Bestuurscolumn - Informatiebeveiliging heeft een proces van continu verbeteren nodig!

Door Henk de Ruiter 15 dec 2022

Wat een jaar hebben we weer gehad. De crisissen volgden elkaar op, van covid naar de oorlog in Oekraïne, naar de energie- en inflatiecrisis als gevolg van enerzijds de oorlog maar ook dat we helemaal ‘los’ gingen na de lockdownperiode. En nu ondervinden we weer de eerste signalen van een volgende covidbesmettingsgolf.
Kortom: de toekomst is steeds moeilijker te voorspellen. En het is steeds onduidelijker wat je nu precies moet doen om ‘voldoende’ weerbaar te zijn op security- en privacyvlak én te blijven in deze veranderende wereld.

Als achtergrond voor degenen die mij (helemaal) niet kennen: ik maak al meer dan negen jaar deel uit van het PvIB-bestuur als penningmeester. Dat laatste betekent niet dat ik op jullie geld zit. Aan de ene kant gaat het om (on)kosten in de gaten te houden zodat het geld juist en effectief wordt besteed. Anderzijds draag ik er zorg voor dat we als vereniging mooie, interessante en nuttige zaken voor en met jullie kunnen doen. Ook andere bestuursleden hebben het al gezegd: wij zijn bijzonder geïnteresseerd in hoe jullie ervaren wat wij als vereniging doen of wat we eigenlijk (nog meer of anders) zouden moeten doen. Vooral hoe we jullie nog beter kunnen laten groeien in ons vakgebied. Want dat is en blijft hard nodig.

Naast mijn PvIB-activiteit ben ik als Trusted Advisor Cybersecurity vanuit Sogeti betrokken bij complexe en inspirerende verbetertrajecten op het vlak van GRC (Governance, Risk & Compliance). Bij deze activiteiten word ik vaak betrokken bij projecten die nodig zijn om een organisatie op het vlak van informatiebeveiliging on-par te krijgen. Gezien het steeds veranderende landschap (zoals naleving van regelgeving, interne aanpassingen en externe bedreigingen), moet er prioriteit gegeven worden aan hiaten vanuit het perspectief van bedrijfsrisico's. Mijn visie is dat het hebben van een robuust beveiligingsmodel niet betekent dat alle hiaten direct en tegelijk moeten worden aangepakt. Ja natuurlijk moet er nagedacht en gewerkt worden aan een securityvisie en -strategie. Echter voor de korte termijn: wees eerst maar eens bewust onbekwaam en richt je bij de volgende stappen op wat nú nodig is binnen een continu verbeterproces. Oftewel: maak de eerste stappen richting het gewenste volwassenheidsniveau. Het begint met het inschatten van het dreigingslandschap en het bepalen van de urgentie. Integreer securityassessments in elke fase waardoor de cultuur van continu verbeteren wordt verankerd. Het volwassenheidsniveau bereiken is immers niet genoeg – het beheren en behouden van volwassenheid op het gebied van beveiliging is de échte uitdaging.

Om bovenstaande mogelijk te maken zijn jullie hard nodig. Maar dan wel met elkaar. Wij zijn een gigantische denktank voor onszelf, voor de organisaties waarvoor we werken, alsook voor de (Nederlandse) bevolking die dagelijks geconfronteerd wordt met de cybersecurity-angsten en -aanvallen. Volg de online en of fysieke sessies en voeg jouw ervaringen en meningen toe om onze gezamenlijke toegevoegde waarde nog groter te maken. Tot snel!

Henk de Ruiter, penningmeester@pvib.nl