Is cybersecurity een prioriteit in de directiekamer? Of hoeft het management zich er eigenlijk niet mee bezig te houden? Stacy Leidwinger van RES pleit voor people centric security. En daarmee is cyberveiligheid net zozeer een kwestie van ICT als van zakendoen.
De chief information security officer (CISO) heeft het drukker dan ooit. Naast kennis over informatietechnologie – en de securityrisico’s die hiermee samenhangen – vragen organisaties ook van de CISO dat hij of zij meedenkt over efficiënte bedrijfsvoering. En dan gaat het niet alleen om beleid en strategie, maar ook om de uitvoering van concrete plannen. Een extra uitdaging: de boardroom houdt zich liever niet bezig met ICT en cybersecurity, ook al is het management er wel eindverantwoordelijk voor.
Geen zorgen
“Met het toenemende aantal risico’s – van ransomware tot malware – verdient cybersecurity zeker de aandacht van het management. Maar idealiter hoeft de boardroom zich geen zorgen te maken over beveiliging, zodat alle aandacht aan het zakendoen kan worden besteed”, zegt Stacy Leidwinger van RES. Sterker nog, volgens de Vice President of Products van RES kan de CISO niet alleen kopzorgen over de beveiliging wegnemen, maar het management ook helpen bij de bedrijfsstrategie. “De CISO – of de securityafdeling – kan effectieve beveiligingsmaatregelen inbouwen zodat de werkvloer productiever wordt. We noemen dat people centric security.” Om bedrijven daarbij te ondersteunen, kwam in mei het product RES ONE Security for the Workforce op de markt. De belofte: een systeem om online security, identiteit, toegang en governance te beheren, zodat interne en externe beveiligingsrisico’s worden tegengegaan zonder dat de werkvloer er last van ondervindt.
We kunnen zorgen dat een werknemer een verdachte mail überhaupt niet kan openen, zodat er ook niet per ongeluk geklikt wordt op een link die ransomware of malware activeert.
“Hoe kunnen we de mensen op de werkvloer ondersteunen zodat ze altijd toegang hebben tot de diensten, producten, software en applicaties die ze nodig hebben – en tegelijkertijd beschermd zijn tegen beveiligingsrisico’s?” Dat zegt Leidwinger over de vraag waarop RES ONE Security een antwoord probeert te geven. “Wij zijn ervan overtuigd dat er pas veiligheid is als er helder beleid is – en het toezicht op de naleving daarvan is geregeld – zonder dat werknemers daar iets van merken. Neem het risico van phishing. We kunnen zorgen dat een werknemer een verdachte mail überhaupt niet kan openen, zodat er ook niet per ongeluk geklikt wordt op een link die ransomware of malware activeert.”
De aanpak van RES gaat verder dan het verhogen van het risicobewustzijn binnen organisaties, benadrukt Leidwinger. “Natuurlijk is voorlichting belangrijk om te zorgen dat iedereen de bedreigingen kent die er zijn. Maar kwetsbaarheden kunnen we vooral verminderen door te voorkomen dat werknemers onbedoeld risico’s nemen.”
Balans zoeken
RES ONE Security kent drie onderdelen: selfservice, automatisering en beveiliging. Leidwinger: “Het begint ermee om werknemers te ondersteunen met alle zaken die ze nodig hebben om hun werk goed te doen. Als werknemers goed ondersteund worden, wordt de kans dat ze zelf work-arounds gaan zoeken in bijvoorbeeld onbeveiligde applicaties aanzienlijk verminderd. Zo kunnen werknemers via selfservice ook applicaties aanvragen die automatisch kunnen worden geleverd. Daarnaast is het belangrijk om te zorgen dat security contextbewust is. Denk aan de mogelijkheden om documenten via een beveiligde verbinding te printen. Als die er niet is, bestaat het risico dat hackers er toegang toe krijgen. RES ONE Security kan er bijvoorbeeld voor zorgen dat documenten alleen geprint kunnen worden als er een beveiligde verbinding is.”
Levert dat geregel CISO’s en hun collega’s niet heel veel werk op? Door de automatiseringsprocessen in RES ONE Security wordt dit voorkomen, stelt Leidwinger. “We zorgen voor een workflow en een beveiligingsbeleid, zodat werknemers op basis van hun rol en identiteit automatisch toegang krijgen tot bepaalde producten, diensten en applicaties. De beveiligingsstrategie wordt daardoor tijdsefficiënter, sneller en consistenter uitgevoerd. Zo kunnen applicaties of toegangsrechten automatisch herroepen worden wanneer een werknemer de organisatie verlaat. Tegelijkertijd kan de CISO adequaat toezicht houden op de naleving van securitymaatregelen.”
Toegang
Risico’s en kwetsbaarheden kunnen het beste worden tegengegaan door de IT-dienstverlening optimaal af te stemmen op de behoeften van de werkvloer, zo is de overtuiging van RES. “We zoeken de balans tussen het beveiligen van werkplekken en het empoweren van de werkvloer. Onze aanpak gaat dan ook niet zozeer over het verbeteren van security als over de vraag: hoe gebruiken werknemers IT-apparatuur en wat hebben ze nodig om veilig hun werk te doen? Door werknemers toegang te geven tot de producten die ze nodig hebben, verklein je de kans dat ze risicovolle producten gebruiken. De meeste IT-gebruikers hebben geen kwade zin – ze willen gewoon hun werk doen.”
Zorgen voor veiligheid zonder de business drivers uit het oog te verliezen.
De CISO vervult een spilfunctie in dit proces. Want in een tijdperk waarin flexibel personeel digitaal, mobiel en in de cloud werkt, is de IT-afdeling gefocust op het regelen van toegang tot systemen, applicaties en programma’s. De CISO staat dan voor de opgave om de risico’s van open access tegen te gaan. Of, zoals Leidwinger het samenvat: “Zorgen voor veiligheid zonder de business drivers uit het oog te verliezen.”
Omzeilen of versterken
De zoektocht naar de balans tussen de beveiliging van de organisatie en de productiviteit van de werknemers is relatief nieuw, signaleert Leidwinger. “Hoewel we wereldwijd al meer dan 2700 klanten bedienen, bieden we met RES ONE Security echt een nieuwe benadering. Externe cyberdreigingen worden steeds ingrijpender en hackers worden steeds slimmer, dus ook organisaties moeten doortastender worden in hun securitybeleid. RES ONE Security is bedoeld om razendsnel een positieve impact te hebben op de securityomgeving én de gebruikerservaringen. We kunnen het systeem in acht tot twaalf weken operationeel hebben. En dat is maar goed ook, want met security kan je niet drie jaar of zelfs maar drie maanden wachten.”
Angst
“CISO’s doen er goed aan om in de boardroom niet te veel te spreken over risico’s en bedreigingen. Want dan ontstaat een sfeer van negativiteit en angst, terwijl het management idealiter acteert vanuit business opportunities en innovatiekracht”, adviseert Leidwinger. “Wat CISO’s beter kunnen doen, is aangeven welke preventieve maatregelen er kunnen worden genomen ter ondersteuning van de bedrijfsvoering.”
Gebeurt dat nu al op grote schaal? RES ziet twee kampen. “Veel organisaties onderschatten de risico’s; ze denken dat ze wel voldoende maatregelen nemen of toch geen doelwit zullen worden. Aan de andere kant van het spectrum overheerst de angst. Daardoor bestaat de neiging om systemen volledig dicht te beveiligen. En dat gaat ten koste van een efficiënte bedrijfsvoering: personeel gaat dan eerder proberen beveiliging te omzeilen dan te versterken. Gelukkig erkent een aantal vooruitstrevende bedrijven en instellingen inmiddels dat security een kwestie is die iedereen aangaat – en het zakendoen echt kan ondersteunen in plaats van hinderen.”
> Lees ook 6 technologische innovaties van de toekomst