Cybersecurity is nog nooit zo ‘hot’ geweest. Mede dankzij de GDPR staan beveiliging van informatie en persoonsgegevens weer serieus op de agenda van de directie. Ook droegen de nodige recente datalekken en virusaanvallen hun steentje bij aan deze security-revival. Inmiddels zijn security-maatregelen geen luxe meer maar bittere noodzaak.
Nu cybersecurity niet langer het ondergeschoven kindje meer is, staat ineens de rol van de CISO in de belangstelling. Daarbij gaat het niet alleen om de techniek, maar is er ook aandacht voor het gedrag van medewerkers. Wordt cybersecurity volwassen? Of bedriegt de schijn ons hier?
Schaap met zeven poten
In de februari-editie van ICT/Magazine besteedden we aandacht aan het Heliview Congres IT & Information Security van afgelopen 6 februari. Daar werd de CISO omschreven als ‘een schaap met zeven poten’. Dit is typerend voor de bijna ongrijpbare complexiteit van informatiebeveiliging. Het omvat niet alleen kennis van technische zaken, maar het vereist ook communicatieve skills en inzicht in het juridische kader.
Samen met security-expert Don Eijndhoven en TNO gedragsdeskundige Heather Young zoeken we naar de kern van informatiebeveiliging. Beter gezegd naar de juiste balans binnen dit kader tussen mens en techniek.
Meer datalekken dan ooit
Hoe is het eigenlijk gesteld met de beveiliging van data en privacy? Uit het Forrester-rapport met de vergelijkbare titel[1] blijkt onder meer dat megagrote datalekken in 2017 nieuwe hoogte-, of beter gezegd, dieptepunten bereikten. Denk alleen maar aan de 3 miljard accounts die door Yahoo werden gelekt. Volgens meldingen van security-professionals vormden externe aanvallen 60 procent van alle datalekken in Noord-Amerika en Europa in 2017.
Het aantal kwaadaardige interne incidenten stijgt. Van alle interne incidenten in 2016 was 35 procent kwaadaardig, in 2017 liep dat percentage op tot 46. Volgens Forrester betekent dit niet dat de medewerkers crimineler worden. Eerder misbruikten externe aanvallers de identificatie van medewerkers, om zich zo voor te doen als insiders met ‘legitieme’ toegang. De twee voornaamste datadoelen zijn persoonlijke en authenticatie-informatie.
Het is duidelijk: security-maatregelen zijn geen luxe meer maar bittere noodzaak.
