Hoeveel prioriteit krijgt security binnen jouw organisatie? Bij veel bedrijven wordt security gezien als een verantwoordelijkheid die alleen bij IT ligt. Dat is onterecht, vindt cybersecurity-expert Pelle Aardewerk. Medewerkers zijn vaak de zwakste schakel op het gebied van beveiliging. Hij stelt dat ook andere afdelingen binnen een bedrijf kunnen profiteren van focus op beveiliging. Zo biedt security concrete kansen voor groei.
Dit is het eerste artikel van onze reeks over de businesscase van goede security. In dit eerste artikel ontdek je welke kansen security biedt aan de hele organisatie. In het tweede artikel leggen we uit hoe geldbesparend en productiviteitsverhogend focus op security kan zijn. Het derde artikel gaat over hoe je de directie overtuigt prioriteit te geven aan cybersecurity.
Een gedeelde verantwoordelijkheid zorgt voor security kansen
“Elke medewerker binnen een bedrijf kan een cyberincident veroorzaken, daarom zijn securitymaatregelen relevant voor iedereen”, legt Pelle uit. “Wel heeft iedere afdeling eigen soorten risico’s, afhankelijk van hun systemen, processen, data, het gedrag van werknemers, vendoren en technologie.”
Let op: “De risico’s veranderen ook constant, bijvoorbeeld wanneer er nieuwe initiatieven worden geïnitieerd”, vertelt Pelle.
Breng de risico’s in kaart
Volgens Pelle is het belangrijk om bij elk initiatief eerst in kaart te brengen wat de veiligheidsrisico’s zijn. Welke security kansen zijn er per afdeling? “Vaak wordt nu achteraf bekeken wat voor impact bepaalde keuzes hebben. Wanneer je er dan achter komt dat dit niet veilig en/of compliant is, kost dit onnodig geld.”
Hij legt uit dat het beter is om van tevoren een security risk assessment te doen en oplossingen secure by design te bouwen. “De kosten vallen dan ook onder het project zelf.”
Security kansen per afdeling
Meer aandacht voor security biedt kansen die verder gaan dan het voorkomen van cyberaanvallen. In dit artikel bespreken we de uitdagingen en kansen per afdeling. “Het is belangrijk om voor elke afdeling een eigen risicoprofiel te onderscheiden”, stelt Pelle. “Zo weet je precies waar welke risico’s liggen.”
HR-afdeling
Het eerste voorbeeld is de HR-afdeling. Deze afdeling verwerkt veel data van werknemers en sollicitanten. Er liggen dan ook veel securitykansen. “Deze data moet erg goed beschermd worden, dit is namelijk privacygevoelig.”
Doe je dat niet? Een datalek levert een enorme kostenpost en imagoschade op. Daarnaast kun je boetes krijgen in het kader van de GDPR (privacywetgeving). Het is dan voordeliger om secure by design te werk te gaan.
Ontdek wat er op het gebied van cybersecurity fout kan gaan bij medewerkers.
Ook krijgt de HR-afdeling te maken met securitykansen op het gebied van hybride werken. “Deze manier van werken is voor veel mensen ontzettend fijn. Ze worden er productiever van en de employee experience verbetert doordat ze met allerlei handige tools op verschillende plekken kunnen werken”, vertelt Pelle.
“Tegelijkertijd wil je zorgen dat deze mensen veilig werken, en dat alle benodigde systemen en data voor hen beschikbaar zijn. Ook wil je dat mensen zich kunnen focussen op hun werk, en geen privézaken op hun werkdevices doen.”
De businesscase van goede security: overtuig je directie
Wil je als IT-manager graag genoeg geld en aandacht voor security binnen je bedrijf, maar weet je niet goed hoe je dit aan moet pakken? In dit document lees je hoe je de directie kunt overtuigen met een ijzersterke businesscase.
Security kansen voor sales en marketing
Deze afdelingen verwerken vaak ook veel data, maar dan van klanten en partners. Hier gebruiken ze verschillende analyse- en marketingtools voor. “Die zijn heel handig, maar niet altijd even veilig”, stelt Pelle.
Shadow-IT is binnen veel organisaties een groot probleem. Dit speelt bij sales- en marketing-teams, maar ook bij andere afdelingen. “Veel medewerkers hebben de mogelijkheden om zelf apps te downloaden en goedkope SaaS-oplossingen aan te schaffen.” Wanneer deze niet goedgekeurd zijn door IT, kan dit grote gevolgen hebben voor de veiligheid.
Pelle stelt dat afdelingen zelf verantwoordelijk zijn om maatregelen te nemen tegen dit soort praktijken en het veiligere bedrijfs- en IT-beleid te volgen. “In de praktijk zien we hier veel incidenten mee gebeuren. Grote bedrijven krijgen grote boetes omdat ze privacyregels overtreden.”
Facilitaire afdeling
De facilitaire afdeling gaat over toegang tot gebouwen en bezittingen. Denk hierbij bijvoorbeeld aan sleutels en passen. Het gaat hierbij dus niet direct om cybercrime, maar om het voorkomen dat onbevoegde personen bij bedrijfseigendommen komen.
“Het is heel belangrijk dat deze afdeling bijhoudt welke medewerker welke toegang krijgt. Dit kan indien nodig ook tijdig worden ingetrokken”, legt Pelle uit.
IT- en cybersecurity-afdeling
Uiteraard hebben ook de IT- en cybersecurity-afdeling een grote rol om cybercrime te voorkomen. Zij houden zich bijvoorbeeld bezig met autorisatie voor verschillende (mobiele) devices. “Wie toegang krijgt tot welke systemen heeft een grote invloed op de beveiliging.”
Door een helder securitybeleid op te stellen, medewerkers te trainen en technische oplossingen in te zetten (zoals Sure Click Enterprise), kunnen deze afdelingen aanvallen met ransomware en malware voorkomen. Ook zorgen zij dat de organisatie voldoet aan allerlei regelgeving, zoals de GDPR, NIS2 en Cyber Resilience Act.
Gezamenlijke security kansen voor verschillende afdelingen
In sommige gevallen zijn meerdere afdelingen betrokken bij dezelfde securityuitdaging. “Dat is bijvoorbeeld bij joiners, movers en leavers”, vertelt Pelle. Dat zijn nieuwe medewerkers, mensen die naar een andere afdeling gaan en vertrekkende personeelsleden.
“De manager van het team speelt hier een rol, maar ook de HR-, facilitair- IT- en cybersecurity-afdeling. Allemaal hebben ze een bepaalde rol om te spelen waardoor deze persoon de juiste toegang heeft (of geen toegang). Het draait om goed beleid en communiceren.”
Communicatie en security by design
De directie van een bedrijf zal het belang van cybersecurity, de risico’s en maatregelen duidelijk moeten communiceren binnen de organisatie. Alleen zo kan veilig gedrag van afdelingen en medewerkers worden verhoogd.
Wanneer alle afdelingen bij nieuwe initiatieven de focus leggen op security by design, kunnen de bedrijfsdoelstellingen op een veilige manier worden gehaald, zonder dat dit de beleving en productiviteit in de weg zit.
Lees ook:
- Goed security beleid: geldbesparend en producitiviteitsverhogend
- Overtuigen voor IT: zo krijgt security beleid prioriteit
- Longread: De businesscase van goede security: overtuig je directie
Altijd op de hoogte zijn? Meld je aan voor de nieuwsbrief
Het platform Ik Wil Mobiel Werken stuurt jou elke 2 weken een overzicht van de nieuwste ontwikkelingen. Wil jij geen nieuwe artikelen missen? Meld je dan nu aan.
