Zorgorganisaties moeten door digitalisering steeds meer aandacht besteden aan cybersecurity om datalekken, ransomware en andere bedreigingen te voorkomen. Proactieve bescherming is essentieel voor de veiligheid van gegevens en de continuïteit van zorg.
De meeste bedrijven zijn er nog niet aan toe: het complete Zero Trust-framework voor cybersecurity in de volle breedte implementeren. Gelukkig is Zero Trust niet zo complex als gedacht en kan het ook gefaseerd worden uitgerold. Kleine aanpassingen kunnen al een grote uitwerking hebben. “Haal er gewoon je voordeel uit,” adviseert Frans Nijskens, cybersecurity-specialist bij Innervate.
Zero Trust – wat houd je tegen?
Er zijn heel wat vooroordelen die IT-managers ervan weerhouden om Zero Trust te introduceren binnen hun organisatie. Dat het om een ‘alles of niets-aanpak’ zou gaan, is zo’n misvatting. Terwijl je met Zero Trust juist heel nauwkeurig te werk kunt gaan, door focus te leggen op maatregelen die prioriteit hebben vanwege de risico’s of juist de voordelen die ze opleveren. Daarnaast kun je Zero Trust natuurlijk gefaseerd uitrollen.
Dit en andere vooroordelen hebben we uitgebreid getackeld in een vorige blog. Toch is er nog een andere reden waarom menig organisatie er niet mee begint: men is er nog niet klaar voor. Waarom? De basis is niet op orde .
Waarom je er gewoon mee moet beginnen
Cybersecurity-specialist Frans Nijskens benadrukt dat je gewoon met Zero Trust kunt beginnen. Hij adviseert organisaties wél om gelijktijdig top-down (Zero Trust) en bottom-up (Basis op Orde) aan de slag te gaan.
“Zero Trust begint met het opstellen van een visie. Doorgaans doet een (enterprise)architect dit met goedkeuring van het senior management. Het is belangrijk dat alle belanghebbenden op hetzelfde spoor zitten. Dan pas kun je denken in mogelijkheden, om deze vervolgens te implementeren.
Door als management een duidelijke visie uit te dragen, creëer je eenvoudiger draagkracht in de organisatie. Een belangrijk onderdeel van de Zero Trust-architectuur is dat het onderdeel wordt van je bedrijfscultuur. Hierdoor zullen mensen de veranderingen en maatregelen die ermee gepaard gaan sneller omarmen.”
(Dat dit soms een uitdaging zijn, las je al in een vorig artikel.)
Het omgekeerde verhaal
Basis op Orde is andersom geredeneerd. Dit bottom-up principe heeft als voordeel dat het effect sneller zichtbaar wordt.
Je begint met de vraag: wat is niet goed in de security en wil ik aangepast hebben? Verbeteringen worden bovenaf voorgesteld en afgestemd. Zo krijgt het bestuur, bijvoorbeeld, meer gevoel bij het thema security. Hierdoor krijg je de nodige steun om veranderingen door te voeren.
De sandwich-methode
Kortom – operationeel verbeteren terwijl je aan de bovenkant de visie vormgeeft. “Het voordeel is dat je veel sneller bij elkaar uitkomt”, zegt Frans. Je maakt optimaal gebruik van de wisselwerking tussen … en … Hiermee zorg je dat security in je organisatie wordt verankerd en belegd wordt bij de juiste mensen. Zo ben je op operationeel, tactisch en strategisch niveau bezig met security.
Als je dan toch moet kiezen
Door beide benaderingen tegelijk te gebruiken, krijg je een beter resultaat met een kortere doorlooptijd en acceptatie door de organisatie. Twijfel je toch of je daarvoor genoeg capaciteit hebt? Dan is Frans’ advies dwingend: “Zorg dat je de Basis op Orde hebt!”.
Hij vervolgt: het is wellicht een open deur – maar eigenlijk ben je daar al te laat mee. Met NIS2 op de nabije horizon moet je hier sowieso aan voldoen. Het wordt anders nagenoeg onmogelijk om je SOC/SIEM in te richten. Aan de slag, dus!
