Waarom informatiebeveiliging veel verder gaat dan technologie
Brenno de Winter, beveiligings- en privacy-expert
Bij informatiebeveiliging denken we al snel aan de vele ontwikkelingen rond Artifical Intelligence (AI) en cybercrime. Toch is security veel meer dan een technische opgave, zegt beveiligings- en privacy-expert Brenno de Winter. “Het belangrijkste is dat de basics in de organisatie op orde zijn, en dat je vanuit een strategie en plan aan je doelen werkt.”
Wie het nieuws volgt, ziet bijna dagelijks berichten over ransomware, datalekken en andere digitale dreigingen. Tegelijkertijd krijgen organisaties in toenemende mate te maken met juridische vereisten rond cybersecurity. Informatiebeveiliging is dan ook een hot topic voor elke organisatie.
“De komst van nieuwe wet- en regelgeving is een van de meest uitdagende ontwikkelingen voor informatiebeveiliging”, zegt Brenno de Winter, hoofddocent van de opleiding Informatiebeveiliging van Outvie. “Er komt veel op organisaties af. Denk alleen al aan de AI-verordening, de Cyber Resilience Act, de Network and Information Systems Directive (NIS2) en de Nederlandse Cyberbeveiligingswet. De onderliggende boodschap is steeds: security is een verantwoordelijkheid voor de bestuurders van organisaties.”
Informatiebeveiliging in de C-suite
“Nu wordt nogal eens gedacht: informatiebeveiliging is een taak voor de CISO, en die lost de problemen wel op. De wet- en regelgeving maakt duidelijk dat de bestuurder erover gaat. Bestuurders staan voor de opgave om te begrijpen wat security inhoudt en om sturing te geven aan de uitvoering van passende maatregelen”, licht De Winter toe. In bijvoorbeeld de Cyberbeveiligingswet, die naar verwachting medio 2025 in werking treedt, is vastgelegd dat bestuursleden op de hoogte zijn van de beveiligingsrisico’s van de organisatie en verantwoordelijkheid nemen voor de aanpak daarvan. Daarnaast geldt voor alle bestuurders de verplichting om de kennis en vaardigheden op het gebied van cyberveiligheid aantoonbaar op peil te brengen én te houden.
De ontwikkelingen in de wet- en regelgeving vereisen niet alleen de aandacht van de C-suite, maar roepen ook op operationeel niveau complexe vraagstukken op. De Winter: “Communicatie tussen verschillende teams wordt steeds belangrijker. Naarmate het bestuur meer de regie voert over informatiebeveiliging, neemt de vraag naar betrouwbare inzichten in de risico’s en aanpakken toe. Een ICT-afdeling kan niet zomaar zeggen: wij weten wat er speelt en we zorgen dat het goed komt. Je moet heel overtuigend kunnen uitleggen waarom je doet wat je doet, en helder maken wat je van het bestuur verwacht.”
Beveiliging is ROT
Informatiebeveiliging, dat draait om de vertrouwelijkheid, beschikbaarheid en integriteit van data, is essentieel voor de dagelijkse operatie van organisaties – en daarmee een sleutel tot succes. De valkuil is volgens De Winter dat security als een zuiver technisch vraagstuk wordt benaderd. “Informatiebeveiliging is lange tijd gezien als het feestje van techneuten. Natuurlijk is de technische kant van beveiliging belangrijk. Maar informatiebeveiliging gaat ook om de organisatie en de wet- en regelgeving. Ik zeg altijd: beveiliging is ROT, regelgeving, organisatie en techniek. Je hebt alle drie nodig.”
“Er is nu veel belangstelling voor onder meer Artifical Intelligence (AI) en ransomware”, voegt De Winter toe. “Technische trends en innovaties zijn zeker van invloed op informatiebeveiliging. Maar het belangrijkste is dat de basics in de organisatie op orde zijn, en dat je vanuit een strategie en plan aan je doelen werkt. Dan kan je veel beter omgaan met technologische veranderingen.”
Drie succesfactoren voor security
Een succesvolle informatiebeveiliging is gestoeld op een begrip van de technische, organisatorische en juridische aspecten van het vak, benadrukt De Winter. “Hoe zit de organisatie in elkaar? In hoeverre is er sprake van een cultuur die positief staat tegenover security? Wat is het belang van informatiebeveiliging voor de ambities en doelstellingen van de organisatie? Wat is de impact van wet- en regelgeving op deze kerntaak?”
De kennis van de verschillende aanvliegroutes voor informatiebeveiliging legt vervolgens de basis voor de samenwerking met interne stakeholders. “Vanuit de rollen, taken en verantwoordelijkheden van je positie focus je op de doelstellingen van de C-suite. Hoe helpt informatiebeveiliging om de organisatiedoelstellingen waar te maken? Wat is er nodig om de activiteiten daarvoor uit te voeren? Wat verwacht de boardroom precies, en wat is haalbaar? Als professional die zich bezighoudt met informatiebeveiliging verleen je immers in essentie een service.”
De Winter noemt validatie als een derde succesfactor. “De beeldvorming over informatiebeveiliging is vaak niet realistisch. Door te laten zien wat er daadwerkelijk werkt – en wat niet – breng je de risico’s, problemen en zorgen van de organisatie terug naar de juiste proporties. Daarnaast zorgen gevalideerde methoden voor lerend vermogen. Een oplossing die in het verleden voldoende was, geeft immers geen garanties voor de toekomst.”
Oefenen met worst case scenarios
In de zesdaagse opleiding Informatiebeveiliging delen Brenno de Winter en vier gastdocenten de actuele inzichten over security, onderbouwd vanuit de theorie en praktijk. Deelnemers gaan aan de slag met een informatiebeveiligingsplan, dat direct toepasbaar is in de eigen organisatie. “We nemen echt de tijd om stil te staan bij thema’s waarmee je in je dagelijkse werk misschien niet in aanraking komt. We bespreken aansprekende cases en praktijkvoorbeelden, en je leert de methodieken om snel risico’s te identificeren. De interactie met andere deelnemers is daarbij heel waardevol. Je krijgt de gelegenheid om experts en vakgenoten te spreken, en om ervaringen uit te wisselen met security professionals die actief zijn in verschillende sectoren.”
De Winter adviseert elke security professional om zelf te oefenen met worst case scenarios. “Organiseer eens een pentest, analyseer wat er gebeurt bij een datalek, en voer in een testomgeving een hack uit. Je leert dan om te denken vanuit de zwakheden van je systemen. Als je doorgrondt wat er misgaat en welke oplossingen er zijn, dan kan je trefzekerder optreden – en daarmee de weerbaarheid van je organisatie vergroten.”
De zesdaagse opleiding Informatiebeveiliging is speciaal ontwikkeld voor ICT-managers, security managers, IT-architecten, IT-auditors en beleidsmedewerkers die zich bezighouden met informatiebeveiliging. Kijk voor meer informatie over het programma en tickets op de website.
Dag van de Chief Data Officer (CDO)
Dag van de Chief Data Officer (CDO). Het nationale kennis- en netwerkevent voor de...
Informatiebeveiliging
In de opleiding Informatiebeveiliging leert u naast technische aspecten hoe u uw informatiebeleid aanscherpt, welke...
Download de brochure
Share
