te zetten. BDO heeft alle specialisten in huis om bij die ontdekkingstocht als gids te fungeren.”
Lees meer