Grote kans dat er op dit moment hackers bezig zijn om jouw organisatie binnen te dringen. Ook kan je erop rekenen dat ze daarbij de weg van de minste weerstand zoeken. En dus op zoek zijn naar de zwakste schakel. Maar waar zit die bij jullie? In de mens, in de techniek of in de organisatie?
Als het gaat om cybersecurity wordt vaak gesteld dat deze drie factoren de belangrijkste pijlers zijn onder de cyberveiligheid van organisaties. Ik zou daar nog een vierde pijler aan willen toevoegen: de fysieke beveiliging. In dit artikel geef ik je handvatten om alle vier deze pijlers vorm te geven. Want het is altijd beter om op een rustig moment over cyberveiligheid na te denken dan wanneer het huis in brand staat
Organisatie
De pijler organisatie ziet voornamelijk op compliancy en beleid. Weet je bijvoorbeeld aan welke wetten en regels jouw organisatie moet voldoen? Hoe is geborgd dat jullie hier blijvend aan voldoen? Hebben jullie een informatieveiligheidsbeleid? Een in- en uitdienstprocedure? En voor als er onverhoopt toch iets misgaat: een disaster recovery plan?
Mens
Stel jezelf ook eens de vraag of jullie medewerkers voldoende op de hoogte zijn van het beleid en of het beleid ook regelmatig opnieuw onder de aandacht wordt gebracht. Zijn je collega’s zich bewust van de gevaren van bijvoorbeeld een phishing mail? En – nog belangrijker – gedragen zij zich daar ook naar?
Er zijn verschillende manieren om het gedrag van je collega’s te testen en daarnaast na te gaan of ze door de organisatie ook voldoende in staat worden gesteld om zich cyberveilig te gedragen. In een eerder artikel in ICT Magazine beschreef ik al eens wat daar (allemaal) voor nodig is.
Techniek
Als het gaat om cyberveiligheid is de techniek meestal de pijler die het meeste aandacht krijgt: denk onder meer aan firewalls, antivirussoftware, authenticatie- en autorisatieprocessen en tijdig patchen. Op dit gebied vertel ik je vast niets nieuws.
Fysieke beveiliging
En dan de -wat mij betreft – vierde pijler onder het bouwwerk cybersecurity: de fysieke beveiliging. Op deze plek schreef ik namelijk al eerder: cybersecurity is nergens zonder goede fysieke beveiliging. De meeste experts scharen de fysieke beveiliging onder de organisatiepijler, maar dat vind ik te beperkt. Want ook de pijlers mens en techniek krijgen te maken met fysieke beveiliging. Houden jouw collega’s bijvoorbeeld een deur open voor een vreemde, of geven zij een (vervangende) pas af zonder de identiteit van de aanvrager te controleren? En hoe makkelijk is het om bij jullie binnen te komen en via de WiFi op het netwerk te komen?
Ter afsluiting
Een hoog niveau van cyberveiligheid vraagt om verschillende beveiligingsmaatregelen die allemaal op een bepaald niveau moeten zitten en bovendien complementair aan elkaar zijn. Dit betekent dat alle vier de pilaren voldoende solide moeten zijn en in een continu doorlopend proces aandacht behoeven.
Dit artikel is geschreven door Mo Ballari, senior consultant Cybersecurity & Security Risk Management bij Hoffmann.
Lees ook:
- Hoe forensic ready is jouw organisatie?
- Informatiebeveiliging: blijf kwaadwillenden een stap voor met Red Teaming
