Partnerinfo

NIS 2: de hoogste tijd voor een proactief securitybeleid

De nieuwe security-richtlijn NIS2 werd eind 2022 gefinaliseerd. Alle landen in de Europese Unie hebben nu zo’n anderhalf jaar om deze veel strengere regels om te zetten in nationale wetgeving. Bestuurders moeten beseffen dat ze nu mee aan het roer moeten voor de aanpak van cybersecurity. Ze zijn immers aansprakelijk als er daarmee iets fout gaat. Gedaan dus met het reactieve beleid: voortaan kan je maar beter proactief security aanpakken voor je er zelf het slachtoffer van wordt.

Het beschermen van je organisatie tegen cyberaanvallen wordt een steeds grotere uitdaging. Er zijn verschillende factoren die een goede digitale verdediging moeilijker dan ooit maken. De cybermisdadigers evolueren vaak even snel als de security-wereld, en soms sneller. Zij gebruiken geautomatiseerde methoden en kunstmatige intelligentie om statische beveiligingsmaatregelen te omzeilen. Ze zetten tools als ChatGPT in om hun phishing mails nog verder te verfijnen. Daarnaast is hun ‘speelveld’ nog immens gegroeid door de migratie naar de cloud, het uitrollen van Internet of Things-oplossingen en de uitrol van 5G.

Een reactieve security-aanpak volstaat niet meer

Van security-experts wordt verwacht dat ze dit soort ontwikkelingen nauwgezet bijhouden, terwijl zij eigenlijk al hun tijd kwijt zijn om ervoor te zorgen dat hun bestaande infrastructuur de huidige bedreigingen buitenhoudt. Zo blijft er weinig tot geen tijd over om proactief te werk te gaan, en kan een nieuw type van incident leiden tot volledige paniek. Zulke reactieve aanpak leidt niet alleen tot meer chaos. Het zal uiteindelijk leiden tot het opbranden en/of vertrekken van je security-professionals, die hardwerkende professionals die zo begeerd zijn op de arbeidsmarkt.

Opvolging is net zo belangrijk als invoering

Dat is geen fijne boodschap, wanneer je als bestuurder net geleerd hebt dat je volgens de NIS2-richtlijnen aansprakelijk bent voor tekortkomingen in het securitybeleid. Werken de ingevoerde beveiligingstools, de security frameworks (NIST, ISO 2700x of zero trust) dan niet adequaat? Deze tools helpen organisaties wel degelijk om hun security-beleid te definiëren. Maar al te vaak worden de controles en procedures wel geïmplementeerd, en vervolgens volledig vergeten. De organisatie voorziet processen, maar medewerkers blijven gewoon doen wat ze al eeuwen doen. Beveiligingstools worden geïnstalleerd, maar niet up-to-date gehouden. Dan ontdek je na verloop van tijd instellingen op die tools die een organisatie net zo kwetsbaar maken als voor hun introductie.

Security-beleid kan uw productiviteit schaden

Zo zijn organisaties niet alleen kwetsbaar voor cyberaanvallers, maar ook in hun bedrijfsvoering. Eindgebruikers hebben specifieke applicaties broodnodig, maar krijgen ze niet op de lijst met goedgekeurde programmatuur. Belangrijke e-mails bereiken de bestemmeling niet vanwege op de zwarte lijst geplaatste IP-adressen of verouderde filters. Dit zijn maar enkele voorbeelden hoe een falend securitybeleid een negatieve invloed kan hebben op de beeldvorming rond security bij een organisatie. Security wordt gezien als een hinderpaal in plaats van als een business enabler.

Slim outsourcen

Natuurlijk kan je als organisatie deze uitdaging niet oplossen door een blik experts open te trekken, al was het maar omdat dat blik niet bestaat. Bovendien beschikt geen enkele organisatie over voldoende budget om voor elke afzonderlijke beveiligingstechnologie de juiste mensen in huis te halen. En één persoon kan maar zoveel technologieën beheersen.

De sleutel ligt bij het slim automatiseren van securityprocedures en het zoeken van samenwerking met strategische security partners. Zeker voor het opzetten van een Security Operations Center (SOC), een erg arbeidsintensieve bezigheid, zullen organisaties de komende jaren steeds vaker naar buiten kijken. Volgens Gartner zal tegen 2025 90 procent van de SOC’s in de G2000 een hybride model gebruiken door minstens de helft van de operationele werklast uit te besteden.

Security als basis voor de continuïteit van de organisatie

Verlies je als bestuurder dan niet de controle over de verantwoordelijkheid om een organisatie veilig te houden? Dat kan je je natuurlijk niet veroorloven met de toegenomen druk die met NIS2 wordt opgelegd. Er zijn wel beveiligingsfuncties die volledig buiten de organisatie kunnen worden uitgevoerd, maar veel daarvan hebben nauwe interactie en controle nodig. Hiervoor moeten organisaties op zoek naar een partner die kan helpen bij het bouwen van een strak geïntegreerd hybride model. Sommige organisaties hebben bijvoorbeeld een beperkt aantal interne middelen die gericht zijn op de kwaliteit van de aanwezige beveiligingsoplossingen en het waarborgen van controle. Het routinematige werk en de dagelijkse werkzaamheden laten ze graag over aan beveiligingsdienstverleners, die indien nodig ook deskundige hulp kunnen bieden. Zo kunnen ze de interne middelen inzetten voor de bedrijfseigen activiteiten.

Als bedrijfsleider hoef je dus niet bang te zijn voor de naderende NIS2-gerichte wetgeving; bekijk het eerder als een kans om weer volledige controle te krijgen over security. Door je digitale weerbaarheid te versterken, leg je een stevige basis voor de continuïteit van de organisatie.

Beveiligingbusiness

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600