‘De financial moet zich afvragen: werkt het wat we doen?’

Wie digitale veiligheid benadert als het afvinken van een to do-lijstje loopt achter de feiten aan, waarschuwt Sander Zeijlemaker, managing director van Disem Institute. In de cursus Dynamiek in cyberveiligheid geeft hij financials de handvatten om de samenhang tussen de verschillende maatregelen te beoordelen.

Denken dat je alles op orde hebt. Die perceptie is heel gevaarlijk bij een beweeglijk vakgebied als digitale veiligheid, vindt Sander Zeijlemaker. ‘Digitale veiligheid heeft voortdurend aandacht nodig. Met ieder besluit dat je neemt verander je het ecosysteem. Vergelijk het met een inbraak in je huis. Je zet eerst sloten op je voordeuren. Als de inbreker vervolgens via de achterdeur binnenkomt, neem je ook sloten op de achterdeuren. Alles is veilig totdat de buurman - die ook twee sloten heeft - een hond aanschaft. Zijn huis is nu beter beveiligd dan jouw huis. Dan komt die inbreker toch weer terug. Sinds de vorige aanval zijn we beter beveiligd, wordt binnen organisaties vaak gedacht maar dat is niet automatisch het geval.’  
 
Reflex
Zeijlemaker: ‘Ik zie dat er in veel organisaties een reflex is om vooral op incidenten te reageren. Die dynamiek trekt een zware wissel op mensen. Het oplossen van incidenten is intens en moet snel gebeuren. Dat is vooral zwaar voor IT- en securitymanagers. Die moeten veel ballen in de lucht houden. Naast ded reguliere bedrijfsvoering moeten ze junior-collega’s opleiden, de lange termijnstrategie invullen en ook de acute problemen oplossen. Het probleem is niet alleen dat de aandacht voor security verslapt zodra een incident is opgelost, maar dat het aan tijd ontbreekt om de veiligheid naar de toekomst in te vullen. Besteed je bijvoorbeeld aandacht aan threat intelligence? Dat is het verzamelen van relevante informatie voor het analyseren van toekomstige cyberdreigingen. Je hebt capaciteit nodig om naar die intelligencevraagstukken te kijken. De financial kan zorgen dat die financiële ruimte er is.
 
Maar ook als er een voorstel ligt om bijvoorbeeld te investeren in detectiesoftware moet de financial zich afvragen wat er wordt gedaan om die detectie in de toekomst op niveau te houden. Iedere aanpassing – zoals de aanschaf van nieuwe servers - moet op de juiste manier geadministreerd zijn zodat hij later terug te vinden is, geconfigureerd en ingericht met detectiesoftware. Als er weinig tijd en budget is schiet dat er in de praktijk vaak bij in. Het gevolg is dat je steeds meer tijd en mensen nodig hebt om problemen te herstellen omdat je signalen pas later onderkent.’ 
 
Schuttingen
Digitale veiligheid moet je zien als een bedrijfskundig vak, aldus Zeijlemaker. ‘Het is onderdeel van je bedrijfsvoering, net als marketing en logistiek. Digitale veiligheid raakt aan alle facetten: medewerkers, processen, intellectueel eigendom, klanten. De financial is heel goed in staat om te zien welke maatregelen elkaar versterken. Hij kan over schuttingen kijken. Voorwaarde is dat hij de dynamiek begrijpt en de instrumenten heeft om de juiste vragen te stellen.
 
Die krijgt hij in deze cursus. Hij leert uitzonderlijke situaties herkennen. Hoe aanvaller en verdediger, IT en finance, bedrijfsvoering en riskmanagement met elkaar verweven zijn. Traditioneel wordt er bij investeringen in security veel met lijstjes gewerkt. Vaak wordt uitgegaan van een benchmark. Voldoen we aan de beveiligingsstandaarden? Dat geeft niet zoveel zekerheid als je zou wensen. Standaarden geven houvast gebaseerd op het verleden. De aanvaller boeit het niet of je aan een standaard voldoet. Die zoekt continu naar een opening en als hij succesvol is schiet het aantal aanvallen omhoog. Die dynamiek wil je doorbreken. De financial moet zich afvragen: werkt het wat we doen?’

 

oranje-lijn.png

Docent Sander Zeijlemaker

Sander is algemeen directeur en medeoprichter van Disem Institute. Hij is in zijn carrière werkzaam geweest in: bancaire bedrijfsvoeringen, informatietechnologie, specifieke IT-omgevingen, financien en cyberveiligheid. Sander is strategisch consultant en schrijver, gericht op voorspelbaarheid van complexe, strategische beslissingen. Bovendien is Sander als expert op het gebied van beveiligingsdynamica, spreker op internationale conferenties en universiteiten over de hele wereld. Als voorzitter van de Special Interest Group Conflict, defensie en veiligheid van de System Dynamics Society, mobiliseert en verbindt Sander een groep professoren, praktijkmensen en studenten op het gebied van conflict, defensie en veiligheid.