SBO Blog Het blog van Studiecentrum voor Bedrijf en Overheid
Dat is een vraag die Richard Franken, securityexpert en directeur van Franken Security Solutions, de laatste maanden veel gesteld is. En die veel mensen zakelijk en privé bezighoudt. In deze blog gaat hij in op wat het effect van de 1,5 metereconomie is op securitymanagement en hoe je een future-proof security manager bent.
Voor mij is de 1,5 meter economie inmiddels het synoniem geworden van een andere, lees ook: -nieuwe realiteit-. De nieuwe wereld waarin wij nu leven. En dan is het misschien wel andersom. Dan telt als eerste die nieuwe realiteit en dan hoe wij daar “secure” mee om willen gaan. Bij het waarborgen van die nieuwe realiteit, horen nieuwe spelregels. Zo ook nieuwe security-voorwaarden. Alles gericht op het voorkomen dat de pandemie weer een keer kan oplaaien maar ook, dat organisaties opnieuw ernstige schade gaan leiden. Met uiteindelijk de kans op het “out of business” zijn.
Inregelen van security bij de 1,5 metereconomie
Ik ga er gemakshalve van uit, dat de basis “hygiëne-regels” die horen bij de 1,5 meter economie, in iedere organisatie inmiddels ingeregeld zijn. Zoals routing in gebouwen, aanwezigheid van desinfectiemiddelen, etc. En dan wordt het maatwerk per organisatie. Bedrijven zouden op directie-en bestuurskamer-niveau moeten onderzoeken waar de zwaktes zitten in de organisatie. Gericht op de ontwikkelingen voor de toekomst, passend bij hun strategie. Maar ook: van welke leveranciers zijn wij afhankelijk, hebben wij permanent voldoende beschermingsmiddelen en hoe kwetsbaar is onze logistiek? Items als: duurzaamheid, klimaatinvloeden en dus ook de risico’s van een pandemie zullen op aspecten als: kans en effect inhoudelijk bekeken moeten worden. Daarvoor zijn experts nodig. En dat is de future-proof securitymanager. Of zoals ik eerder al in een blog heb geschreven: de komst van de Certified Risk-Officer (c). Hierdoor bouw je aan een meer robuustere en schokbestendige organisatie. Naast het blijvend creëren van de nodige awareness en het verzorgen van training op aspecten als denken in risico-scenario’s, maakt dit dat iedereen bij de les gehouden wordt en -nog belangrijker- “Wij het met elkaar bijven doen!” Dat commitment is nodig om de juiste attitude te organiseren vanuit de organisatie zelf.
Effecten van de coronacrisis op informationsecurity
De wereld waarin wij wonen en werken was de achterliggende jaren al met hoge snelheid aan het digitaliseren. Dat is bekend. Maar tijdens de coronacrisis is die snelheid nog verder opgevoerd en zijn versneld ook keuzes gemaakt, waar, onder de “oude omstandigheden” nog best wel langer over nagedacht zou zijn. Denk maar aan een cliché als: Vanuit huis met de systemen van de zaak werken of iets simpeler: video-conference met gebruikmaking van software waar tot voor kort nog een (veiligheids-) taboe op zat. Maar er is geen weg terug. De digitale toekomst is nu en heeft ook in coronatijd het positieve verschil gemaakt. Vanuit de focus van information security (een onderdeel van totaal security-management) zijn het omgaan op diverse werkplekken met data van de werkgever, maar ook privacygevoelige gegevens beschermen en voldoende op iedere werkplek beveiligd zijn tegen cybercriminaliteit, nog steeds de “hot-issues”. Bij het beter beschermen van de organisatie tegen dit soort risico’s is nog veel eer te behalen. Een reden om ook op boardroomniveau deze onderwerpen hoog op de agenda te houden. En ook om echt proefondervindelijk te toetsen hoe het met de weerbaarheid gesteld is. Pentesting op alle niveaus is eerder een must dan een luxe. Geef goede voorlichting aan de medewerkers van de organisatie en vertel ook wat er waar en wanneer al eerder is fout gegaan. Dat werkt laagdrempelig voor mensen die weinig affiniteit hebben met het onderwerp computercriminaliteit. Maar zorg ook, zoals ik eerder al aangaf, dat je test hoe het met het opvolgen van de instructies gesteld is. Worden passwords goed gebruikt en geregeld gewisseld? Worden de actuele updates doorgevoerd? Etc. Menselijke risico’s. Feitelijk het psychologisch aspect in het werk van iedere security- en of riskmanager. Niets nieuws dus, hooguit de verschijningsvorm.
Toekomstverwachting
Door onze ervaring met de diverse kwetsbaarheden die zich in de achterliggende maanden hebben voorgegaan, met als grootste gemene deler: ”de vrees voor het onbekende”, is iedere organisatie overtuigd van het nut van risico- c.q. securitymanagement. En dus ook van het inzetten van experts op dit gebied. In dienst of ingehuurd, dat moet het verschil niet maken. Maar beter nadenken in termen van het hele spectrum van oude en nieuwe risico’s zal structureel beter moeten gebeuren en meer in termen van scenario’s. Van Cyber-risico tot de gevolgen van een milieuramp en een pandemie, zijn items waar niet meer aan voorbijgegaan kan worden, als de zorg voor continuiteit werkelijk serieus genomen wordt. De kosten van inzet van deze expertise wegen in zijn geheel niet op tegen de schadelijke effecten als deze risico’s zich openbaren. Immers: welke organisatie blijft lang actief zonder de juiste mensen op de juiste plek? En opnieuw is bewezen, zij het door een dure les, dat, waar het kan, risico’s voorkomen beter is dan genezen.
Meer weten?
- Tijdens de opleiding Information Security Officer leer je het informatiebeveiligingsbeheer op een juiste en efficiënte wijze in te richten om cybersecuritydreigingen, verspreiding van fake nieuws en verlies van competitiviteit
- Tijdens de opleiding Security Manager leer je wat de belangrijkste trends en ontwikkelingen zijn op het terrein van security management en hoe je mogelijke dreigingen voor jouw organisatie in kaart brengt.
