Cyber Security Raad adviseert PAS 555 standaard

03 juni 2014 Consultancy.nl

Cyber security wordt van steeds groter belang voor publieke organisaties en het bedrijfsleven. Onlangs bracht het adviesorgaan ‘Cyber Security Raad’ zijn advies uit hoe BV Nederland zich beter kan wapenen tegen cybercrime: meer aandacht voor digitale veiligheid op boardroomniveau en het invoeren van de PAS 555, een internationale standaard waarbij PA Consulting Group nauw betrokken is geweest. 

Het aantal cyberincidenten en de impact daarvan is in de afgelopen jaren explosief gestegen. Volgens een recent rapport van Aon is de schade wereldwijd inmiddels opgelopen tot meer dan €100 miljard per jaar en het bedrag blijft naar verwachting de komende periode met dubbele groeicijfers toenemen. Om de toenemende dreiging een halt te roepen heeft de Nederlandse overheid in 2011 een ‘Nationale Cyber Security Strategie’ opgesteld. Doelstelling van de aanpak is het verminderen van cyberaanvallen door een samenhangende aanpak tussen overheid en het bedrijfsleven. 

Nationaal Cyber Security Centrum

Een van de onderdelen van de aanpak is de formering van de zogeheten ‘Cyber Security Raad’ (CSR), een onafhankelijk orgaan dat toeziet op de uitvoering van de Nationale Cyber Security Strategie en het kabinet gevraagd en ongevraagd van adviezen voorziet. Eind april bracht het orgaan, dat bestaat uit zestien toonaangevende experts*, zijn meest recente advies uit. Belangrijkste conclusie: organisaties moeten beveiligingsrisico's op strategisch niveau aanpakken, in plaats van het wegwuiven als een IT-feestje. 

Integrale aanpak op boardroom niveau
Momenteel baseren veel grote bedrijven hun cybersecurity strategie op certificering, best practices en IT-benodigdheden. De CSR is echter van mening dat deze aanpak tekortschiet. “Dergelijke standaarden richten zich op operationeel niveau en zijn met name gericht op technische maatregelen.” Door de complexe aard van cybersecurity kwesties is er alleen een kans van slagen wanneer er wordt gekozen voor een integrale aanpak. “Effectieve cyber security kan alleen bereikt worden als de complete bedrijfsvoering gericht is op het voorkomen van cyberincidenten. Cyber security is dus niet alleen een IT-probleem. Het gaat ook over toezicht, leiderschap, cultuur, bewustzijn, gedrag, fysieke veiligheid, intelligence, onderzoek, detectie, respons en herstel na een incident.” Willen bedrijven dit in de praktijk succesvol tot uitvoering brengen dan dient de aanpak op strategisch niveau belegd te worden. Alleen dan kan slagkracht en samenhang worden gewaarborgd, aldus de CSR. 

Boardroom

PAS 555 standaard
De raad adviseert de overheid en bedrijven om de zogeheten PAS 555 standaard te omarmen. De standaard werd in het Verenigd Koninkrijk in 2011 gezamenlijk ontwikkeld door een consortium van private-sector organisaties, waaronder Cisco, Control Risks, G4S, PA Consulting Group en Symantec. De standaard wordt uitgegeven door het British Standards Institute en zal naar verwachting op termijn een ISO standaard worden. PAS 555 heeft z’n succes te danken aan drie factoren. 

Ten eerste, het biedt een overzichtelijk raamwerk (of “framework”) dat inzicht geeft in de belangrijkste onderdelen van de cyber security-keten. Ten tweede, tot op heden richtten de meeste cyber security gerelateerde best practices zich uitsluitend op processen en de controlemechanismen, hoe je cybersecurity inricht. PAS 555 daarentegen focust op uitkomsten, wat moet je ingericht hebben, waardoor organisaties de mogelijkheid krijgen proactief de mogelijke zwakke plekken te identificeren en te managen. Tot slot, de standaard kan zowel door grote als kleine organisaties en in zowel de publieke als private sector toegepast worden. “Daarmee is het een goede norm voor een brede aanpak van cybersecurity", aldus de Raad. 

Cyber Security Raad

In de komende maanden wordt duidelijk in welke mate de overheid en het bedrijfsleven opvolging gaan geven aan het advies van de Cyber Security Raad. Volgens Natasja Stet, Cyber Security expert bij PA Consulting Group, is de kans groot dat het advies navolging krijgt. “Helaas worden we dagelijks geconfronteerd met nieuws over diefstal van vertrouwelijke informatie, zoals bijvoorbeeld klant-gegevens. De impact op reputatie en vertrouwen van klanten is in dit soort gevallen groot. Directies van vandaag dienen ook deze risico’s te overzien en te managen, PAS 555 helpt daarbij.” 

Stet vervolgt: “PAS 555 is een praktisch hulpmiddel om de bewustwording rondom securityrisico’s in de boardroom onder de aandacht te brengen. Het raamwerk maakt risico’s en hun impact op de business voor alle stakeholders tastbaar en maakt inzichtelijk wat een organisatie al doet om risico’s te beheersen. Dat vergemakkelijkt het bepalen en doorvoeren van maatregelen en waar investeringen echt nodig zijn. Daarvoor ligt de verantwoordelijkheid niet langer alleen bij de CIO, IT-manager of security officer, maar bij het gehele management. Effectieve cyber security vraagt immers een juiste balans tussen technologie, mens, digitale en fysieke beveiliging. Met PAS 555 kan iedere organisatie haar risico’s in kaart brengen, overzien en beheersen.” 

* De ‘Cyber Security Raad’ bestaat uit zestien leden, waaronder Eelco Blok (VNO-NCW), Dick Schoof (Nationaal Coördinator Terrorismebestrijding en Veiligheid), Bart Hogendoorn (Nederland ICT), René Steenvoorden (CIO Platform), Ben Voorhorst (vitale infrastructuur) en Tineke Netelenbos (ECP). 

Nieuws

Meer nieuws over