Cybersecurity scheiden van IT-beheer: Is dat verstandig?

In het huidige digitale tijdperk worstelen veel bedrijven met een cruciale vraag op het gebied van cybersecurity. Stel, je hebt als bedrijf al een IT-beheerder in dienst of gecontracteerd. Deze zorgt ervoor dat je computers, netwerken en servers soepel draaien. Maar nu groeit het besef dat er meer aandacht nodig is voor cybersecurity. De vraag die dan rijst is: laat je je bestaande IT-beheerder deze extra taken oppakken, of is het verstandiger om een aparte leverancier in te schakelen die gespecialiseerd is in cybersecurity?

Om hier meer inzicht in te krijgen, spraken we met twee experts op dit gebied:

• Raymond Bierens, Voorzitter Bestuur van Stichting Connect2Trust en PhD researcher

• Marcel Spruit, professor Cyber Security and Safety bij De Haagse Hogeschool

 

Taken van IT-beheerders versus cybersecurity leveranciers

IT-beheerders zijn verantwoordelijk voor het dagelijks beheer en onderhoud van de IT-infrastructuur, waarbij beveiliging een integraal onderdeel vormt van al hun taken. Bij het installeren en configureren van hardware en software zorgen ze bijvoorbeeld voor geautoriseerde toegang, implementeren ze firewalls, en segmenteren ze netwerken. Een cruciale taak is het toewijzen en beheren van gebruikersrechten om zo risico’s te beperken. Daarnaast zorgen ze ervoor dat systemen up-to-date blijven met beveiligingsupdates.

Het is dan ook logisch dat veel IT-beheerders ook een cybersecurity pakket aanbieden, waarmee ze ervoor zorgen dat dit allemaal goed is geregeld. Bedrijven kunnen echter ook kiezen om een externe cybersecurityleverancier in te huren, die een deel overneemt, het werk van de IT-beheerder controleert of gespecialiseerde kennis levert.

Er is echter niet één soort cybersecurityleverancier. Zo kunnen hun werkzaamheden het volgende omvatten:

• Een externe blik of controle op hoe het huidige systeem is ingericht, en consultancy over beveiligingsverbeteringen
• Penetratietesten om te kijken of het systeem gehackt kan worden
• Het samenbrengen en analyseren van alerts uit verschillende systemen, zoals van cloudsystemen, de firewall, virusscanner, etc. 
• Continue monitoring op geavanceerde malware-infecties
• Incident-response-coördinatie bij complexe cyberaanvallen
• Training en bewustwording rond cyberdreigingen

Cybersecurity omvat dus een breed scala aan taken. Sommige zijn nauw verweven met IT-beheer, terwijl andere onafhankelijk daarvan kunnen worden uitgevoerd. Bepaalde aspecten, zoals beveiliging van cloud-diensten en organisatorische maatregelen, vallen zelfs buiten de traditionele IT-scope. De juiste aanpak voor het scheiden of integreren van cybersecurity en IT-beheer hangt af van de specifieke behoeften en structuur van elke organisatie.

De groeiende complexiteit van IT-omgevingen

Een belangrijke overweging voor het scheiden van IT-beheer en cybersecurity hangt af van de complexiteit van de technologie die door een bedrijf wordt ingezet. Raymond Bierens identificeert drie verschillende technologievormen die bedrijven vaak gebruiken:

1. Traditionele IT (computers, laptops, servers)
2. Productieautomatisering (OT - Operational Technology)
3. IoT (slimme apparaten, mobiele telefoons)

"Deze drie verschillende technologievormen onderscheiden we omdat ze alle drie een andere functie hebben," legt Raymond uit.  De diversiteit aan technologieën brengt unieke uitdagingen met zich mee. Traditionele IT-systemen vereisen andere beveiligingsmaatregelen dan OT-systemen of IoT-apparaten. Deze complexiteit kan een reden zijn om de controle van cybersecurity te scheiden van het reguliere IT-beheer.

Wanneer is scheiding verstandig?

Uiteindelijk is het aan het management om beslissingen te nemen over wat de organisatie nodig heeft qua IT-systemen, en “wat de risk appetite van de organisatie is”, zegt Marcel. Zij zullen moeten beslissen welke IT-functionaliteiten nodig zijn, en kunnen dit soort beslissingen niet overlaten aan de IT-beheerder of beveiligingsexperts - ook al kunnen zij vaak veel informatie verschaffen. 

Deze leidende rol van het management geldt voor alle organisaties, van kleine tuindersbedrijven tot grote corporaties. Hoewel het uitbesteden van IT-beheer en cybersecurity aan verschillende partijen voordelen kan bieden, moet dit zorgvuldig worden gecoördineerd door het bedrijf om gaten in beveiliging of beheer te voorkomen.

Raymond stelt dat de noodzaak voor een aparte cybersecuritycontrole vaak afhangt van de specifieke risico's en de sector waarin een bedrijf opereert: "Als jouw bedrijf veel wordt aangevallen vanwege de sector - bijvoorbeeld voor bedrijfsgeheimen of om de boel plat te leggen - dan heb je specialistische kennis nodig."

Hij voegt toe: "Het is goed om een specifieke securitypartij te hebben die controleert of de IT-beheerder alles goed heeft opgezet." Dit 'vier-ogen-principe' kan beveiligingslekken aan het licht brengen die anders onopgemerkt zouden blijven.

Bovendien kan een gespecialiseerde cybersecuritypartij vaak sneller inspelen op nieuwe bedreigingen en trends in het cybercriminaliteitslandschap. Ze hebben vaak toegang tot uitgebreide threat intelligence netwerken en kunnen deze kennis direct toepassen op de specifieke situatie van een bedrijf.

Eén leverancier die het overzicht bewaakt over een complexe IT-omgeving

Naarmate IT-omgevingen complexer worden, kan het logisch zijn om externe partijen in te schakelen. Raymond legt uit: "Des te logischer wordt het om één trusted advisor in te brengen. Dat je zegt: hou jij het overzicht over al die partijen om te zien of ze zich goed en veilig verbinden en binnen mijn organisatie het werk doen wat ze moeten doen."

Marcel Spruit onderstreept het belang van deze geïntegreerde aanpak door te wijzen op de risico's van versnippering in de beveiliging: "Hoe smaller je dat stukje maakt dat je uitbesteedt, hoe lastiger het wordt om te zorgen dat alle rest er omheen wel weer goed geregeld wordt." Hij benadrukt dat bedrijven voldoende kennis moeten hebben om de diensten die ze inkopen te kunnen beoordelen: "Als je het zelf niet kan, dan kan je ook niemand aansturen."

Alles komt terug bij: wat zijn nou écht je risico's?

De kernvraag blijft: wat zijn de daadwerkelijke risico's voor jouw bedrijf? Het verkleinen van je IT-omgeving kan op zichzelf al risico's verminderen. Bij een complexe IT-omgeving of in sectoren die vaak doelwit zijn van cyberaanvallen, kan externe expertise waardevol zijn.

De beslissing om cybersecuritycontrole te scheiden van IT-beheer moet gebaseerd zijn op een grondige analyse van de eigen capaciteiten, specifieke risico's en beschikbare middelen. Een hybride model, waarbij interne IT-teams samenwerken met externe experts, kan voor sommige bedrijven ideaal zijn.

Conclusie

Het scheiden van cybersecuritycontrole van regulier IT-beheer kan verstandig zijn voor bedrijven met complexe IT-omgevingen, hoge risico's, of in sectoren die vaak het doelwit zijn van cyberaanvallen. Dit geldt met name voor bedrijven met OT-netwerken, die unieke beveiligingsuitdagingen met zich meebrengen. Echter is het essentieel dat bedrijven voldoende kennis in huis hebben om de ingekochte diensten te kunnen beoordelen en aansturen.

Uiteindelijk draait het om het vinden van de juiste balans tussen gespecialiseerde beveiliging en geïntegreerd IT-beheer, passend bij de specifieke behoeften en risico's van het bedrijf. Ongeacht de gekozen aanpak, blijft het belangrijk om cybersecurity te zien als een integraal onderdeel van de bedrijfsstrategie, en niet als een losstaand technisch probleem.

Raymond Bierens is een vooraanstaand cybersecurity-expert en strategisch adviseur met meer dan 20 jaar ervaring in de sector. Als bestuurslid van het Dutch Institute for Vulnerability Disclosure (DIVD) en voorzitter van de Connect2Trust Foundation adviseert hij organisaties in zowel de publieke als private sector over digitale risico's en cybersecurity-strategieën, met name bij grote digitale transformaties. In zijn rol als onderzoeker aan de Vrije Universiteit Amsterdam ontwikkelt Bierens een digitaal risicomanagement-raamwerk om leiders en toezichthoudende organen te ondersteunen. Zijn onderzoek richt zich op de complexe relatie tussen bestuurders en technische teams, waarbij hij zich concentreert op het verbeteren van wederzijds begrip en effectieve samenwerking in het managen van digitale risico's.

Marcel Spruit is professor Cyber Security & Safety aan de Haagse Hogeschool, met meer dan 30 jaar ervaring in het veld. Hij leidt een onderzoeksgroep die zich richt op de menselijke factor in cybersecurity, met een focus op cybersecurity governance en bewustwording. Zijn onderzoek concentreert zich op non-profit organisaties zoals gemeenten, waterschappen en ziekenhuizen, waar hij onderzoekt hoe mensen en organisaties effectief gemotiveerd kunnen worden om cybersecurity-maatregelen te implementeren. Spruit's werk belicht de cruciale rol van menselijk gedrag en organisatorische processen in het versterken van cyberveiligheid, naast technische oplossingen.