Blog Layout

Information Security

7 juni 2024

Help! Wat kan ik zelf doen voor het verbeteren van mijn informatiebeveiliging?

De wereld wordt digitaal. Wie niet mee digitaliseert, blijft achter en loopt de voordelen van digitalisering mis. Het is ons bekend dat digitalisering de toekomst is en vele voordelen met zich meebrengt... Wat betekent dit voor de informatiebeveiliging van mijn organisatie? Moet ik per se mee in deze digitalisering? Wat als ik het niet doe? Terechte vragen wat mij betreft. De druk om te digitaliseren neemt overigens toe. Uit een studie van Tam et al. (2021) over de cyberbeveiliging in bedrijven blijkt dat bedrijven onder druk staan om technologieën te gebruiken en toe te passen als gevolg van digitale ontwikkelingen en trends. Deze druk wordt aangewakkerd door de steeds hoger wordende verwachtingen van klanten. Want mag je klanten nog wel enkele uren later wachten?

In the old days, maakten we vooral gebruik van post en deze werd meestal een maal per dag opgehaald, wat ons tijd gaf om even goed na te denken en te reageren, maar als je tegenwoordig niet binnen een uur op een e-mail heb gereageerd, dan krijg je al een reminder … Dit is even heel ongenuanceerd, maar het geeft wel weer hoe snel tegenwoordig alles moet en wat dit betekent voor de business. Het digitaliseren van je bedrijf en daarmee steeds meer afhankelijk worden van informatiesystemen is niet erg toch?

 

Ja en Nee. Het is goed om te digitaliseren, zodat je de concurrentie en de markt kunt blijven volgen. We kennen tegenwoordig allemaal het V&D-verhaal wel. Het is echter van belang de beveiliging van je systemen in dit digitalisatieproces mee te nemen. Ghahramani et al. (2022) benadrukken het belang van cyberbeveiliging binnen organisaties. Uit hun studie blijkt dat digitalisering, in combinatie met de toenemende afhankelijkheid van informatiesystemen, organisaties tot een aantrekkelijk doelwit maakt voor voortdurend evoluerende bedreigingen van de veiligheid. Ze waarschuwen dat als de informatiebeveiliging niet wordt verbeterd, organisaties het risico lopen dat hun aanpak en werkwijzen verouderd raken, waardoor ze kwetsbaar worden. Organisaties moeten zich bewust zijn van deze bedreigingen en hun informatiebeveiligingsmaatregelen voortdurend verbeteren. Volgens onderzoek van Pawar en Palivela (2022) leidt de verschuiving in de digitale behoeften van bedrijven tot een groter aanvalsoppervlak. Bovendien zijn veel bedrijven geneigd deze risico's te negeren, wat verder bijdraagt aan hun kwetsbaarheid.

 

Zou ik zelf kunnen helpen de informatiebeveiliging in mijn bedrijf te verbeteren zonder een fortuin te investeren?

Voor dit artikel laten we alle technische maatregelen voor wat ze zijn. Want als (non IT savvy) manager kun je eigenlijk al heel veel zelf doen. Sterker nog, dit moet je zelf doen. Iedereen is zich bewust van het feit dat je personeel de zwakke schakel is van je informatiebeveiliging.

Daarom gaat het onderzoek van Dhillon et al. (2021) en Von Solms en Van Niekerk (2013) in op de menselijke factor in cybersecurity. Zij stellen dat werknemers de zwakste schakel in cyberbeveiliging blijven en een bedreiging vormen voor de beveiliging van informatiesystemen (IS).

 

Waarbij het hebben van beleid en standaarden geen garantie voor succes is. Want niet het beleid is belangrijk, maar de naleving er van. Het is van cruciaal belang dat medewerkers beleid en procedures naleven om een robuuste IS-beveiliging te bereiken. Managers moeten dus rekening houden met zowel technische als menselijke factoren bij het toezicht op de beveiliging van informatiesystemen. Tejay en Mohammed (2023) ondersteunen dit perspectief en stellen dat het gedrag en bewustzijn van werknemers een cruciale rol spelen bij cyberbeveiliging. Om de uitdagingen in verband met menselijke factoren bij informatiebeveiliging aan te pakken en informatie goed te beveiligen, moet er een robuuste informatiebeveiligingscultuur worden gecreëerd.

 

Goed een informatiebeveiligingscultuur creëren dus. Makkelijker gezegd dan gedaan …

Ik geef toe een informatiebeveiligingscultuur is niet EEN-TWEE-DRIE gecreëerd. Het vereist niet alleen een bedrijfsbrede holistische aanpak, maar het is ook per bedrijf verschillend hoe een cultuur tot stand komt en wat de cultuur uiteindelijk wordt. Elk bedrijf is namelijk anders. Deze whitepaper is bedoeld om bedrijven inzichten en aanbevelingen te geven om een begin te maken met een informatiebeveiligingsbeleid. Zie het als een manier om te beginnen. Bedrijven kunnen een sterke informatiebeveiligingscultuur creëren door de volgende punten mee te nemen.

 

1. Leiderschap en Governance

- Betrokkenheid van het management is cruciaal. Leiders moeten zich actief inzetten voor informatiebeveiligingsinitiatieven en deze integreren in de strategische doelstellingen van de organisatie.

- Het opzetten van duidelijke communicatiekanalen en verantwoordelijkheden zorgt ervoor dat informatiebeveiliging ieders verantwoordelijkheid wordt, niet alleen die van de IT-afdeling.

 

2. Rollen en verantwoordelijkheden

- Het duidelijk definiëren van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging is van fundamenteel belang. Bedrijven moeten outsourcing overwegen als het intern beheren van de beveiliging te veel of te moeilijk wordt.

- Bij het selecteren van een geschikte serviceprovider moeten de verwachtingen duidelijk worden vastgelegd in een Service Level Agreement (SLA).

 

3. Beveiligingsbeleid

- Het afstemmen van het beveiligingsbeleid op de behoeften van de organisatie en het betrekken van werknemers bij de ontwikkeling ervan zorgt voor praktische uitvoerbaarheid en naleving.

- Het mitigeren van de belangrijkste risico’s is een prima vertrekpunt voor een informatiebeveiligingsbeleid.

- Regelmatige herzieningen en updates van het beleid zijn essentieel om gelijke tred te houden met veranderende bedreigingen en bedrijfsdynamiek.

- Het integreren van veranderingen in het informatiebeveiligingsbeleid zorgt voor consistentie en afstemming op de doelstellingen van de organisatie.

 

4. Compliance verhogen

- Het implementeren van mechanismen voor continue monitoring en compliance zorgt ervoor dat beveiligingsmaatregelen effectief blijven.

- Het stimuleren van een positieve beveiligingscultuur door middel van stimulansen en transparante communicatie verbetert de naleving en veerkracht.

- personeel regelmatig trainen, minimaal een keer per jaar.

 

 

5. Awareness verhogen

- Regelgebaseerde toegangscontroles (RBAC) moeten worden geïmplementeerd om de toegang tot gegevens effectief te beheren en werknemers te informeren over het belang ervan.

- Voortdurende training en phishing-tests helpen om het bewustzijn en de naleving door het personeel op peil te houden.

 

6. Technologische maatregelen

- Basistechnische hygiënemaatregelen zoals multi-factor authenticatie en regelmatige back-ups zijn van fundamenteel belang.

- Het ontwikkelen en oefenen van een incident response plan zorgt ervoor dat je klaar bent om beveiligingsincidenten snel te beperken en te herstellen.

- Aanpassing aan nieuwe technologieën en markttrends vereist een zorgvuldige afweging van risico's en voordelen.

 

Wacht niet langer!

Het is nu tijd om de aandacht te richten op het beschermen van informatie. Wilt u vandaag nog een stevige informatiebeveiligingscultuur in uw bedrijf creëren? Neem dan de eerste stap door de zes punten uit dit artikel te implementeren en maak informatiebeveiliging ieders verantwoordelijkheid. Laat je bedrijf digitaliseren en niet kwetsbaar zijn voor cyberbedreigingen – begin nu! Natuurlijk, mocht je vragen hebben of er niet uitkomen. Wij van Cyberus staan altijd klaar om te helpen!

 


 

References:

Tejay, G. P. S., & Mohammed, Z. A. (2023). Cultivating security culture for information

security success: A mixed-methods study based on anthropological perspective.

Information & Management, 60(3), Article 103751. https://doiorg.

tilburguniversity.idm.oclc.org/10.1016/j.im.2022.103751

 

Von Solms, R., & Van Niekerk, J. (2013). From information security to cyber security.

Computers & Security, 38, 97-102. https://doi.org/10.1016/j.cose.2013.04.004

 

Pawar, S., & Palivela, H. (2022). LCCI: A framework for least cybersecurity controls to

be implemented for small and medium enterprises (SMEs). International Journal

of Information Management Data Insights, 2(1), Article 100080.

https://doi.org/10.1016/j.jjimei.2022.100080

 

Ghahramani, F., Yazdanmehr, A., Chen, D., & Wang, J. (2022). Continuous

improvement of information securitymanagement: An organisational

learningperspective. European Journal of Information Systems, 32(6), 1011-

1032. https://doi.org/10.1080/0960085X.2022.2096491

 

Dhillon, G., Smith, K., & Dissanayaka, I. (2021). Information systems security research

agenda: Exploring the gap between research and practice. The Journal of

Strategic Information Systems, 30(4), Article 101693.

https://doi.org/10.1016/j.jsis.2021.101693

 

 

 

 

AI in Cybersecurity

5 oktober 2024
AI in Cybersecurity

Zero Trust: Wat is het en waarom zou ik het gebruiken?

25 augustus 2024
Zero Trust: Wat is het en waarom zou ik het gebruiken?

Security Behavior & Culture

11 augustus 2024
Security Behavior & Culture

Digital Services Act

14 juli 2024
Digital Services Act (DSA)

Cyber Resilience Act

2 juli 2024
Cyber Resilience Act (CRA)

Digital Operation Resilicience Act (DORA)

21 juni 2024
Digital Operation Resilicience Act (DORA)

NIS2

14 juni 2024
NIS2... wat moet ik ermee?

Cyberus Beach Party

9 juni 2024
Cyberus Beach Event 

AI Act

8 juni 2024
The Artificial Intelligence (AI) Act

CISM vs CISSP

7 april 2024
CISM vs CISSP aan welke certificering heb je meer als cyber security consultant?
Meer posts
Share by: