Cybersecurity wordt in veel organisaties nog steeds benaderd als een beleidsvraagstuk. Er wordt gestart met kaders, documenten en verantwoordelijkheden op papier, in de hoop dat dit vervolgens landt in de IT-afdeling. In de praktijk werkt het pas echt als IT het eigenaarschap heeft. Een bottom-up aanpak maakt daarin het verschil.
Begin waar het werk gebeurt
Naast mijn rol als cyber security consultant ben ik actief als software engineer consultant. In die rol ben ik regelmatig betrokken bij het inrichten van developmentomgevingen en IT-processen. Wat daarbij steeds terugkomt, is dat security alleen beklijft als het onderdeel is van het dagelijkse werk.
Bij een organisatie waar wij bij betrokken waren, zijn securitymaatregelen vanaf het begin meegenomen in de inrichting van de developmentstraat. Niet als apart project, maar als randvoorwaarde voor kwaliteit en beheersbaarheid. Denk aan toegangsbeheer, scheiding van omgevingen, logging, wijzigingsbeheer en herleidbaarheid.
In het begin vraagt dat soms meer discipline. Na verloop van tijd wordt het de standaard.
ISO 27001 als gevolg, niet als startpunt
Toen later de vraag kwam om richting ISO 27001 te werken, bleek dat veel maatregelen al aanwezig waren. Het ISMS-traject begon niet met het opstellen van nieuw beleid, maar met het toetsen van bestaande werkwijzen aan de ISO-controls.
De documentatie beschreef hoe er gewerkt werd. Waar nodig werd aangescherpt, maar grote wijzigingen waren niet nodig. Voor het team voelde het traject herkenbaar en logisch. Dat zorgde voor betrokkenheid en rust richting de audit, die zonder noemenswaardige bevindingen verliep.
Waarom top-down vaak niet werkt
Wat ik regelmatig zie bij ISO- en NIS2-trajecten, is dat ze formeel goed zijn ingericht, maar binnen IT vooral worden ervaren als compliance. Security wordt dan iets wat “moet”, in plaats van iets wat helpt.
Bij een bottom-up aanpak is dat anders. Als IT-teams begrijpen waarom maatregelen er zijn en deze passen binnen hun manier van werken, ontstaat eigenaarschap. Dat leidt tot consistenter gedrag en betere beheersing, ook buiten certificeringstrajecten om.
Wat dit vraagt van management
Bottom-up werken betekent niet dat management geen rol heeft. Integendeel. Het vraagt duidelijke keuzes:
- Security meenemen in ontwerp en architectuur
- IT ruimte geven om kwaliteit en beheersbaarheid leidend te maken
- Niet sturen op vinklijstjes, maar op werkbare processen
Certificeringen zoals ISO 27001, maar ook NIS2 en AVG, worden dan een logisch vervolg in plaats van een opgelegd traject.
Hoe wij dit benaderen bij Fidelsec
Bij Fidelsec kijken we daarom verder dan beleid en compliance alleen. Onze aanpak richt zich op:
- Analyse van hoe IT-processen daadwerkelijk lopen
- Implementatie van maatregelen die daarbij aansluiten
- Training gericht op rol en verantwoordelijkheid
- Monitoring en verbetering als doorlopend proces
Het doel is dat cybersecurity gedragen wordt door de organisatie, en in het bijzonder door de IT-afdeling.
Tot slot
Wil je dat cybersecurity in jouw organisatie echt werkt, dan is de vraag niet waar het beleid ligt, maar waar het eigenaarschap ligt.
In onze ervaring begint dat bij IT.
Wil je hierover sparren of herken je deze vraagstukken binnen jouw organisatie? Dan ga ik graag het gesprek aan.
Muhammed Akbulut
Cyber Security Expert
Meer weten?
Klaar om cyber security en compliance eenvoudig en toegankelijk te maken?