Veilig voorbij de firewall: data security door volwassenheid in mens, proces en techniek 

In de huidige digitale wereld is data security een onmisbaar aspect voor praktisch elke organisatie. Stel jezelf de vraag: als er data van mijn klanten op straat komt te liggen, wat doet dit dan met mijn reputatie? Zijn er concurrenten die van mijn informatie gebruik kunnen maken? Of wat als het datalek intern blijft, maar per ongeluk de salarisadministratie, HR dossiers of chats te breed intern worden opengezet?  

Veel organisaties maken ondertussen goede stappen als het gaat om hackers buiten de deur houden, malware snel detecteren en gebruikers trainen op het herkennen van phishing mail. Maar als het gaat om veilig werken met data zien we nog niet dezelfde toewijding en zijn bestaande maatregelen vaak ontoereikend. En dat terwijl er juist de afgelopen jaren een toename is in het gebruik van cloudservices, mobiele apparaten en IoT (Internet of Things). Én dan is de thuiswerkcultuur inmiddels ook flink ingeburgerd. Met al deze ontwikkelingen is het niet verrassend dat het beschermen van gevoelige gegevens een complexe uitdaging is geworden.  

Handig om dan eens onafhankelijk de meetlat ernaast te leggen en vast te stellen waar je staat. Niet alleen op het gebied van de techniek die je gebruikt om je bedrijf veilig te houden, maar net zo goed de robuustheid en betrouwbaarheid van proces en mens. In deze blog bekijken we ons Data Security Maturity Model en bespreken we hoe je als organisatie kan groeien op het gebied van operationeel risicomanagement.  

De volwassenheid van jouw risk management

Om de volwassenheid van jouw riskmanagement en data security te bepalen, maken we een onderscheid tussen verschillende niveaus. Elk met hun eigen kenmerken en doelstellingen.   

Niveau 0: Reactief 

• Data security wordt beschouwd als een reactieve maatregel, waarbij er alleen gereageerd wordt op incidenten nadat ze zich hebben voorgedaan. 
• Er is geen gestructureerd beveiligingsbeleid en de focus ligt op het oplossen van problemen na diefstal, lekken of fouten. 
• Er is geen lerend vermogen in de organisatie en een risico zal niet worden opgelost. Een vergelijkbaar incident op korte termijn blijft hierdoor aannemelijk. 

Niveau 1: Basis beveiliging 

• Er wordt gestart met het implementeren van fundamentele beveiligingsmaatregelen, zoals encryptie en het segmenteren van bedrijfsdata gebaseerd op de rollen en rechten van de werknemers. 
• Er is nog geen gestructureerde aanpak, maar de manier van werken kan worden gekenmerkt als ‘reactief door anderen’. Dit is het soort organisatie dat na nieuws over een grote ransomware aanval, of cyberdreiging besluit ‘er iets mee te moeten doen’.  

Niveau 2: Gestructureerd beleid 

• Organisaties ontwikkelen een gestructureerd beveiligingsbeleid en procedures. Beleid is afgeleid van het risico waar de organisatie mee te maken heeft en/of wet en regelgeving waaraan voldaan moet worden.  
• De focus ligt op het identificeren en classificeren van gevoelige gegevens, evenals het implementeren van toegangscontrole en nalevingsrichtlijnen. 
• Als er veranderingen plaatsvinden, zoals nieuwe producten, diensten of leveranciers dan worden deze getoetst aan het bestaande beleid. Het beleid zelf wordt ook met enige regelmaat getoetst.  
• Bewustwording is onderdeel van de organisatie en vindt plaats bij binnenkomst, beweging en vertrek.  

Niveau 3: Proactieve beveiliging 

• Er worden proactieve maatregelen genomen om potentiële bedreigingen te identificeren en te voorkomen. Men hanteert het ’trust but verify’ principe en beheerst over de hele breedte van de organisatie de toegang en opslag van data. Door ketenleveranciers moet assurance documentatie overhandigd worden en zowel gestructureerde als incidentele interne en externe audits vinden plaats. 

• Er wordt gebruik gemaakt van geavanceerde beveiligingstechnologieën, zoals gedragsanalyse op endpoints en mensen, en er wordt threat intel binnengehaalt. Doel daarvan is om bedreigingen in real-time te detecteren en te mitigeren, maar ook om op beleid te kunnen sturen. 
• Toegang tot data, voor mens, machine en applicatie gebeurt op basis van ‘conditional access’: niet voldoen aan de eisen is automatisch geen toegang. 
• Bewustwording bouwt verder uit en past bij het risicoprofiel van de functie. Een Director Finance die naar China reist krijgt op maat gemaakt advies over omgaan met data, anders dan de conciërge.  

Niveau 4: Geavanceerde beveiliging en continuous compliance 

• Op het hoogste niveau van het model hebben organisaties een geavanceerde beveiligingsinfrastructuur geïmplementeerd die voldoet aan strenge compliance eisen. Data security is een kerncompetentie van de organisatie en men is actief bezig de nieuwste technologieën te ontwikkelen en toe te passen.  
• Er is een continue evaluatie en verbetering van beveiligingsmaatregelen om te blijven anticiperen op nieuwe bedreigingen en regelgeving. Als een persoon, afdeling, proces of stuk techniek ‘non-compliant’ is zien we een (near) real-time respons.  
• Bewustwording is persoonsgericht en leunt ook op omgevingsfactoren en ’threat intel’. Wanneer we verhoogde hoeveelheden spearphishing zien, bekend zijn met een chantabele positie of weten dat de persoon een sleutelrol speelt in een belangrijk M&A traject dan spelen we daarop in door bijvoorbeeld te waarschuwen voor een BEC (business email compromise). 

Ik weet waar ik sta, maar waar moet ik nu op mikken?  

Als betrokkene of verantwoordelijke op het onderwerp data security ben je ongetwijfeld op de hoogte dat dit een van de lastigste dingen is om goed in te regelen op het gebied van veiligheid. In een moderne organisatie is naadloos samenwerken de norm en zaken zoals verplichte labels, restricties op apparaten, het segregeren van opslag en beperken van toegang leveren vertraging en irritatie op bij de eindgebruiker of ontwikkelaar.  

Het is daarom van groot belang dat je het niveau van data security laat aansluiten op het risicoprofiel van je organisatie, maar ook op het karakter van je organisatie en de mensen. Heb je vanuit management geen steun voor sterk beleid? Begin dan met het overbrengen van een gevoel van urgentie. Dit kan door potentieel verlies te benadrukken, maar ook door de voordelen van bijvoorbeeld een certificering onder de aandacht te brengen.  

Ook top-down zijn er vaak uitdagingen. Wanneer het toepassen van dataclassificatie een vereiste wordt, bijvoorbeeld vanuit een normering, dan heeft dit grote gevolgen voor de bestaande workflow. Zeker als dit betekent dat labels handmatig moeten worden toegekend. Als deze medewerkers er het nut en de noodzaak niet van zien en onvoldoende technische ondersteuning ervaren, dan heeft dit slechte adoptie tot gevolg.  

Ons motto is dan ook: mik op een volwassenheidsniveau dat nodig is, dat je kan verantwoorden en wat past bij jou en je mensen. Ben je er op een van de punten nog niet? Neem dat mee in je traject, van pitch tot implementatie en zorg dat die zwakke punten zijn geadresseerd voor je er op volle snelheid voor gaat. Goede techniek aanschaffen zonder gemotiveerde collega’s is zonde van het geld. Evengoed zijn gemotiveerde collega’s die niet gefaciliteerd worden met de juiste processen en vooruitstrevende techniek hun enthousiasme snel kwijt.  

Ken je zwaktes én je krachten. Schroom ook niet om externe hulp in te schakelen om je op weg te helpen. Als je op 2/3 van mens, proces en techniek al goed scoort, dan ben je er al bijna!