Security is ieders verantwoordelijkheid en stopt nooit

Is cybersecurity enkel een kwestie van goede firewalls en de juiste antivirussoftware? Allerminst. Het gaat evenzeer over het overtuigen en responsabiliseren van mensen en het finetunen van interne processen. Kortom: goede security is “security by design”.

Smals, de ICT-organisatie van talrijke instellingen uit de sociale zekerheid en de gezondheidszorg, is overtuigd van die aanpak. “Security is een onderdeel van systeemdenken in de breedste zin van het woord”, zegt Dirk Deridder, directeur Infrastructuur en Operaties. “Het gaat over veel meer dan servers en software, het gaat ook over mensen en de manier waarop die werken. En zeker niet enkel de pure IT-medewerkers, maar ook over de mensen aan de business-kant. Security is een verantwoordelijkheid van iedereen.”

De processen die in een organisatie lopen, de discipline waarmee die uitgevoerd worden en de proactieve aandacht van medewerkers vormen immers een cruciaal onderdeel van een adequaat veiligheidsbeleid, argumenteert Kurt Maekelberghe, verantwoordelijke van de dienst Informatieveiligheid. “En dat begint al bij de eerste stappen wanneer we een nieuwe dienst of applicatie ontwikkelen. Wat is er precies nodig en hoe kunnen we dat zo veilig mogelijk realiseren? We willen uiteraard dat de applicatie zo goed mogelijk werkt, maar tegelijk ook het risico zo klein mogelijk houden. Natuurlijk zijn daar software-architecten en ontwikkelaars bij betrokken, maar evengoed operationele mensen. IT en business moeten samen aan hetzelfde zeel trekken, als een multidisciplinair team.”

Meer zelfs: kennis en best practices worden binnen dezelfde organisatie gedeeld, maar ook tussen instellingen en bedrijven onderling. “Er is geen concurrentie in cybersecurity”, zegt Maekelberghe. “We moeten zo veel mogelijk samenwerken om informatie te delen, omdat we allemaal in het vizier lopen. Grote organisaties, inclusief de onze, worden nu constant besnuffeld en aangevallen door hackers, elke dag. Het stopt nooit. Wij moeten dus ook zo snel mogelijk en voortdurend op de hoogte blijven van bijvoorbeeld nieuwe aanvalsgolven of software-updates die ons kunnen beschermen. Vroeger deed je zo’n update eens om de maand of zo. Dat kan je je vandaag niet meer permitteren.”

Een uitdaging daarbij is dat cybersecurity iets “onzichtbaar” is. Dat maakt het weinig tastbaar voor medewerkers. Deridder: “Als cybersecurity zijn werk doet, merk je er niks van. We moeten medewerkers dus voortdurend wijzen op de juiste handelingen die ze moeten stellen om de securitymaatregelen te ondersteunen. Zodat ze weten dat ze bepaalde websites moeten vermijden, niet op phishingpogingen mogen ingaan en niet zomaar informatie mogen delen. Daar komt dus een stukje opleiding en sensibilisering bij kijken. In klare en eenvoudige taal, zodat iedereen perfect weet wat de verwachtingen zijn.”

Op die manier wordt een organisatie een soort organisme dat voortdurend leert en zichzelf constant bijspijkert, aldus Maekelberghe. “Alles wat we zien en alles wat we doen, is de basis voor een volgende keer. Security stopt nooit, het is voortdurend jezelf verbeteren en profiteren van voortschrijdend inzicht. Daarom zijn we ook continu op zoek naar nieuwe expertise in diverse infrastructuurdomeinen: specialisten in cybersecurity, DPO’s, projectmanagers en teamleaders, network engineers, system engineers, database administrators…”