Hoe om te gaan met groeiende beveiligingsbedreigingen?

Hoe om te gaan met groeiende beveiligingsbedreigingen?

Als het gaat om de bescherming van bedrijfsdata, bevinden CIO’s en CSO’s zich in een interessante situatie: De complexiteit en invloed van cybercrime neemt toe, met de opkomst van BYOD en social media lijkt ‘consumerization of IT’ nu de norm te zijn en tegelijkertijd staan de budgetten voor IT overal onder druk. Het vergt een totale heroverweging van het IT-securitybeleid om in dit krachtenveld tot een afdoende bescherming van bedrijfsdata te kunnen garanderen.

Tim Dumas

Hieronder een aantal aandachtpunten die een CSO en CIO  helder voor ogen moeten hebben bij het formuleren van een nieuwe IT-securitystrategie.

- Werk als CIO en CSO nauw samen. CIO’s en CSO’s hebben altijd verschillende perspectieven en rollen gehad. CSO’s keken altijd strikt met de beveiligingsbril naar projecten terwijl CIO’s een breder, zakelijk georiënteerd perspectief hebben. IT-security kan echter niet op zichzelf staan en zal steeds meer onderdeel worden van een overall beveiligingsbeleid binnen een organisatie.

- Creëer draagvlak bij het management door IT-security als een strategisch middel te presenteren waarmee de productiviteit kan worden verhoogd. Het is voor CSO’s  en CIO’s  nooit makkelijk geweest aandacht te krijgen voor IT-security. Vaak werd en wordt het uitsluitend als kostenpost gezien. Om meer draagvlak te krijgen moeten CIO en CSO de risico’s en voordelen van ITsecurity  in voor het management begrijpelijke taal uiteenzetten. Vermijd termen als ‘dataprotection’ of ‘anti malware’ maar presenteer zakelijke en financiële argumneten. Laat zien dat IT-security kan bijdragen aan de productiviteit. Simpelweg omdat vertrouwen geschaad wordt, klanten afhaken en omzet terug loopt als er belangrijke data wordt gestolen.

- Kies voor een bottum up benadering. Als beveiligingsmaatregelen het gebruik van nieuwe technologieën beperkt, heeft dit vaak het tegenovergestelde effect. Mensen bedenken dan manieren om de beveiliging te omzeilen, met alle risico’s van dien er is immers geen zicht meer op het handelen van die eindgebruikers. CIO’s en CSO’s kunnen zich daarom beter richten op het bewustmaken van gebruikers. Daarmee begrijpen werknemers de consequenties van hun keuzes en kunnen problemen worden voorkomen.

- Bekijk het risiconiveaus van alle applicaties en datacategorieën en prioriteer aan de hand daarvan de beveiligingsmaatregelen. Dit verschaft inzicht in de beveiligingsrisico’s en voorkomt dat geïnvesteerd wordt in minder belangrijke zaken.

- Zorg ervoor dat IT-security bij elke nieuwe activiteit van het bedrijf aan het beging van de levenscyclus geïntegreerd wordt. Hoe later men aandacht aan de beveiliging schenkt, hoe moeilijker het wordt om doelmatig te beveiligen.

- Bedenk dat IT-security altijd balanceert op het snijvlak van beschermen van data en faciliteren van de eindgebruikers. Te veel bescherming frustreert gebruikers, te veel vrijheid kan tot forse problemen leiden.

- Veel van de huidige beveiligingsoplossingen zijn gedateerd. Hetzelfde geldt voor de meeste beveiligingsstrategieën. De huidige ontwikkeling op het terrein van IT-security bieden een  kans om een geheel nieuw IT-securitybeleid te formuleren. 


Kadertekst:

1. CIO’s en CSO’s moeten nauw samenwerken om tot een eenduidige benadering voor security te komen.

2. Security moet volledig worden geïntegreerd met de bedrijfsactiviteiten en niet alleen een IT-aangelegenheid zijn.

3. Beveiliging moet aangepast worden aan consumenten IT, de cloud en beschikbare (mobiele) apparaten. Niet andersom.

4. Relaties met stakeholders binnen het bedrijf op senior- en middenmanagement niveau zijn essentieel voor succes.

5. De CIO en CSO moeten op een begrijpelijke en bedrijfsmatige manier over security communiceren zodat duidelijk wordt dat het belangrijk is bij het creëren van omzet, het stimuleren van innovatie en het voortbestaan van het bedrijf.

6. Beveiliging moet gericht zijn op het beschermen van data en applicaties, niet op hardware en netwerken.

7. Securitybeleid moet flexibeler en intelligenter worden zodat het bescherming kan bieden op basis van risicoprofielen en andere contextuele informatie.

8. Om de risico’s in kaart te kunnen brengen en het beleid te optimaliseren moeten CSO’s  volledig inzicht hebben in interne en externe bedreigingen.

9. Het ontwikkelen van beveiligingsstrategieën gebaseerd op bedrijfsrisico’s voorkomt ineffectieve IT-investeringen.

10. Gebruikers zijn essentieel bij een succesvol securitybeleid. Beveiliging die simpel, transparant en makkelijk te gebruiken is, zal niet alleen effectief blijken, maar helpt draagvlak vormen binnen het bedrijf.

 

 

Tim Dumas tim.dumas@rsa.com is Technology Consultant bij RSA, de securitydivisie van EMC

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag