Wat is een Cybersecurity strategie?


Wordpress logo
Man drawing on dry-erase board - Photo by Kaleidico on Unsplash.com

Wat is een strategie?


Als IT-Security consultant help ik organisatie bij het ontwikkelen van een effectieve Cybersecurity strategie. Wat bedoelen we nu eigenlijk met een Cybersecurity strategie? Laten we allereerst het begrip strategie definiëren. Een heldere omschrijving van wat een strategie is, wordt gegeven door Wolfgang W. Keller:

A strategy is a plan of action designed to achieve a particular goal. (Keller 2012; nadruk door mij)
Nederlandse vertaling: een strategie is een plan van aanpak om een bepaald doel te bereiken.
Het is belangrijk om het verschil tussen een doel “wat wilt u” en de strategie “hoe gaat u uw doel bereiken?” te begrijpen. Stel, u wilt in drie maanden tijd tien kilo afvallen, dan is dit uw doel – het geeft namelijk antwoord op de wat-vraag. Als u eenmaal uw doel kent, komt vervolgens de hoe-vraag. In dit voorbeeld zijn mogelijke strategieën het volgen van een bepaald dieet en/of het verrichten van meer lichamelijke inspanning.

Uiteraard wilt u als gaat afvallen een dieet of lichaamsoefeningen kiezen die daadwerkelijk bijdragen aan gewichtsverlies. Met andere woorden u wilt een effectieve strategie kiezen die aansluit bij uw specifieke omstandigheden. Een Cybersecurity strategie is niet wezenlijk anders.

Het doel van een Cyber Security strategie


Oké, zult u nu misschien denken, wat is dan het doel van een IT-beveiligingsstrategie? Het overkoepelende doel van een Cybersecurity strategie is het beheersbaar maken van de risico's waarmee leven in cyberspace gepaard gaat. Grofweg heeft een Cybersecurity strategie drie subdoelen:

  1. Allereerst wilt u voorkomen dat uw IT-infrastructuur getroffen word door cyberaanvallen (preventie);
  2. Vervolgens wilt u een eventuele aanval zo vroeg mogelijk in de gaten krijgen, zodat u tijdig kunt ingrijpen (detectie);
  3. En als u dan toch slachtoffer van een hack wordt, dan wilt u de schade zo veel mogelijk beperken (correctie).
Een IT-beveiligingsstrategie geeft voor elk van deze drie doelen aan welke maatregelen genomen worden om deze doelen te verwezenlijken. De gekozen maatregelen kunnen in drie implementatie categoriën worden ingedeeld:

  1. Administratief - dit zijn maatregelen binnen de organisatie, bijvoorbeeld procedures omtrent het aannemen van personeel;
  2. Fysiek - denk bijvoorbeeld aan goede sloten en camera systemen om ongenode gasten buiten de deur te houden;
  3. Logisch - software oplossing zoals anti-virus en firewalls.
Vanzelfsprekend dienen de gekozen maatregelen te passen bij de aard en doel van uw organisatie. En natuurlijk moet er een balans bestaan tussen enerzijds de kosten van de genomen maatregelen en de waarde van te beschermen assets.

De Cyber Security Matrix


Om een Cybersecurity strategie beter inzichtelijk te maken, maak ik gebruik van van een Cybersecurity Matrix of CSS. Een voorbeeld hiervan vind u hieronder:

de Cybersecurity matrix is een handig middel om een IT security strategie te ontwikkelen

Een goed ontworpen Cybersecurity strategie biedt jouw organisatie een aantal voordelen. Allereerst geeft het u en uw medewerkers een duidelijke leidraad bij het maken van operationele beslissingen. Hiermee worden onnodige fouten voorkomen. Verder maakt de strategie duidelijk hoe u en uw personeel dienen te handelen wanneer jouw onderneming te maken krijgt met een cyberaanval. Op deze wijze verklein je de impact die cybercriminelen op uw bedrijf hebben. Niet alleen bespaart u op termijn een aanzienlijke hoop geld, maar kunt u ook met een gerust gevoel u zich richten wat u echt wilt doen.

Wilt u meer weten over IT-beveiliging en wat ik voor uw organisatie kan betekenen op dit gebied? Aarzel dan niet om mij te contacteren voor een eerste vrijblijvende kennismaking.

Geraadpleegde literatuur


Keller, Wolfgang W. TOGAF 9.1 Quick Start Guide for IT Enterprise Architects V0.9, december 2012. Parker, Jeff T. en Michael Gregg, CompTIA CASP+ Study Guide Third Edition, John Wiley & Sons Inc., Indianapolis, 2019.