Wat hebben OT, Cloud, Data, Endpoint, Netwerk, en Applicatie security gemeen?
Expertblogs
In je werk als cybersecurity professional werk je vaak met complexe technologieën met unieke eigenschappen en uitdagingen. Dat maakt ons werk bijzonder en daarom behandelen we dergelijk onderwerpen vaak ook als op zichzelf staande onderwerpen. Dat is jammer, want het verbeteren van de cyberweerbaarheid van een organisatie bouw je op een universeel fundament dat we het risicomanagementdomein noemen. Door in dat domein eerst de juiste vragen te stellen, richt je jouw weerbaarheidsinspanningen op de plekken waar ze het meest effectief zijn.
Begin met stellen van de juiste vragen
Of het nu gaat om botnetbesmettingen, risico’s bij het gebruik van producten uit landen met een offensief cyberprogramma of een discussie over commercieel Cloud-gebruik…. negen van de tien keer merk ik in adviesgesprekken of discussies met vakcollega’s dat de essentie uiteindelijk neer komt op vragen zoals:
- Wat hebben we hier nu eigenlijk te beschermen? Welke “kroonjuwelen” raakt dit?
- Wat is de concrete dreiging hier? Of gaat het slechts om een theoretische dreiging?
- Wat zijn nu eigenlijk de meest voorstelbare risicoscenario’s als we kijken naar de huidige digitale weerbaarheid?
Andere vragen die vaak op tafel komen zijn:
- Hoe werkt dit eigenlijk vanuit ketenperspectief?
- Hoe zit het met risico’s bij toeleveranciers of zelfs de toeleveranciers van toeleveranciers?
Oké nog eentje dan:
- Wie is eindverantwoordelijk en kan besluiten nemen?
- En wie worden er geraakt als het fout gaat en risico’s realiteit worden?
Dit soort vragen gaan over het risicomanagementdomein en liggen op een hoger niveau dan de techniek, maar zijn essentieel voor een goede cyberweerbaarheid.
Risicomanagement > security architectuur > individuele maatregelen.
De keuzes die worden gemaakt in het risicomanagementdomein zijn het fundament onder het huis van cyberweerbaarheid (een security architectuur). Het huis bestaat dan vervolgens weer uit allemaal losse bouwstenen (en vaak wél unieke technische maatregelen).
Publicaties
Recent heeft het NCSC een aantal adviespublicaties gemaakt over risicomanagement. Deze publicaties bieden overzicht en geven inzicht om met risicomanagement aan de slag te gaan.
In het kader van NIS2 hebben we concrete stappenplannen gemaakt om doelgroepen op weg te helpen. Lost van de techniek zijn al deze publicaties te gebruiken om uit de startblokken te komen en als organisatie op een effectieve manier te werken aan de digitale weerbaarheid.
Daarnaast hebben we een risicomanagement routekaart ontwikkeld die inzicht geeft in het brede werkveld. Deze helpt cyberprofessionals en volwassen doelgroepen navigeren in het risicomanagementdomein en helpt bij discussies op het niveau van risicomanagement.
Als laatste hebben we een samen met partners 5 basisprincipes ontwikkeld. Nee, geen concrete technische maatregelen maar algemene beveiligingsprincipes om te volgen en om je organisatie mee in te richten.
Tenslotte. Wie op het niveau van de techniek een organisatie cyberveiliger wil maken, roep ik op om eerst de juiste vragen te stellen. Door de vraagstukken die op tafel liggen vanuit risicomanagementperspectief te beoordelen en in perspectief te plaatsen, bouw je een stevig fundament. Dan dragen de technische oplossingen pas echt optimaal bij aan een cyberweerbare organisatie!
Meer weblogberichten
Reactie toevoegen
U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.
Reacties
Er zijn nu geen reacties gepubliceerd.