Managed hosting door True

Visterin Verdiept: Hoe matuur is België in security?

Security maturity bij Belgische organisaties: 5 niveaus, 3 categorieën en 3 pijnpunten

Dit artikel delen:

Op het Checkup event van Securelink deze week lag de nadruk onder meer op security maturity. Zo werden ook cijfers getoond van het maturiteitsniveau van ons land in vergelijking met enkele buurlanden. Waar staan we? ‘België loopt alvast niet achter.’

Volgens de cijfers die Jo Vander Schueren, general manager bij Securelink België op zijn eigen event liet zien, doet België inzake security maturiteit het niet slechter dan Nederland.

Meer zelfs: België doet het zelfs iets beter dan onze noorderburen, al is het verschil beperkt. De maximumscores zitten bijvoorbeeld hoger dan 3, terwijl Nederland onder dat niveau zit, en ook voor het algemene gemiddelde ligt België iets hoger. Het gaat om cijfers van bedrijven die Securelink zelf onderzocht, doorgaans bij klanten.

Vijf niveaus

In security maturiteit kan je gaan van niveau 0 tot niveau 5. ‘Niet elk bedrijf wordt geacht om naar 5 te streven. Van defensie zou je dat verwachten. Van banken wordt eerder niveau 4 verwacht, en van andere organisaties bijvoorbeeld eerder 3’, illustreert Vander Schueren.

Toch wil Vander Schueren zijn cijfers een beetje kaderen. ‘Het is dus zeker niet dat België erg achterloopt op Nederland. Dat merk ik ook aan de dagelijkse praktijk, vermits wij actief zijn in diverse landen’, erkent hij. ‘Al hebben de twee landen toch vooral een achterstand op het Verenigd Koninkrijk en de Scandinavische landen inzake maturiteit in security.’

Drie onderdelen

Security maturity modellen zijn niet nieuw in it. Rond software bestaan ze bijvoorbeeld al heel lang, en ook in security zijn ze de laatste jaren komen opzetten. ‘Wij onderwerpen klanten al ongeveer 2,5 jaar, indien ze dat wensen, aan zo’n security maturity onderzoek’, vertelt Simen Van der Perre, solution specialist bij Securelink. Drie cruciale onderdelen van security worden hierbij onder de loep genomen: technologie, processen en mensen, de klassieke heilige drievuldigheid in security.

Uiteindelijk krijgen bedrijven één eindcijfer, los daarvan zijn er vaak onderlinge verschillen. Het is bijvoorbeeld mogelijk dat sommige bedrijven verder staan op niveau van hun security processen dan qua technologie. ‘Bij banken gebeurt dit wel eens’, aldus Van der Perre. ‘Anderzijds zien wij, bijvoorbeeld bij industriële bedrijven, het omgekeerde: dat ze technologisch verder staan dan met hun processen.’

Securelink heeft een eigen maturity model ontwikkeld, mede op basis van hun jarenlange ervaring zoals ze zelf aanhalen, maar wel met onderdelen van de klassieke standaarden of instituten zoals ISO 27.000, Sans of Cyber Essentials. ‘We voeren dit model ook enkel uit bij de klanten die erom vragen. Het is niet dat we al zoveel bedrijven onderzocht hebben om te spreken van een volledig wetenschappelijk verantwoorde analyse. Maar het is zeker een goede indicatie’, oppert Van der Perre.

Drie pijnpunten

Yurri Bobbert, ciso bij de Nederlandse NN Group en ook professor in België aan de UA, die zich eveneens bezighoudt met security en security maturity, haalde naar aanleiding van Checkup enkele vaak voorkomende pijnpunten aan. ‘Deze gelden voor grote organisaties, maar ook vaak voor kmo’s’, stelt hij vast. ‘De eerste is dat veel bedrijven zich vaak nog in een ad hoc modus bevinden.’

Anderzijds stelt Bobbert vast dat veel bedrijven, ook inzake security, nog teveel in silo’s werken. En dit geldt zowel binnen als buiten de organisatie’, vindt hij. Het laatste, en derde pijnpunt, is in de lijn van security modellen wel interessant. ‘Heel veel bedrijven werken nog teveel op basis van checklists, bijvoorbeeld om gewoon aan hun audit te kunnen voldoen. Maar die modellen zijn geen doel op zich. Ze zijn enkel een middel voor een betere security aanpak.’.

Threat intelligence als voorbeeld

Dat zijn tenslotte wel argumenten waar ze zich bij Securelink in kunnen vinden. ‘Zo’n maturity oefening is een startpunt om te zien waar een bedrijf staat’, beaamt Vander Schueren. ‘Het geeft je richting. Als je als bedrijf vindt dat je je dringend met threat intelligence moet bezighouden, terwijl je bijvoorbeeld niveau 3 nog niet hebt bereikt, dan focus je best eerst op andere zaken. Want iets als threat intelligence komt vaak eerder tot zijn recht als je richting niveau 4 gaat’, illustreert hij. ‘First things first.’

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.