Cyber Security Raad adviseert PAS 555 standaard

03 juni 2014 Consultancy.nl

Cyber security wordt van steeds groter belang voor publieke organisaties en het bedrijfsleven. Onlangs bracht het adviesorgaan ‘Cyber Security Raad’ zijn advies uit hoe BV Nederland zich beter kan wapenen tegen cybercrime: meer aandacht voor digitale veiligheid op boardroomniveau en het invoeren van de PAS 555, een internationale standaard waarbij PA Consulting Group nauw betrokken is geweest. 

Het aantal cyberincidenten en de impact daarvan is in de afgelopen jaren explosief gestegen. Volgens een recent rapport van Aon is de schade wereldwijd inmiddels opgelopen tot meer dan €100 miljard per jaar en het bedrag blijft naar verwachting de komende periode met dubbele groeicijfers toenemen. Om de toenemende dreiging een halt te roepen heeft de Nederlandse overheid in 2011 een ‘Nationale Cyber Security Strategie’ opgesteld. Doelstelling van de aanpak is het verminderen van cyberaanvallen door een samenhangende aanpak tussen overheid en het bedrijfsleven. 

Nationaal Cyber Security Centrum

Een van de onderdelen van de aanpak is de formering van de zogeheten ‘Cyber Security Raad’ (CSR), een onafhankelijk orgaan dat toeziet op de uitvoering van de Nationale Cyber Security Strategie en het kabinet gevraagd en ongevraagd van adviezen voorziet. Eind april bracht het orgaan, dat bestaat uit zestien toonaangevende experts*, zijn meest recente advies uit. Belangrijkste conclusie: organisaties moeten beveiligingsrisico's op strategisch niveau aanpakken, in plaats van het wegwuiven als een IT-feestje. 

Integrale aanpak op boardroom niveau
Momenteel baseren veel grote bedrijven hun cybersecurity strategie op certificering, best practices en IT-benodigdheden. De CSR is echter van mening dat deze aanpak tekortschiet. “Dergelijke standaarden richten zich op operationeel niveau en zijn met name gericht op technische maatregelen.” Door de complexe aard van cybersecurity kwesties is er alleen een kans van slagen wanneer er wordt gekozen voor een integrale aanpak. “Effectieve cyber security kan alleen bereikt worden als de complete bedrijfsvoering gericht is op het voorkomen van cyberincidenten. Cyber security is dus niet alleen een IT-probleem. Het gaat ook over toezicht, leiderschap, cultuur, bewustzijn, gedrag, fysieke veiligheid, intelligence, onderzoek, detectie, respons en herstel na een incident.” Willen bedrijven dit in de praktijk succesvol tot uitvoering brengen dan dient de aanpak op strategisch niveau belegd te worden. Alleen dan kan slagkracht en samenhang worden gewaarborgd, aldus de CSR. 

Boardroom

PAS 555 standaard
De raad adviseert de overheid en bedrijven om de zogeheten PAS 555 standaard te omarmen. De standaard werd in het Verenigd Koninkrijk in 2011 gezamenlijk ontwikkeld door een consortium van private-sector organisaties, waaronder Cisco, Control Risks, G4S, PA Consulting Group en Symantec. De standaard wordt uitgegeven door het British Standards Institute en zal naar verwachting op termijn een ISO standaard worden. PAS 555 heeft z’n succes te danken aan drie factoren. 

Ten eerste, het biedt een overzichtelijk raamwerk (of “framework”) dat inzicht geeft in de belangrijkste onderdelen van de cyber security-keten. Ten tweede, tot op heden richtten de meeste cyber security gerelateerde best practices zich uitsluitend op processen en de controlemechanismen, hoe je cybersecurity inricht. PAS 555 daarentegen focust op uitkomsten, wat moet je ingericht hebben, waardoor organisaties de mogelijkheid krijgen proactief de mogelijke zwakke plekken te identificeren en te managen. Tot slot, de standaard kan zowel door grote als kleine organisaties en in zowel de publieke als private sector toegepast worden. “Daarmee is het een goede norm voor een brede aanpak van cybersecurity", aldus de Raad. 

Cyber Security Raad

In de komende maanden wordt duidelijk in welke mate de overheid en het bedrijfsleven opvolging gaan geven aan het advies van de Cyber Security Raad. Volgens Natasja Stet, Cyber Security expert bij PA Consulting Group, is de kans groot dat het advies navolging krijgt. “Helaas worden we dagelijks geconfronteerd met nieuws over diefstal van vertrouwelijke informatie, zoals bijvoorbeeld klant-gegevens. De impact op reputatie en vertrouwen van klanten is in dit soort gevallen groot. Directies van vandaag dienen ook deze risico’s te overzien en te managen, PAS 555 helpt daarbij.” 

Stet vervolgt: “PAS 555 is een praktisch hulpmiddel om de bewustwording rondom securityrisico’s in de boardroom onder de aandacht te brengen. Het raamwerk maakt risico’s en hun impact op de business voor alle stakeholders tastbaar en maakt inzichtelijk wat een organisatie al doet om risico’s te beheersen. Dat vergemakkelijkt het bepalen en doorvoeren van maatregelen en waar investeringen echt nodig zijn. Daarvoor ligt de verantwoordelijkheid niet langer alleen bij de CIO, IT-manager of security officer, maar bij het gehele management. Effectieve cyber security vraagt immers een juiste balans tussen technologie, mens, digitale en fysieke beveiliging. Met PAS 555 kan iedere organisatie haar risico’s in kaart brengen, overzien en beheersen.” 

* De ‘Cyber Security Raad’ bestaat uit zestien leden, waaronder Eelco Blok (VNO-NCW), Dick Schoof (Nationaal Coördinator Terrorismebestrijding en Veiligheid), Bart Hogendoorn (Nederland ICT), René Steenvoorden (CIO Platform), Ben Voorhorst (vitale infrastructuur) en Tineke Netelenbos (ECP). 

Nieuws

×
A.T. Kearney Accenture ACE Adaptif Adlasz Adviesgroep Novius Anderson MacGyver Andersson Elffers Felix Annalise Arthur D. Little AT Osborne Atos Consulting Avantage Reply B&A Bain & Company Baker Tilly Berk BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Corporate Finance Boer & Croon Management Bostec Boston Consulting Group Bright & Company | People Strategy buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Considerati Count & Cooper De Kleine Consultant Deloitte Delta Capita Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting flowresulting Front Consulting Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Consulting & Interim Improven InContext innergo innogy Consulting INNOPAY Intermedius ITDS Business Consultants JBR JBR Interim Executives Kirkman Company KplusV KPMG Kruger KWINK groep Leeuwendaal M3 Consultancy Magnitude Consulting Magnus Marktlink McKinsey & Company Mercer Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group OrangeX Ordina Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Wellington Redwood Quintop Raad van Toekomst RevelX RGP Rijnconsult Roland Berger Scenter Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Supply Value Symbol Synechron Business Consulting TEN HAVE Change Management The Next Organization Turner TWST Twynstra Gudde UMS Group UniPartners UPD Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup Young Advisory Group Zestgroup

Meer nieuws over