image

Cyber Security Raad: datalekken horen bij directie thuis

maandag 21 april 2014, 11:40 door Redactie, 9 reacties

Ongeacht de reikwijdte van de meldplicht datalekken hoort elk datalek bij de directie thuis. Dat stelt de Cyber Security Raad, een strategisch adviesorgaan van het kabinet, naar aanleiding van berichtgeving over de verplichting voor bedrijven om digitale inbraken te melden.

Bedrijven zouden straks verplicht worden om in het geval van datalekken met ernstige gevolgen getroffen gebruikers in te lichten. Voor het voorkomen van datalekken zijn er operationele IT-standaarden, zoals ISO 27001. Deze standaarden richten zich met name op technische maatregelen in organisaties om cyber security te borgen, waardoor het voornamelijk als een IT-aangelegenheid wordt gezien.

"Maar dat is al lang niet meer genoeg. Op strategisch niveau is voor dit thema meer aandacht en samenhang nodig, zodat datalekken worden voorkomen in plaats van gemeld", stelt de Raad. Daarom moeten datalekken ook aandacht van de directie krijgen.

Kwaliteitsnorm

Omdat het aantal cyberincidenten en de impact daarvan blijven stijgen dringt de Cyber Security Raad er bij het bedrijfsleven op aan om strategische kwaliteitsnormen in te zetten om het algehele niveau van cyber security te verhogen, zowel operationeel als strategisch. Met name de nieuwe Europese standaard PAS 555 krijgt daarbij de voorkeur.

De Raad stelt dat er diverse standaarden zijn, zoals een aantal ISO-normen en good practises, die helpen bij het borgen van cyber security in organisaties. "Maar dat is op operationeel niveau en met name gericht op technische maatregelen", waarschuwt de Raad. "Effectieve cyber security kan alleen bereikt worden als de complete bedrijfsvoering gericht is op het voorkomen van cyberincidenten. Cyber security is dus niet alleen een IT-probleem."

In tegenstelling tot de operationele standaarden zou de vorig jaar gepubliceerde en uit Engeland afkomstige PAS 555 standaard al deze onderwerpen beslaan. "Daarmee is het een goede norm voor een brede aanpak van cyber security", aldus de Raad.

Reacties (9)
21-04-2014, 15:25 door KakHark - Bijgewerkt: 21-04-2014, 15:25
Cybersecurity is in de regel een discipline, waar met regelmaat behoorlijk laks mee omgegaan wordt.
21-04-2014, 15:53 door Anoniem
...'zodat datalekken worden voorkomen in plaats van gemeld.'

Heel subtiel.
21-04-2014, 19:21 door Anoniem
Zo heb ik eens van een CEO voor wie(ns bedrijf) ik de IT deed mogen horen dat hij dat met security maar niks en zeker ook niet belangrijk vond. In die zin mogen directies zich wel wat meer over security (en ook privacy, hallo markiemark) druk maken.

Punt is wel dat met standaarden en specificaties en meer van dattem zwaaien wel leuk is voor de bureaucraten maar daardoor juist makkelijker als onnodige kostenpost weggezet wordt. De vraag wordt dan of je de kosten voor alweer een compliance-vinkje ook dragen wil of dat dit zoveelste onduidelijke ISO nummer te negeren is.

Dat is nou niet echt een positie waar je als bedrijf of als klant van dat bedrijf beter van wordt. Nummertjesconsulenten weer wel, maar qua medeleven zijn dat een soort belastinginspecteurs.
21-04-2014, 23:21 door Anoniem
Volgens mij heeft de Raad de ISO 27001 standard niet zo goed gelezen en/of begrepen
22-04-2014, 08:56 door Anoniem
Ik heb vanochtend (voor 8:30) de site van Cyber Security Raad doorzocht en geconcludeerd dat ik ofwel niet kan zoeken ofwel hierover staat (nog) niets op hun site. Dat kan natuurlijk, omdat gisteren 2e Paasdag is en wie werkt er dan?

Ik ben het met de eerdere 'Anoniem' eens dat als het bericht klopt, de Raad geen idee heeft van wat er in de ISO 27001 staat en wat daarmee wordt bedoeld. De standaard beschrijft 'Information Security Management Systems - Requirements' en requirements zijn geen 'technische maatregelen'.

Voorts is PAS 555 helemaal geen "Europese standaard", maar een Britse standaard (zie http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030261972). De titel hiervan: "Cyber security risk. Governance and management. Specification", is veelzeggend, vooral dat laatste woord. De 10 minuten die ik heb besteed om de PAS 555 te bekijken volstonden voor mij om vast te stellen dat het inderdaad een soort specificatie, een soort samenvatting van de ISO 27001 is. Het lijkt me daarom stug dat door het toepassen hiervan datalekken ineens op de bestuurstafel zouden komen.

Het zou mooi zijn als security.nl wat betere bronvermelding zou bezigen zodat we konden zien wie er nou minder van de zaak afweet: zij of het NCSC.
22-04-2014, 09:13 door fransdb
Door Anoniem: Volgens mij heeft de Raad de ISO 27001 standard niet zo goed gelezen en/of begrepen

Zwaaien met normen die de Business niet aanspreken is altijd zinloos. ISO 2700x is merendeels technisch dus niet interresant voor de Business. Als je de Business wil meekrijgen moeten we niet blijven spreken over normen en zeker niet over informatiebeveiliging. Immers, de laatste heeft een technische bijsmaak, dus niet interresant voor......

Spreek business aan op risicomanagement. IB draagt slechts bij in de technische kant terwijl aandacht voor organisatorische informatieveiligheid 80-90% van de werkelijke oplossing is.
22-04-2014, 11:20 door Anoniem
Door fransdb:
Door Anoniem: Volgens mij heeft de Raad de ISO 27001 standard niet zo goed gelezen en/of begrepen

Spreek business aan op risicomanagement. IB draagt slechts bij in de technische kant terwijl aandacht voor organisatorische informatieveiligheid 80-90% van de werkelijke oplossing is.

Zie https://lijsten.forumstandaardisatie.nl/open-standaard/nen-isoiec-27001 voor een duidelijke uitleg: "... in het kader van de algemene bedrijfsrisico's voor de organisatie. ..."

André
22-04-2014, 13:13 door fransdb
Door fransdb:
Door Anoniem: Volgens mij heeft de Raad de ISO 27001 standard niet zo goed gelezen en/of begrepen

Zwaaien met normen die de Business niet aanspreken is altijd zinloos. ISO 2700x is merendeels technisch dus niet interresant voor de Business. Als je de Business wil meekrijgen moeten we niet blijven spreken over normen en zeker niet over informatiebeveiliging. Immers, de laatste heeft een technische bijsmaak, dus niet interresant voor......

Spreek business aan op risicomanagement. IB draagt slechts bij in de technische kant terwijl aandacht voor organisatorische informatieveiligheid 80-90% van de werkelijke oplossing is.

Excuus voor de typefoutjes.
22-04-2014, 14:18 door Anoniem
Door Anoniem:De 10 minuten die ik heb besteed om de PAS 555 te bekijken volstonden voor mij om vast te stellen dat het inderdaad een soort specificatie, een soort samenvatting van de ISO 27001 is. Het lijkt me daarom stug dat door het toepassen hiervan datalekken ineens op de bestuurstafel zouden komen.

Je geeft precies aan waarom datalekken op de bestuurstafel komen bij gebruik van PAS 555: 10 minuten.

Ergens langer aandacht aan besteden is onmogelijk op die tafel. Daarom is die samenvatting ook geschreven. Zodat ze in ieder geval weten dat er iets als ISO 270001 is.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.