Onze visie

Surity onderscheidt zich van andere adviesbureaus door de bijzondere combinatie van (harde) technisch inhoudelijke en (zachte) veranderkundige expertise. Dit komt tot uiting in onze visie op informatiebeveiliging en onze aanpak van verbeterprojecten. Surity gelooft in bottom-up, participatie vanaf de werkvloer en pragmatische, proportionele oplossingen. Alleen dan is duurzame verandering mogelijk.

Informatiebeveiliging is niets nieuws. Al zolang mensen geheimen willen bewaren, proberen ze te voorkomen dat deze informatie in verkeerde handen valt. De Romeinse keizer Julius Caesar gebruikte al een primitieve vorm van versleuteling voor het versturen van geheime berichten aan zijn generaals. Het grote onderscheid met de huidige tijd is natuurlijk de enorme mate van digitalisering, waardoor de complexiteit sterk is toegenomen. Het invoeren of verbeteren van informatiebeveiliging is daarmee geen eenvoudige taak, zeker als het niet je ‘core business’ is.

De wereld is snel veranderd...

Grenzen tussen afdelingen, vestigingen, organisaties en landen vervagen steeds meer. Alles is tegenwoordig met elkaar verbonden. Vaak niet omdat het moet, maar omdat het kan. We nemen aan dat leveranciers en klanten hun beveiliging op orde hebben, maar is dat wel zo? Bij het bouwen van applicaties wordt nu steeds meer over “Security by design” gesproken, maar voor de meeste processen, procedures, organisaties en samenwerkingsverbanden geldt dat niet. We doen het gewoon zoals we het al tientallen jaren doen. Kan dat eigenlijk nog wel?

light-glass-lamp-idea Visie van Surity op informatiebeveiliging

Oorzaak van datalekken

0
Menselijke fout
0
Bewuste aanval
0%
Systeemfout
... en verandert eigenlijk steeds sneller

Nieuwe technologieën, (web)applicaties en gadgets volgen elkaar razendsnel op. Time-to-market is alles en daar past een gedegen ontwerp- en testproces over het algemeen niet bij. Bekend zijn natuurlijk de IoT-devices die achteraf eenvoudig te hacken bleken en waarmee vervolgens een groot botnet werd opgezet om DDOS-aanvallen te kunnen uitvoeren. Die dynamiek geldt ook voor het aantal kwetsbaarheden en bedreigingen. Om veilig te blijven, moet je als organisatie continu je informatiebeveiliging monitoren en kunnen bijsturen. Als je daar een volwassen proces voor hebt ingericht, is dit prima te doen en kun je de risico’s beperken. Helaas ontbreken dit soort processen veelal…

Van onbewust onbekwaam naar bewust onbekwaam

In veel organisaties is het beveiligingsbewustzijn betrekkelijk laag. “Wie wil ons nou hacken? Hier valt echt niets te halen…” lijkt een goede reden om jaren achter elkaar te weinig aan informatiebeveiliging te doen. Helaas eindigen dit soort verhalen vaak met ransomware, een virus of een artikel in de krant. Bij de meeste datalekken gaat het daarbij niet eens om een bewuste aanval, maar eerder om menselijke of systeemfouten. Na zo'n datalek is het voor de meeste mensen wel duidelijk dat het wel degelijk nut heeft om informatie te beveiligen. Gelukkig zijn er ook veel organisaties die informatiebeveiliging zonder incident serieus nemen. Vaak is er dan nog wel een inhaalslag nodig om het beveiligingsniveau op orde te krijgen.

Het bepalen van de inhaalslag

Het inrichten van een veilige omgeving is in deze digitale wereld niet eenvoudig. Gelukkig zijn er de afgelopen decennia vele ‘best practices’ uitgewerkt en in zogenaamde raamwerken verzameld. Deze raamwerken zijn zeer generiek en uitgebreid, waarmee ze overweldigend over kunnen komen. De moed zinkt een manager veelal in de schoenen bij het zien van de vele maatregelen die genomen dienen te worden. Dat moet natuurlijk voorkomen worden!

Risicogebaseerd en proportioneel

Bij het selecteren en implementeren van maatregelen hanteert Surity altijd de principes ‘risicogebaseerd’ en ‘proportioneel’. Dat klinkt wellicht wat vaag. In feite willen we zo snel mogelijk de grootste risico’s wegnemen en bepalen we dus de volgorde en oplostermijnen. Daarbij kijken we altijd naar de context van de organisatie: markt, diensten, producten, klanten, leveranciers, concurrenten, toezichthouders, medewerkers, interne cultuur, volwassenheid etc. Pas na een goede contextanalyse kun je iets zinnigs over de gelopen risico’s zeggen.

Veranderen gaat niet alleen over procedures en systemen

Ook strategie, structuur en met name de organisatiecultuur zullen mee moeten veranderen. Deze verandering zal in onderlinge samenhang moeten plaatsvinden, want een (grote) systeemverandering heeft geen nut zonder verandering in structuur of cultuur. Een dergelijke verandering vraagt veel van de medewerkers, maar het is de enige manier waarop langdurige resultaten gerealiseerd kunnen worden.

Daarnaast willen we daarbij zoveel mogelijk maatregelen selecteren die passen bij het gelopen risico, de huidige cultuur en het verandervermogen van de organisatie. Dat laatste geeft wel aan hoe belangrijk wij het creëren van draagvlak vinden. Draagvlak niet alleen bij het management, maar vooral ook bij de medewerkers die uiteindelijk met de maatregelen moeten werken.

Verandering realiseer je bottom-up

Wij geloven niet in het maken van grootse plannen die top-down worden ingevoerd. Natuurlijk zijn er organisaties waarvoor dat werkt, maar die hebben jarenlang hun medewerkers daarop geselecteerd en een interne cultuur gevormd waarbinnen dit kan. In de meeste organisaties levert een dergelijke formele, dwingende aanpak veel weerstand op en is de kans van slagen beperkt.

Begrip voor de verandering vormt een belangrijk uitgangspunt voor de manier waarop wij verbeteringen in een organisatie doorvoeren. Vaak vergeet men het achterliggende ‘waarom?’ te vertellen, terwijl dit juist het startpunt van het veranderproces zou moeten vormen. Zonder ‘waarom’ lijken nieuwe maatregelen vooral extra bureaucratie op te leveren. Bij ‘bottom-up’-verandering participeert de werkvloer bij het ontwerpen van de maatregelen. Surity ondersteunt hierbij door in workshops de problematiek te schetsen, het ‘waarom?’ uit te leggen en met best practices te helpen om tot pragmatische oplossingen te komen.

visie Visie van Surity op informatiebeveiliging

Daarbij is het altijd zoeken naar een oplossing die voldoet aan de inhoudelijk eisen die gesteld worden, maar ook past bij het ambitieniveau en het verandervermogen van de organisatie. Benieuwd op welke manier Surity jouw organisatie kan helpen? Bekijk dan onze diensten en neem contact met ons op!

­