Effectief Beveiligen
Hoe effectief is uw beveiliging?
Op zich is dit een hele relevante vraag voor deze belangrijke kostenpost op de begroting van uw organisatie.
Waarom is beveiliging noodzakelijk en is het mogelijk om van deze nood een deugd te maken?
Effectief Beveiligen
Maar eerst wat is effectief beveiligen en waarom moet u dit willen?
Als we kijken naar traditioneel beveiligen dan bestaat dit uit een opeenstapeling van maatregelen. Bedoeld om risico’s te reduceren of te vermijden. En vervolgens een hele set aan schade beperkende maatregelen voor als het incident alsnog plaatsvindt.
Met deze maatregelen wordt beoogd dat het de tegenstander (waartegen we beveiligen) afschrikt!
Maar is dat ook zo?
Laat onze tegenstander zich afschrikken door deze maatregelen?
Helaas wordt bijna dagelijks bewezen dat dit niet zo is. Een tegenstander laat zich niet (meer) afschrikken door allerlei maatregelen (lees obstakels). Hij zoekt een weg om deze obstakels te vermijden of te omzeilen om vervolgens alsnog zijn doel te bereiken.
En wie is dan deze tegenstander?
Is dat de (cyber)crimineel die van buiten probeert binnen te dringen en vervolgens zijn slag slaat? Of zijn dit de medewerkers die van binnenuit informatie weglekken aan derden, frauderen of zichzelf dingen toe-eigenen onder het mom van secundaire arbeidsvoorwaarden?
Hoe effectief is traditioneel beveiligen? Schrikt het een tegenstander daadwerkelijk af?
Drie pijlers
Effectief beveiligen wordt bereikt door middel van drie belangrijke pijlers:
Integraal;
Proactief;
Borging.
Effectief betekent hier dat de beveiliging niet meer de lastige kostenpost op de begroting is, maar een investering in het succes van uw bedrijf en bijdraagt aan een beter bedrijfsresultaat!
Een investering die zich terugbetaald in een efficiënte bedrijfsvoering met minder derving!
Integrale aanpak
Effectief beveiligen start met een integrale aanpak. Integraal is nodig omdat een tegenstander zich niet beperkt tot verzuiling.
Volgens het bekende driepoorten model kunnen dreigingen zich via drie poorten manifesteren in een bedrijf.
Het spreekt voor zich dat als twee van de drie poorten door maatregelen beheersbaar zijn, onze tegenstander via de derde poort alsnog zijn doel zal bereiken. De effectiviteit van de investeringen om de twee poorten beheersbaar te krijgen zijn gereduceerd naar nul.
Alleen als alle drie de poorten beheerst zijn, kan effectiviteit als resultaat worden bereikt.
Proactief
Beveiliging is er per definitie op gericht om incidenten te voorkomen. Dit wordt beoogd door het treffen van preventieve maatregelen. Preventie is passief. Denk hierbij aan de vogelverschrikker op de akker.
Dus preventie alleen is niet voldoende!
We hebben te maken met een tegenstander die continue op zoek is naar nieuwe mogelijkheden en kwetsbaarheden. Dit betekent dat we vanuit beveiligingsoogpunt net zo actief moeten zijn als deze tegenstander om hem een stap voor te blijven.
Proactief beveiligen is het continue beoordelen of er op dit moment van personen, objecten of situaties een dreiging voor de organisatie bestaat. Deze dreiging wordt vastgesteld op basis van afwijkingen welke in relatie kunnen worden gebracht met de werkwijze van de tegenstander.
Dit is een vorm van alertheid wat van iedere professional binnen het bedrijf mag worden verwacht mits de randvoorwaarden voor proactieve beveiliging goed zijn ingevuld.
Borging
Effectief beveiligen is dynamisch en is meer dan compliance.
Onze tegenstander conformeert zich niet aan afspraken.
Dit betekent dat de borging van effectief beveiligen een continu proces is en bestaat uit:
Audits op gemaakte afspraken en regelgeving;
Het voortdurend oefenen en trainen van professionals;
Red Teaming uitvoeren op getroffen maatregelen en
Het creëren van awareness ten aanzien van actuele dreigingen die de organisatie bedreigen.
Is uw beveiliging een kostenpost of een succes bepalende factor binnen uw onderneming?
Jan van Twillert CPP CSP
