Van security naar resilience: omgaan met steeds veranderende cyberrisico’s
Kate El-Bouhmi, Cyber security consultant | Cuccibu
De aandacht voor de cyber security in organisaties vertaalt zich steeds meer in awareness van de noodzaak om ook digitaal veerkrachtig te zijn. Kate El-Bouhmi van Cuccibu vertelt over de actuele ontwikkelingen en de need to knows voor privacy professionals.
De cyber security van digitale producten zoals computers, smartphones, virtuele assistenten en andere slimme apparaten is een continu aandachtspunt voor organisaties die er gebruik van maken. Tegelijkertijd is het voor consumenten lastig om te beoordelen of de beveiliging van voldoende niveau is. Met de Cyber Resilience Act wil de Europese Commissie deze twee issues oplossen. Het voorstel voor de verordening stelt eisen aan de beveiliging van de hardware en software van digitale producten – gedurende de gehele levenscyclus.
Cyber security versus cyber resilience
“Er is een groot verschil tussen cyber security, dat draait om het tegengaan en oplossen van risico’s en dreigingen, en cyber resilience, dat zich richt op de continuïteit van de activiteiten van de organisatie. Om een organisatie echt veilig te houden, is een combinatie van beide perspectieven nodig”, vertelt Kate El-Bouhmi, Cyber Security Consultant bij Cuccibu en een van de sprekers tijdens het Dataprotectie & Privacy Congres van Outvie.
Cuccibu is een adviesbureau met een specialisatie in IT-audits, IT-risicomanagement, privacy en cyber security. Tijdens de COVID-19-pandemie merkten El-Bouhmi en haar collega’s het grote belang van cyber resilience. “Organisaties waren massaal gedwongen om medewerkers online te laten werken. Daarmee ontstonden grote uitdagingen en risico’s. Organisaties die niet alleen werkten aan de security van data, maar ook aan de weerbaarheid van processen en systemen, waren beter in staat om in te spelen de steeds veranderende omstandigheden.”
Security hubs als trend in cyber resilience
“Audits zijn niet meer voldoende: je moet ook kijken naar indicaties van de resilience van de organisatie”, benadrukt El-Bouhmi. “Omdat systemen en processen steeds meer onderling zijn verbonden, kan een cyberaanval een enorme impact hebben. Op de medewerkers en klanten van een organisatie, maar ook op leveranciers en partners. Daarmee kan één incident een reeks aan economische en sociale activiteiten ontwrichten – en daarmee een enorme maatschappelijke schade veroorzaken.”
Cuccibu ziet de opmars van security hubs, zoals de Computer Security Incident Response Teams die het Nationaal Cyber Security Centrum in Nederland stimuleert, als een belangrijke trend in cyber resilience. “Door de nauwe samenwerking tussen verschillende ketenpartners verbetert de weerbaarheid tegen cybercrime. Maar elke organisatie afzonderlijk heeft ook een sterke verdedigingslinie nodig. Dat begint met een business impact analysis. Wat gebeurt er precies met de organisatie als er activiteiten worden geraakt door een digitale aanval? Door risico’s en kwetsbaarheden te analyseren, kan je vervolgens een herstelplan ontwikkelen. Welke procedures en standaards zijn er nodig om de organisatie-activiteiten na een incident toch voort te zetten?”
Awareness op twee niveaus
Awareness is volgens El-Bouhmi een essentieel onderdeel van initiatieven om cyber resilience te versterken. “Beleid, standaards en audits zijn doorgaans gericht op het voorkomen van incidenten. Het is misschien moeilijk voorstelbaar dat je te maken krijgt met een hack, een terroristische aanval of een uitval van de energievoorziening. Maar er zijn allerlei soorten cybercrime en het is belangrijk om je bewust te zijn van de kwetsbaarheden van de organisatie.”
El-Bouhmi onderscheidt twee soorten awareness om als organisatie aan te werken. “Allereerst is er algemene awareness over risico’s op het gebied van security en privacy. Het gaat daarbij bijvoorbeeld om het veilige gebruik van smartphones en laptops. Daarnaast zijn er specifieke campagnes en trainingen mogelijk om medewerkers te informeren over de actuele risico’s, zoals phishing mails.”
Nieuwe wettelijke eisen
Op 7 oktober spreekt El-Bouhmi samen met Haykush Hakobyan, Privacy and Legal Partner van Cuccibu, tijdens een break-outsessie van het Dataprotectie & Privacy Congres. De cyberexperts delen actuele inzichten en adviezen waarmee professionals praktisch toepasbare kennis over cyber resilience opdoen. “We zien dat er steeds meer oplichting plaatsvindt via voice apps. Ook CEO-fraude is nog altijd een veelgebruikte tactiek van cybercriminelen. Het is daarom belangrijk dat medewerkers in alle niveaus van de organisatie de risico’s van cybercrime begrijpen. Met interne campagnes over phishingmethoden vergroot je het bewustzijn van de problematiek en versterk je het handelingsperspectief. Door regelmatig campagnes uit te voeren – en de resultaten steeds te monitoren – krijg je ook zicht op de groei die de organisatie doormaakt. De voortgang is belangrijke input voor security en privacy audits, maar ook voor rapportage aan bestuurders en directies.”
De Cyber Resilience Act is in september 2021 door Ursula von der Leyen gepresenteerd, en bouwt voort op de Cyber security Act van de Europese Unie. De verordening legt de nadruk op cyber security by design voor digitale producten die tot nu toe nog buiten de scope van Europese wet- en regelgeving vielen, zoals apparaten die via het Internet of Things zijn verbonden.
De toekomstige regulering is niet alleen belangrijk voor fabrikanten en leveranciers van digitale producten, benadrukt l-Bouhmi. “Ook voor gebruikers van sensoren, camera’s en microfoons gelden straks nieuwe eisen, bijvoorbeeld als het gaat om procedures voor een verantwoorde dataverwerking. Er ligt daarbij een grote focus op disaster recovery plans. Want daar draait cyber resilience uiteindelijk om: snel en adequaat reageren op een incident, zodat de negatieve gevolgen minimaal zijn.”
Tijdens het Dataprotectie & Privacy Congres op 6 en 7 oktober in Amsterdam krijgt u actuele inzichten en praktische adviezen over belangrijke juridische, technische en organisatorische issues. Kijk voor meer informatie, het volledige programma en tickets op de website van Outvie.
Dataprotectie & Privacy
Tijdens de 12e editie van dit actualiteitencongres hoort u visies, aanpak en best practices...
Certified Data Protection Officer®
Deze opleiding is speciaal voor de gevorderde Data Protection Officer ontwikkeld. Met de titel...
Download de brochure Dataprotectie & Privacy Congres
Share
