De wereld van cybersecurity is enorm in beweging. In die wetenschap zijn ook de raamwerken en assessments allesbehalve statisch. Dat betekent wel dat organisaties voortdurend alert moeten blijven op de ontwikkelingen. Heel goed dat u die 27001-certficiering heeft behaald en een strakke plan-do-check-act-cycle heeft opgezet, toch is het verhaal daarmee niet klaar.
“Het is een heel dynamisch speelveld, met elementen die voortdurend veranderen”, vertelt Kees Plas, Partner BDO Advisory Technology. “Kijk naar de 27002. Daar zijn significant andere maatregelen aan toegevoegd, dus moet je weer aan de slag, en aan die knoppen blijven draaien. Dat geldt voor alle raamwerken, die je eigenlijk continu in de gaten moet houden. En ook al verandert het raamwerk zelf niet, dreigingen veranderen wel, evenals het aanvalsoppervlak van de onderneming.”
Risico’s, raamwerken en wetgeving
Door een nieuw soort aanval van buitenaf kan een bepaalde control in het raamwerk veel gevoeliger worden. Daarom is het volgens Plas belangrijk constant op de hoogte te zijn van de ontwikkelingen. “Dat vraagt best veel tijd en aandacht, terwijl cybersecurity voor de meeste organisaties geen core business is. De oplossing daarvoor is met een externe partij sparren over de ontwikkelingen die op ze afkomen. Denk aan veranderende raamwerken en nieuwe technologieën, nieuwe (nationale en internationale) wet- en regelgeving, en aangepaste richtlijnen vanuit DNB, AFM en de verschillende branches.”
Impact op organisatie
Ook de risico’s op het gebied van cybersecurity veranderen continu. Plas: “Er zijn steeds weer nieuwe hacks en kwetsbaarheden, waaruit datalekken kunnen ontstaan die wij tot gisteren niet voor mogelijk hadden gehouden. Die razendsnelle, aanhoudende ontwikkelingen hebben ook organisatorisch grote impact. Dit betekent taken en verantwoordelijkheden op het gebied van cybersecurity goed beleggen. Tegelijkertijd beschikken organisaties intern niet over de capaciteit en expertise om de ingerichte controls 24/7 te monitoren en waar nodig up-to-date te houden. Daarom schakelen organisaties die dit thema serieus nemen een externe partij in, zodat ze wakker blijven. Zoals wij bijvoorbeeld doen met onze monitoring en vulnerability scanning.”
Kwetsbaarheden opsporen
Deze tool maakt het mogelijk kwetsbaarheden op te sporen in het beveiligingsnetwerk van een organisatie, ook als onderdeel binnen penetratietesten. “Pen-testen gaan altijd iets verder, dan onderzoeken we de gevolgen van die kwetsbaarheden. Vulnerability scanning stopt bij de constatering dat er sprake is van een kwetsbaarheid. Een keer per jaar is niet genoeg, de verstandige aanpak is om minimaal elk kwartaal zo’n kwetsbaarhedenscan te doen, maar bij voorkeur continue. Vergeet ook niet dat de IT-omgeving van organisaties, vaak onbewust, voortdurend verandert. Bij elkaar hebben organisaties dus te maken met een driehoek van elementen, dat voortdurend rondspint en van hoedanigheid verandert. Daar moet je wel bovenop blijven zitten.”
Kees Plas benadrukt het belang om cybersecurity in te richten als een proces en niet alleen af en toe wat aandacht geven. “Dan is het allemaal veel makkelijk bij te houden en aan te passen. Onderschat daarbij niet de dynamiek van raamwerken, let op nieuwe risico’s en wees je ervan bewust dat de eigen omgeving aan voortdurende verandering onderhevig is. Die aandachtspunten vormen de basis om de inrichting van cybersecurity in uw organisatie op orde te houden.”
5 redenen om uw cybersecurity door een expert te laten uitvoeren
- Externe expertblik met branche-ervaring
- Onafhankelijke spiegel
- Zeer specialistisch
- Niveau 24/7 op orde houden
- Efficiënt en effectief
Meer informatie
Weten hoe cyberproof de security van uw systemen is?
Op donderdag 13 oktober heeft BDO het webinar ‘Cybersecurity in het MKB en Familiebedrijf’ georganiseerd. In dit webinar wordt ingegaan op wat u kunt doen om de effecten van een cyber aanval zo klein mogelijk te maken. Daarnaast komt er een bedrijf aan het woord dat zelf gehackt is.
Terugkijken webinar