Cyber Security Raad adviseert PAS 555 standaard

03 juni 2014 Consultancy.nl

Cyber security wordt van steeds groter belang voor publieke organisaties en het bedrijfsleven. Onlangs bracht het adviesorgaan ‘Cyber Security Raad’ zijn advies uit hoe BV Nederland zich beter kan wapenen tegen cybercrime: meer aandacht voor digitale veiligheid op boardroomniveau en het invoeren van de PAS 555, een internationale standaard waarbij PA Consulting Group nauw betrokken is geweest. 

Het aantal cyberincidenten en de impact daarvan is in de afgelopen jaren explosief gestegen. Volgens een recent rapport van Aon is de schade wereldwijd inmiddels opgelopen tot meer dan €100 miljard per jaar en het bedrag blijft naar verwachting de komende periode met dubbele groeicijfers toenemen. Om de toenemende dreiging een halt te roepen heeft de Nederlandse overheid in 2011 een ‘Nationale Cyber Security Strategie’ opgesteld. Doelstelling van de aanpak is het verminderen van cyberaanvallen door een samenhangende aanpak tussen overheid en het bedrijfsleven. 

Nationaal Cyber Security Centrum

Een van de onderdelen van de aanpak is de formering van de zogeheten ‘Cyber Security Raad’ (CSR), een onafhankelijk orgaan dat toeziet op de uitvoering van de Nationale Cyber Security Strategie en het kabinet gevraagd en ongevraagd van adviezen voorziet. Eind april bracht het orgaan, dat bestaat uit zestien toonaangevende experts*, zijn meest recente advies uit. Belangrijkste conclusie: organisaties moeten beveiligingsrisico's op strategisch niveau aanpakken, in plaats van het wegwuiven als een IT-feestje. 

Integrale aanpak op boardroom niveau
Momenteel baseren veel grote bedrijven hun cybersecurity strategie op certificering, best practices en IT-benodigdheden. De CSR is echter van mening dat deze aanpak tekortschiet. “Dergelijke standaarden richten zich op operationeel niveau en zijn met name gericht op technische maatregelen.” Door de complexe aard van cybersecurity kwesties is er alleen een kans van slagen wanneer er wordt gekozen voor een integrale aanpak. “Effectieve cyber security kan alleen bereikt worden als de complete bedrijfsvoering gericht is op het voorkomen van cyberincidenten. Cyber security is dus niet alleen een IT-probleem. Het gaat ook over toezicht, leiderschap, cultuur, bewustzijn, gedrag, fysieke veiligheid, intelligence, onderzoek, detectie, respons en herstel na een incident.” Willen bedrijven dit in de praktijk succesvol tot uitvoering brengen dan dient de aanpak op strategisch niveau belegd te worden. Alleen dan kan slagkracht en samenhang worden gewaarborgd, aldus de CSR. 

Boardroom

PAS 555 standaard
De raad adviseert de overheid en bedrijven om de zogeheten PAS 555 standaard te omarmen. De standaard werd in het Verenigd Koninkrijk in 2011 gezamenlijk ontwikkeld door een consortium van private-sector organisaties, waaronder Cisco, Control Risks, G4S, PA Consulting Group en Symantec. De standaard wordt uitgegeven door het British Standards Institute en zal naar verwachting op termijn een ISO standaard worden. PAS 555 heeft z’n succes te danken aan drie factoren. 

Ten eerste, het biedt een overzichtelijk raamwerk (of “framework”) dat inzicht geeft in de belangrijkste onderdelen van de cyber security-keten. Ten tweede, tot op heden richtten de meeste cyber security gerelateerde best practices zich uitsluitend op processen en de controlemechanismen, hoe je cybersecurity inricht. PAS 555 daarentegen focust op uitkomsten, wat moet je ingericht hebben, waardoor organisaties de mogelijkheid krijgen proactief de mogelijke zwakke plekken te identificeren en te managen. Tot slot, de standaard kan zowel door grote als kleine organisaties en in zowel de publieke als private sector toegepast worden. “Daarmee is het een goede norm voor een brede aanpak van cybersecurity", aldus de Raad. 

Cyber Security Raad

In de komende maanden wordt duidelijk in welke mate de overheid en het bedrijfsleven opvolging gaan geven aan het advies van de Cyber Security Raad. Volgens Natasja Stet, Cyber Security expert bij PA Consulting Group, is de kans groot dat het advies navolging krijgt. “Helaas worden we dagelijks geconfronteerd met nieuws over diefstal van vertrouwelijke informatie, zoals bijvoorbeeld klant-gegevens. De impact op reputatie en vertrouwen van klanten is in dit soort gevallen groot. Directies van vandaag dienen ook deze risico’s te overzien en te managen, PAS 555 helpt daarbij.” 

Stet vervolgt: “PAS 555 is een praktisch hulpmiddel om de bewustwording rondom securityrisico’s in de boardroom onder de aandacht te brengen. Het raamwerk maakt risico’s en hun impact op de business voor alle stakeholders tastbaar en maakt inzichtelijk wat een organisatie al doet om risico’s te beheersen. Dat vergemakkelijkt het bepalen en doorvoeren van maatregelen en waar investeringen echt nodig zijn. Daarvoor ligt de verantwoordelijkheid niet langer alleen bij de CIO, IT-manager of security officer, maar bij het gehele management. Effectieve cyber security vraagt immers een juiste balans tussen technologie, mens, digitale en fysieke beveiliging. Met PAS 555 kan iedere organisatie haar risico’s in kaart brengen, overzien en beheersen.” 

* De ‘Cyber Security Raad’ bestaat uit zestien leden, waaronder Eelco Blok (VNO-NCW), Dick Schoof (Nationaal Coördinator Terrorismebestrijding en Veiligheid), Bart Hogendoorn (Nederland ICT), René Steenvoorden (CIO Platform), Ben Voorhorst (vitale infrastructuur) en Tineke Netelenbos (ECP). 


×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius - a company of RoyalHaskoningDHV AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management BOLD Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cegeka Consulting Cmotions COMATCH Common Eye Conclusion Count & Cooper CPMview Critical Minds De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Drijver en Partners Ecorys Eden McCallum Energyprofs Enigma Consulting Eurekon EY EY-Parthenon Finext First Consulting Flowant flowresulting Fronteer FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hogenhouck m&a Hospitality Group Hot ITem House of Performance IG&H Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer METRI MLC Mobilee Möbius Monitor Deloitte Morgens Mount Consulting MSR Consulting Group NEWCRAFT Ngenious Node1 Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy People Change PNO Consultants Projective Protiviti Proven Partners Prowareness PwC Quint Quintop Raad van Toekomst RedFoxBlue ResidentieProfs Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Staffing MS Strategy& Student Consultancy Group Student Consultant Summiteers Supply Value Symbol Synechron The Next Organization TIC Advisory Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Velox Vintura VODW Volt Strategy Voogt Pijl & Partners WIN Xebia Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup