InfoSecurity 2016 dag 4: De CSO en tips om security-beleid goed te borgen

Op InfoSecurity 2016 werd ook aandacht besteed aan BCM (Business Continuity Management), de daarbij behorende processen en procedures en werd dieper ingegaan op de rol van Chief Security Officer (CSO). YaWorkers Dave van der Zee en Dave Diependaal gingen op zoek naar de vraagstukken die een CSO zoal bezighoudt en hoe een CSO de belangen van cyber security zo goed mogelijk behartigt.

Vraagstukken voor een CSO:

  • Hoe beïnvloed ik het MT om security niet als een kostenpost te bekijken maar als onderdeel van de manier van werken?
  • Hoe zorg ik ervoor dat de verantwoording voor security niet alleen leeft op de IT-afdeling?
  • Wat is er nodig om de organisatie up-to-speed te krijgen als het aankomt op goede security posture?

We hebben een aantal keynote sessies bijgewoond om antwoord te krijgen op deze vragen. Met de opgedane kennis kunnen we concluderen dat MT-leden hulp nodig hebben bij het verkrijgen van meer kennis, awareness en vertrouwen in security, zodat ze beter in staat zijn om het belang van cyber security te verbinden aan hun organisatie.

Enkele tips bij het relevanter maken van cyber security:

  • Het is het van belang dat de discussie die gevoerd wordt gaat over risico’s in plaats van security.
  • Maak een vergelijking tussen de eigen organisatie en een concurrerende organisatie. Hoe heeft de concurrent zijn beleid ingericht? Of beter nog; wat is de norm qua cyber security binnen de branche?
  • Gebruik actuele nieuws gebeurtenissen als leermomenten. Voer het gesprek met de vraag; Wat zou er met onze organisatie gebeuren als dit ons overkomt? Hoe goed zijn wij zelf voorbereid?
  • Ontwikkel rapportages die helpen om het verhaal duidelijk te maken en te onderbouwen. De toelichting bij de rapportage moet te relateren zijn aan een risico voor de organisatie.
  • Maak een koppeling met bijvoorbeeld een nieuwe grote investering die het bedrijf gaat maken of de lancering van een nieuw product. Hierdoor kun je aangeven wat de risico’s zijn bij deze plannen.

Het ultieme doel van de CSO is om de manier van denken over Cyber Security binnen een organisatie om te buigen. Hiermee wordt bedoeld dat een bedrijf de plannen al heeft klaarliggen en kan acteren op het moment dat er een incident plaatsvindt.

Enkele zaken die in place moeten zijn:

  • Een beschrijving van de onderdelen van de organisatie die hoe dan ook beschermd moeten worden;
  • Een databeschermingsprogramma;
  • Een incident-response plan;
  • Een business continuity plan;
  • Een uitgeschreven beleidsplan (hierin worden ook kwetsbaarheden beschreven);
  • Een interne legal council (is dit niet mogelijk dan is het noodzakelijk om deze kennis extern paraat te hebben);
  • Een communicatieverantwoordelijke binnen de organisatie. Deze persoon kan de media te woord staan bij een cyber security incident.

Bovengenoemde processen en documenten zijn cruciaal om te hebben. Het is raadzaam om de plannen regelmatig te toetsen en te testen. Naar aanleiding van resultaten kunnen documenten en beleid worden aangepast. Zorg ervoor dat beleidsstukken worden bekrachtigd door het MT. In het geval van een audit zal blijken dat het MT zijn juridische verplichtingen naleeft. Het is ook van belang om de diverse resources, die genoemd worden in bovenstaande stukken, te informeren, bij te praten en hun rollen te bevestigen. Dit voorkomt dat je ten tijde van een incident op zoek moet naar beschikbare resources of kennisgebieden.

Expertises

Quantum is everything

Quantum Computing | 14 April, 2017

 Dave Diependaal is aanwezig op de ISC2 secure Summit en vertelt over Quantum Computing    Op de tweede dag van de Secure Summit startte ik met een boeiende presentatie van Jaya Baloo. Zij is de CISO van KPN Telecom en heeft in 2015 de ‘Cyber Security Executive of the year award’ gewonnen. Jaya Baloo begon haar...

 ISC2 Secure Summit Benelux

Security | 10 April, 2017

Blog 1: Security ABC’tjes! Vanuit YaWorks is Security Consultant Dave Diependaal afgevaardigd om ISC2 Secure Summit te bezoeken. De summit vindt elk jaar plaats en is te bezoeken door ISC2 members en non-ISC2 member. ISC2 groeit nog steeds en heeft wereldwijd nu 123.000 Security Professionals aan zich verbonden. In...

Cyber Security | 15 June, 2016

Op InfoSecurity 2016 werd ook aandacht besteed aan BCM (Business Continuity Management), de daarbij behorende processen en procedures en werd dieper ingegaan op de rol van Chief Security Officer (CSO). YaWorkers Dave van der Zee en Dave Diependaal gingen op zoek naar de vraagstukken die een CSO zoal bezighoudt en hoe...