We betalen massaal voor security die we niet gebruiken

Door het continu veranderende dreigingslandschap worden security vraagstukken alsmaar complexer. Bovendien wordt de impact van incidenten steeds groter, simpelweg doordat 80% van de bedrijfsprocessen sterk met elkaar verweven zijn. Het is daarom opvallend dat we veel security functionaliteit die we op de plank hebben liggen niet of nauwelijks gebruiken.

Cyber security staat hoog op de agenda en er worden grote investeringen gedaan in de IT-infrastructuur. Een goede trend, maar waar voor hetzelfde budget nog veel winst te behalen valt. Veel beveiligingsfunctionaliteit (waarvoor al betaald is) blijft namelijk ongebruikt, vaak door onwetendheid. Peter Straver, Transformation Lead bij YaWorks, komt dit regelmatig tegen. “Door de aanwezige beveiligingsfunctionaliteit goed te inventariseren en te activeren, is al ontzettend veel winst te behalen zonder een cent meer uit te geven”.

Geen enkel bedrijf laat bewust waarde liggen. Het probleem is dat er vaak onvoldoende tijd en kennis is om dit in detail uit te zoeken. Peter: “Een goed voorbeeld is Microsoft365: veel licenties beschikken over tal van beveiligingsonderdelen. Om hier maximaal van te profiteren zou je alles in kunnen schakelen. Maar, niet ieder bedrijfsonderdeel hoeft maximaal beveiligd te zijn. Bovendien levert dit een overvloed aan meldingen op die niet te verwerken zijn voor de organisatie en ligt overlap met andere securitymaatregelen op de loer - met dubbele meldingen tot gevolg.”

Balans vinden in security-ecosysteem
Het is dus zaak een gebalanceerd ecosysteem te maken met een combinatie van ingebouwde en specifieke beveiliging functionaliteiten. Peter: "Het is altijd een afweging tussen de benodigde beveiliging en de mate waarin risico's acceptabel zijn om het gebruiksgemak te dienen. Hoe maak je daarin de juiste keuzes?” Begin bij een aanpak die is afgestemd op de risicohouding van de organisatie. Dit is sterk afhankelijk van de bedrijfsactiviteiten, de kenmerken waarop informatie wordt verwerkt en ontsloten, en uiteraard het beschikbare budget. Dit komt samen in een modern beveiligingsraamwerk: een krachtig middel om oplossingen te integreren op basis van een samenspel tussen budget, het benodigde beveiligingsniveau, de verandercapaciteit van de organisatie en de impact op de gebruikerservaring.

Planmatige aanpak
Het beveiligen van je IT-landschap, mét efficiënte inzet van alle aanwezige beveiligingsfunctionaliteit als geïntegreerd geheel, vraagt om een plan. Daarbij zijn organisaties continu in beweging, dus is de implementatie van passende beveiliging een continu en iteratief proces. Het is een stappenplan dat meegroeit met de ontwikkeling van de organisatie, waarbij de roadmap zorgt voor de juiste prioritering en richting.

Zo’n roadmap belicht niet alleen de technisch inhoudelijk kant van de zaak, maar heeft ook oog voor de context van de organisatie en de mensen in de organisatie. Peter: “Denk bij organisatie context bijvoorbeeld aan geopolitieke instabiliteit of aan veranderingen in wet- en regelgeving, zoals DORA of NIS2. Daarnaast is de bewustwording van medewerkers en het creëren van draagvlak voor veranderingen minstens zo bepalend voor de haalbaarheid van iedere beveiliging roadmap".

Transitie naar passend beveiligingsmodel
Bij de stap naar een passend beveiligingsmodel is een onafhankelijke blik van buitenaf een waardevolle aanvulling. Naast een alternatief perspectief op de IT-organisatie, brengt dit ook veel leerpunten vanuit andere organisaties met zich mee. Met extra expertise en capaciteit in de organisatie kan je het beveiligingsraamwerk effectueren, en er gelijk voor zorgen dat alle beveiligingsfunctionaliteit (waar al voor betaald is) efficiënt wordt gebruikt.

“Het is sowieso raadzaam om regelmatig de staat van je IT-landschap door te lichten. De wereld om ons heen is continu in verandering, en de dreigingen veranderen snel – meestal buiten de eigen invloedsfeer. De inzet van effectieve en efficiënte beveiliging is daarom niet alleen een cruciaal- maar ook een continu proces” - aldus Peter.