European Media Partner

Weerbaarheid van organisaties nog onderbelicht

Toenemende complexiteit vereist een hoog weerbaarheidsniveau van organisaties in het samenspel van de mens en zijn gedigitaliseerde systemen. 

Nederlandse ondernemers hebben een zekere reputatie hoog te houden als het aankomt op internationaal zakendoen. Bovendien combineert ons land dat met een flinke dosis kennisintensieve dimensies. Door aanscherping van wet- en regelgeving, problematiek rond fraude, wijzigende inzichten rond fiscale integriteit, handelssancties en exportcontroles is de internationale omgeving waarin Nederlandse ondernemers opereren een stuk complexer geworden. 


Deze toenemende complexiteit geldt ook voor de eigen organisatie. The Internet of Things is onderhand een ingeburgerde term om duidelijk te maken dat ‘alle’ apparatuur aan internet hangt. “De digitale snelweg zit propvol en het wordt tijd dat we stoplichten en verkeersborden aanbrengen”, zegt cybersecurity-specialist Rien Hommes. Prachtige beeldspraak. Wat hij daarmee wil zeggen, is dat het bedrijfsleven toe is aan de volgende securitystap.


“Toe nu toe was het securitykompas gericht op drie factoren. Namelijk vertrouwelijk, juist en beschikbaar. Dat waren de kernwaarden bij uitwisseling van informatie. Daar komt nu een vierde component bij: weerbaarheid. Of, zoals dat in het Engels zo mooi heet: resilience”, licht Hommes verder toe. Resilience ziet hij als essentiële voorwaarde om als organisatie te overleven en te blijven groeien.


Naar de praktijk toe vertaald, heeft dat bijvoorbeeld gevolgen voor toegangscontrole. Dat is veelal geen kwestie meer van een mechanisch slot, maar van een digitaal gestuurde oplossing. Stel je wordt gehackt: dan kan ook de toegangsbeveiliging wegvallen. “Resilience gaat bijvoorbeeld om de vraag of je voldoende weerbaarheid toont om daarop te anticiperen. Wat als de beveiliging wordt aangevallen? Krijg je een melding? Word je actief beschermd? Resilience is een heel nieuwe dimensie in het securityvraagstuk.”


Omdat internet onmisbaar is geworden in de samenleving, zijn de normen die dat in goede banen moeten leiden niet alleen technisch van aard, maar kent dat vraagstuk ook organisatorische en juridische componenten. Die verantwoordelijkheid wordt niet alleen opgepakt door het bedrijfsleven, maar ook door de overheid, met regelgeving en handhaving. Op dit moment, vertelt Hommes, krijgt de inrichting van digitale identificatie veel aandacht. Dus eigenlijk een soort digitaal paspoort dat overal geldig is en aan strenge security- en privacyregels moet voldoen. 


Het uiteindelijke niveau van resilience is afhankelijk van de mens achter de systemen. “Technische oplossingen of aanvullende wet- en regelgeving zijn niet de alomvattende oplossing. De menselijke factor bepaalt uiteindelijk het succes van de aanpak, maar vormt tegelijkertijd ook het grootste risico,” zegt Marlène Jans. Zij is, naast haar collega Hommes, specialist op het gebied van compliancevraagstukken met focus op integriteit, gedrag en cultuur. De kwaliteit van die menselijke factor is in deze context volledig afhankelijk van integriteit. “Een integere organisatie vereist onder meer een integer bestuur en medewerkers, transparante en verantwoorde producten, diensten en afzetkanalen, maar ook integere klanten en andere belanghebbenden zoals leveranciers. Dat heeft niet zozeer van doen met het uitvaardigen van nog meer regels, maar veel meer met het stimuleren van een verantwoorde en betrouwbare bedrijfsvoering, liefst in de gehele bedrijfsketen. Het succes daarvan wordt bepaald door onder meer goed voorbeeldgedrag, transparantie en ruimte voor tegenspraak, en het leren van gemaakte fouten. Juist in schroomloze discussie kan evenwichtige besluitvorming zich ontwikkelen.”


Het inrichten van een dergelijke robuuste, weerbare organisatie gaat duidelijk verder dan het voorkomen van een inbreuk op de naleving van wet- en regelgeving. Wie zijn aandacht beperkt tot reparatie daarvan, blijft aan de oppervlakte hangen, op het niveau van symptoombestrijding. En dan loop je achter de feiten aan. “Onderzoek naar de reden waarom dit gedrag wordt vertoond, zeg maar naar het risico achter het risico, maakt de echte grondoorzaak inzichtelijk. Ingrijpen op dat niveau helpt om herhaling en dus veel misère te voorkomen, en een robuuste, weerbare organisatie te bouwen”, aldus Jans.

Feit

Meldingen van cybersecurity-tools krijgen lang niet genoeg aandacht. Zelfs minder dan veertig procent van security-professionals meldt dat vrijwel alle meldingen naar behoren worden bekeken en afgehandeld. Een derde van de specialisten constateert echter dat nog niet de helft van de meldingen voldoende aandacht krijgt, blijkt uit een recente rondgang onder security-specialisten.

Delen

Journalist

Hugo Schrameyer

Related articles