Cyber Security Raad: datalekken horen bij directie thuis
Ongeacht de reikwijdte van de meldplicht datalekken hoort elk datalek bij de directie thuis. Dat stelt de Cyber Security Raad, een strategisch adviesorgaan van het kabinet, naar aanleiding van berichtgeving over de verplichting voor bedrijven om digitale inbraken te melden.
Bedrijven zouden straks verplicht worden om in het geval van datalekken met ernstige gevolgen getroffen gebruikers in te lichten. Voor het voorkomen van datalekken zijn er operationele IT-standaarden, zoals ISO 27001. Deze standaarden richten zich met name op technische maatregelen in organisaties om cyber security te borgen, waardoor het voornamelijk als een IT-aangelegenheid wordt gezien.
"Maar dat is al lang niet meer genoeg. Op strategisch niveau is voor dit thema meer aandacht en samenhang nodig, zodat datalekken worden voorkomen in plaats van gemeld", stelt de Raad. Daarom moeten datalekken ook aandacht van de directie krijgen.
Kwaliteitsnorm
Omdat het aantal cyberincidenten en de impact daarvan blijven stijgen dringt de Cyber Security Raad er bij het bedrijfsleven op aan om strategische kwaliteitsnormen in te zetten om het algehele niveau van cyber security te verhogen, zowel operationeel als strategisch. Met name de nieuwe Europese standaard PAS 555 krijgt daarbij de voorkeur.
De Raad stelt dat er diverse standaarden zijn, zoals een aantal ISO-normen en good practises, die helpen bij het borgen van cyber security in organisaties. "Maar dat is op operationeel niveau en met name gericht op technische maatregelen", waarschuwt de Raad. "Effectieve cyber security kan alleen bereikt worden als de complete bedrijfsvoering gericht is op het voorkomen van cyberincidenten. Cyber security is dus niet alleen een IT-probleem."
In tegenstelling tot de operationele standaarden zou de vorig jaar gepubliceerde en uit Engeland afkomstige PAS 555 standaard al deze onderwerpen beslaan. "Daarmee is het een goede norm voor een brede aanpak van cyber security", aldus de Raad.
Heel subtiel.
Punt is wel dat met standaarden en specificaties en meer van dattem zwaaien wel leuk is voor de bureaucraten maar daardoor juist makkelijker als onnodige kostenpost weggezet wordt. De vraag wordt dan of je de kosten voor alweer een compliance-vinkje ook dragen wil of dat dit zoveelste onduidelijke ISO nummer te negeren is.
Dat is nou niet echt een positie waar je als bedrijf of als klant van dat bedrijf beter van wordt. Nummertjesconsulenten weer wel, maar qua medeleven zijn dat een soort belastinginspecteurs.
Ik ben het met de eerdere 'Anoniem' eens dat als het bericht klopt, de Raad geen idee heeft van wat er in de ISO 27001 staat en wat daarmee wordt bedoeld. De standaard beschrijft 'Information Security Management Systems - Requirements' en requirements zijn geen 'technische maatregelen'.
Voorts is PAS 555 helemaal geen "Europese standaard", maar een Britse standaard (zie http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030261972). De titel hiervan: "Cyber security risk. Governance and management. Specification", is veelzeggend, vooral dat laatste woord. De 10 minuten die ik heb besteed om de PAS 555 te bekijken volstonden voor mij om vast te stellen dat het inderdaad een soort specificatie, een soort samenvatting van de ISO 27001 is. Het lijkt me daarom stug dat door het toepassen hiervan datalekken ineens op de bestuurstafel zouden komen.
Het zou mooi zijn als security.nl wat betere bronvermelding zou bezigen zodat we konden zien wie er nou minder van de zaak afweet: zij of het NCSC.
Zwaaien met normen die de Business niet aanspreken is altijd zinloos. ISO 2700x is merendeels technisch dus niet interresant voor de Business. Als je de Business wil meekrijgen moeten we niet blijven spreken over normen en zeker niet over informatiebeveiliging. Immers, de laatste heeft een technische bijsmaak, dus niet interresant voor......
Spreek business aan op risicomanagement. IB draagt slechts bij in de technische kant terwijl aandacht voor organisatorische informatieveiligheid 80-90% van de werkelijke oplossing is.
Spreek business aan op risicomanagement. IB draagt slechts bij in de technische kant terwijl aandacht voor organisatorische informatieveiligheid 80-90% van de werkelijke oplossing is.
Zie https://lijsten.forumstandaardisatie.nl/open-standaard/nen-isoiec-27001 voor een duidelijke uitleg: "... in het kader van de algemene bedrijfsrisico's voor de organisatie. ..."
André
Zwaaien met normen die de Business niet aanspreken is altijd zinloos. ISO 2700x is merendeels technisch dus niet interresant voor de Business. Als je de Business wil meekrijgen moeten we niet blijven spreken over normen en zeker niet over informatiebeveiliging. Immers, de laatste heeft een technische bijsmaak, dus niet interresant voor......
Spreek business aan op risicomanagement. IB draagt slechts bij in de technische kant terwijl aandacht voor organisatorische informatieveiligheid 80-90% van de werkelijke oplossing is.
Excuus voor de typefoutjes.
Je geeft precies aan waarom datalekken op de bestuurstafel komen bij gebruik van PAS 555: 10 minuten.
Ergens langer aandacht aan besteden is onmogelijk op die tafel. Daarom is die samenvatting ook geschreven. Zodat ze in ieder geval weten dat er iets als ISO 270001 is.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
