Security houdt niet op bij de eigen voordeur. “Je bent voor je security ook afhankelijk van de veiligheid van je partners”, zegt Hans Buurman, EVP Integration bij KPN. In de nieuwste editie van KPN’s Cyber Security Perspectives delen meerdere cybersecurityexperts hun visie over hoe we Nederland samen cyberveiliger kunnen maken.
Het jaarlijkse magazine van KPN Security belicht de laatste ontwikkelingen op het gebied van cybersecurity. Dit jaar is het overkoepelende thema de maatschappelijke relevantie van cybersecurity, en de belangrijke rol die ondernemend Nederland speelt bij het versterken van de veiligheid van onze samenleving.
Volgens Artie Debidien, Chief Information Officer en Executive Vice President bij KPN, moet er meer aandacht komen voor die maatschappelijke relevantie. “Want door ‘goed te doen’ maken securityprofessionals Nederland veiliger en het leven beter”, zo stelt ze in het coverartikel. “Doing well by doing good. Maar wat is dat, ‘doing good’?”
Begint bij samenwerken
De vraag die Debidien opwerpt, wordt in het magazine door meerdere vooraanstaande securityexperts beantwoord. We lichten er enkele voorbeelden uit:
1. Bouw aan je relaties
“Doing good begint bij samenwerking en het opbouwen van contacten en relaties,
zoals met overheden en toezichthouders”, stelt Debidien. “Hoe meer organisaties en mensen met elkaar samenwerken vanuit een maatschappelijke doelstelling, hoe veiliger Nederland wordt op het gebied van cybersecurity. Iedereen heeft elkaar nodig.”
“Ga met je IT-dienstenleverancier praten over hoe je de bescherming tegen aanvallen beter op orde krijgt. En zoek bijvoorbeeld aansluiting bij een samenwerkingsverband of brancheorganisatie”, zo luidt het advies van Michel Verhagen, manager van het Digital Trust Center (DTC). “Er zijn best veel partijen die hun kennis willen delen. Vertrouw op elkaar, en op het feit dat je elkaar kunt helpen.”
2. Help je peers
Voor het delen van kennis initieert ASML ‘Circles of Trust’, bijvoorbeeld met de belangrijkste toeleveranciers. De chipmachinefabrikant helpt de deelnemers om de security op orde te krijgen - onder andere door kennis, informatie en best practices te delen - en gaat bij een aanval naast ze zitten.
“Bij je toeleveranciers heb je te maken met peers, met collega-securityprofessionals. Die moet je helpen om de security op orde te krijgen”, aldus Aernout Reijmer, CISO van ASML.
3. Kijk buiten de eigen kaders
Doing good is ook de juiste hulp zoeken, bijvoorbeeld bij het verhogen van de securityawareness. “We zijn voorgeprogrammeerd om slachtoffer te worden van cyberhacking”, stelt Margriet Sitskoorn, neuropsycholoog en hoogleraar Klinische Neuropsychologie aan de Universiteit van Tilburg. Gelukkig is die programmering ook te doorbreken. “Maar daarvoor is tijd nodig, training en de hulp van mensen die verstand hebben van de relatie tussen hersenen en gedrag.”
Dr. Rick van der Kleij, securityonderzoeker bij TNO, pleit zelfs voor een nieuwe rol binnen cybersecurity. Een die de menselijke factor serieus meeweegt in het socio-technische securitysysteem, en die mensen begeleidt naar veiliger gedrag. “Belangrijk is om die rol weg te houden bij IT’ers, want het vertrekpunt is niet technologie. In plaats daarvan ligt hier een grote kans voor psychologen en gedragsexperts.”
4. Oefen samen
Een manier om elkaar te helpen, is door samen te oefenen en van elkaar te leren. Dan kan bijvoorbeeld binnen grootschalige cyberoefeningen zoals ISIDOOR waaraan vooral organisaties deelnemen die onderdeel zijn van de Rijksoverheid of actief zijn binnen de vitale infrastructuur. Maar ook red teaming en purple teaming kunnen samen met partners worden opgepakt.
Volgens Mimoent Haddouti, CISO Rabobank, zorgt purple teaming in ieder geval voor meer awareness binnen de eigen organisatie. “Waar red teaming zonder medeweten van medewerkers gebeurt, gaan we bij purple teaming juist samen aan de slag. Bijvoorbeeld door te kijken waar zwakke plekken zitten en hoe die eventueel veiliger kunnen. Zo zien medewerkers direct waar verbeteringen in hun gedrag mogelijk zijn.”
5. Zet security op de eerste plaats
Alle diensten die je afneemt, van welke provider dan ook, moeten in de kern veilig zijn. KPN noemt dit ‘security first’. En dat principe hoeft zich volgens Hans Buurman zeker niet te beperken tot IT- en technologiepartners. “Security moet in het DNA zitten van alle partners waar je mee samenwerkt.”
“Vanuit KPN zien we ‘security first’ dan ook als een belangrijke pilaar van maatschappelijk verantwoord ondernemen”, aldus Buurman. “Een pilaar die we samen met onze partners realiseren.”
Security in het ESG-framework
“Voor weerbaarheid in de keten moet je investeren in elkaar, binnen en buiten je eigen organisatie”, concludeert Debidien. “Je moet verbindingen aangaan met andere marktpartijen in je keten, zelfs met concurrenten binnen je eigen sector. Je moet iets willen doen, zonder er iets terug voor te vragen of te krijgen. Tijd om cybersecurity in het ESG-raamwerk op te nemen, onder de ‘S’ van Social.”
Samen maken we Nederland veiliger
KPN Security voelt het als zijn maatschappelijke verantwoordelijkheid om organisaties op de hoogte te stellen van de meest essentiële ontwikkelingen op het gebied van cybersecurity. Om die reden is Cyber Security Perspectives voor iedereen gratis te downloaden.
Download magazineWil jij weten wat er speelt in de wereld van cybersecurity? Meld je dan nu aan voor NLSecure[ID].
