Home Thema's Cybersecurity

Cybersecurity

Bekijk inhoud
Nederland is een voorloper met digitalisering.
Hierbij is cyber-security van cruciaal belang, opdat digitalisering beheerst en veilig kan plaatsvinden.
Denk hierbij ook aan de toenemende keten-afhankelijkheid van organisaties en burgers, evenals het borgen van bescherming van persoonsgegevens. Goede cybersecurity is ook een enabler voor organisaties en haar producten en diensten.

De toenemende digitalisering resulteert in een toenemende gevoeligheid van organisaties voor:
  • Vertrouwelijkheid, i.e. persoonsgegevens, intellectueel eigendom;
  • Continuïteit, niet alleen van administratieve processen, maar ook productieprocessen, en digitale diensten aan klanten;
  • Integriteit van gegevens, zoals die van financiële rapportages.
Dit vraagt ook in toenemende mate om zekerheid over de beveiliging van digitale oplossingen. IT-auditors kunnen deze zekerheid bieden.

Van een organisatie mag worden verwacht dat zij cybersecurity heeft geregeld, op drie niveaus:
Van een organisatie mag worden verwacht dat zij cybersecurity heeft geregeld, op drie niveaus:

01

Risicogebaseerde keuzen voor cybersecurity door een organisatie

 

Een organisatie wil haar doelstellingen bereiken. Tegelijkertijd wil zij haar risico’s beheersen, waaronder die tegen cyber-gerelateerde dreigingen. Dit vraagt om continue risicogebaseerde verbeteringen. Van een organisatie wordt dan ook verwacht dat de leiding zich bewust is van, en kiest voor, een passende mate van cybersecurity. Een passende mate van cybersecurity wordt bepaald door de gevoeligheid van een organisatie betreffende de te beschermen waarden, op basis van en de mogelijke impact van cyber-dreigingen en de kans dat deze dreigingen daadwerkelijk optreden, evenals haar risicobereidheid. 

Hierbij is het tevens van belang bewust te zijn van relevante wet- en regelgeving, zoals die betreffende de bescherming van persoonsgegevens (Algemene Verordening Gegevensbescherming), en de Wet Beveiliging Netwerk- en Informatiesystemen voor digitale dienstverleners en essentiële diensten in diverse sectoren.

Voorbeelden zijn de cybersecurity risk assessment van NOREA en de audit op basis van de SOC (Service Organisation Controls) for Cybersecurity van ISACA.

02

Cybersecurity-weerbaarheid van een organisatie

 
Een organisatie beschermt zich, in een mate die past bij haar vastgestelde risicobereidheid, tegen cyber-dreigingen.
Wij beseffen echter dat 100% beveiliging niet bestaat. Van een organisatie mag dan ook redelijkerwijs worden verwacht dat niet alleen beveiligingsincidenten zo veel als mogelijk worden voorkomen, maar ook dat incidenten die toch plaatsvinden, snel worden gedetecteerd en adequaat worden opgevolgd.
Als onderdeel van cybersecurity-weerbaarheid is het voor een organisatie van belang te beseffen in welke organisatieketen(s) zij zich bevindt, en de afhankelijkheid daarvan regelmatig in kaart te brengen en te onderzoeken.

Voorbeelden betreffen audits tegen normen van de Baseline Informatiebeveiliging Overheid (BIO) voor de overheid, Informatiebeveiliging voor de zorg op basis van NEN7510, en het studierapport Algemene beheersing van IT-diensten van NOREA. Ook worden audits uitgevoerd om de volwassenheid van cybersecurity-weerbaarheid te meten.
03

Beveiliging van producten en diensten

 
Met de toenemende digitalisering worden steeds meer diensten gebouwd, zowel op het Web als in Apps. Ook groeit naast IT (Informatie-Technologie) het gebruik van OT (Operationele Technologie) voor de aansturing van producten zoals elektrische auto’s, sluizen en fabrieken.

Voor elk product en elke dienst is het veelal van belang een totaalbeeld van de beveiliging te hebben. Hiertoe dienen de relevante objecten waaruit het product of de dienst bestaat te zijn onderkend, en dienen hieraan ook de relevante eisen te worden gesteld. Dit betreft zowel procesmatige als technische aspecten, en product-specifieke en generieke aspecten. 

Een voorbeeld van audits naar producten en diensten betreft de beoordeling van een website die gebruik maken van DigiD.