• Bert Koelewijn, Senior Manager |

Het versterken van cyberweerbaarheid is een veelomvattende ambitie voor de overheid. Waar te beginnen? Herkent u dat de aanbevelingen van interne of externe toezichthouders altijd het omgekeerde zijn van de bevinding, namelijk: ‘los het op’. En bestaat uw verbeterplan voor cybersecurity voor een groot deel enkel uit dergelijke aanbevelingen? Neem dan het stuur in handen en bepaal zelf proactief wat goed genoeg is voor úw organisatie.

Cybervolwassenheidsmeting

Een cybervolwassenheidsmeting brengt enerzijds de sterke eigenschappen van de organisatie in kaart en zet anderzijds de schijnwerpers op de blinde vlekken. Het is het fundament onder de routekaart die leidt naar het realiseren van uw ambitie: een weerbare organisatie die voldoende zekerheid biedt voor alle betrokkenen. Deze ambitie concreet maken is echter de grootste uitdaging voor de meeste bestuurders: wanneer is goed goed genoeg en hoe stel je dat vast?

Van benchmarks en goede voorbeelden uit de overheidssector kunt u veel leren, maar uiteindelijk is uw ambitie uniek. Het versterken van de weerbaarheid tegen cyberrisico’s vereist daarom allereerst inzicht in de specifieke kenmerken van de organisatie. Denk bijvoorbeeld aan uw strategische initiatieven, ontwikkelingen in uw bedrijfsvoering, kroonjuwelen en strategische cyberrisico’s. Bevat uw strategische risicolijst bevindingen als ‘onze toegangsbeveiliging of ons patch management is niet op orde’? Dan hebt u naar onze mening nog onvoldoende inzicht in de meest relevante bedreigingen en de impact daarvan op uw bedrijfsvoering. Dit inzicht verkrijgen is het startpunt voor het bepalen van uw ambitie.

In een cybervolwassenheidsmeting worden domeinen onderzocht aan de hand van een beproefde, gestructureerde methodologie. We lichten hier vier domeinen toe: 

1: Derde partijen

Ten eerste het domein ‘derde partijen’. Overheidsorganisaties besteden geregeld (onderdelen van) activiteiten uit, maar de verantwoordelijkheid kunt u niet uitbesteden. U blijft ten allen tijde zelf verantwoordelijk. Heeft u ook aandacht voor de beheersing van risico’s ná de aanbesteding en contractfase? Welke veiligheidseisen stelt u? Heeft u zicht op de kwaliteit van de processen die de leverancier daarvoor heeft ingericht? Hoe monitort u gedurende de contractuitvoering of men zich aan de verplichtingen houdt? Aan de hand van dit type vragen brengt KPMG in kaart hoe de organisatie de risico's beheerst die in relatie tot deze ‘derde partijen’ gegeven zijn.

2: Leiderschap

Een ander domein is dat van leiderschap en governance. Wat is de kracht van het management als het gaat om het nemen van verantwoordelijkheid voor het managen van de cyberrisico's die de organisatie loopt? En hoe sluit de inrichting van de organisatie aan bij die verantwoordelijkheid? Zitten er mechanismes ingebouwd die het verwerven van begrip en inzicht in mogelijke dreigingen stimuleert?

3: Technische veiligheid

Een laatste voorbeeld is het domein van de technische veiligheid. Daarbij gaat het bijvoorbeeld om Identity & Access Management (IAM): zijn de vereiste beveiligingsoplossingen geïmplementeerd die bewaken dat alleen rechthebbenden toegang hebben tot de systemen? Zijn de gevoelige gegevens beschermd tegen diefstal of andersoortig misbruik? Hiermee vallen dus ook fysieke beveiligingsvraagstukken onder dit domein: wat zijn de maatregelen om te voorkomen dat ongeautoriseerden toegang hebben tot ruimtes waar dit soort gegevens is opgeslagen of wordt verwerkt?

4: Respect en vertrouwen

Wij zien een volwassenheidsmeting als het startpunt voor het verwezenlijken van uw ambities om de cyber weerbaarheid van uw organisatie te versterken. Het programma, de route daarvoor, verwerft meer draagvlak als het nauw aansluit bij de competenties waarover de organisatie al beschikt. Het uitbouwen van die sterke punten heeft in onze visie ook de eerste prioriteit. Die sterke punten kunnen dan immers uitgroeien tot steunpilaren waarop het verdere veranderingstraject wordt gegrondvest. Uit deze aandacht voor juist de sterke punten van de organisatie spreekt bovendien respect voor wat er al is bereikt. Dit schept bovendien op zijn beurt weer vertrouwen: een onmisbare basis voor effectieve verandering.

KPMG onderscheidt negen domeinen bij het meten van de cyberweerbaarheid van een organisatie; van technische veiligheid tot menselijke factoren en van informatierisicomanagement tot compliance. Hierover gaan wij graag met u in gesprek. Download hieronder de paper voor meer informatie.