Soft Controls: de nieuwe security controls?

Door: Nordi Malih, Chief Digital en COO van Proserve

Informatiebeveiliging is in de beleving van veel organisaties eerst en vooral een kwestie van het inrichten van de juiste technieken en processen. Je komt daarom vooral technisch georiënteerde controls tegen die ervoor zorgen dat de data zo goed mogelijk beschermd is en de impact van een eventuele aanval zo beperkt mogelijk blijft.

De inzet van technologische maatregelen en processen is echter telkens vaker niet voldoende. De zogenoemde soft controls zijn minstens net zo belangrijk. 

Door enkel te bouwen op technologie en processen wordt de menselijke en organisatorische kant vaak uit het oog verloren en zijn er niet onderkende risico’s aanwezig. Deze risico’s kunnen ondervangen worden door soft controls een prominente rol te geven. Het begint met zorgen dat alle lagen van de organisatie doordrongen zijn van het belang van zorgvuldig omgaan met data en de risico’s. 

Een voorbeeld van een soft control is een cultuur waarin speak-up de norm is. Dit betekent dat iedereen ongeacht rol, verantwoordelijkheid of ervaring elkaar niet alleen mag, maar zelfs moet aanspreken om eventuele risico’s te benoemen en liefst te mitigeren en daardoor de kwaliteit te verbeteren.

Een ander voorbeeld van een soft control is een cultuur waarin het normaal is dat men doorvraagt tot de situatie voor beiden partijen echt duidelijk is. Vooral in gesprek met klanten wil men weleens te snel tot een conclusie komen die lijkt op een oplossing, maar feitelijk alleen gekozen wordt om het inhoudelijke gesprek te ontlopen. 

Je kunt enkel een goede oplossing ontwerpen als men eerst elkaars doelstellingen en de risico’s daadwerkelijk begrijpt. Wij zijn ervan overtuigd dat het doorvragen, elkaar uitdagen om voor het maximale te gaan ten alle tijd leidt tot een betere kwaliteit.  

Vergelijk het met een sterrenrestaurant. De chef-kok staat meestal volop in de belangstelling en is het gezicht van de zaak. Echter, deze weet heel goed dat een ster de verdienste is van het volledige team en nooit van de individu. Pas wanneer iedereen in de organisatie op elkaar is afgestemd, elkaar helpt en iedereen een topprestatie levert is een topresultaat te behalen.

Geen 'tick in the box'

Een tweede punt is dat security en compliance niet afgedaan mogen worden als een losstaande onderdeel of als een ‘tick in the box’. Certificeringstrajecten nodigen vaak uit om processen eenmalig volgens de richtlijnen van het betreffende certificaat in te richten, omdat dan eenvoudig een vinkje gezet kan worden. Vervolgens gaat de focus en tijd naar andere zaken uit en verslapt de aandacht of is het de verantwoordelijkheid van een individu of afdeling. Dat is vragen om uitdagingen aangezien veiligheid dan geen onderdeel van de cultuur en de way of working is. Security en compliance zijn geen zaken die je eenmalig doet, maar continu moet blijven onderhouden. Vergelijk het met de voordeur: die draai je ook elke dag opnieuw op slot als je weggaat.

Blijf kritisch en alert

Focus, prioriteit, voortdurende optimalisatie, leren van incidenten en veel tijd investeren in de juiste cultuur moeten daarom vaste onderdelen van de bedrijfsfilosofie zijn. Het is namelijk niet de vraag òf er zich ooit een incident voordoet maar wannéér dat gebeurt. Als je ervan uit gaat dat er een incident zal plaatsvinden dan kan de focus namelijk verlegd worden naar het treffen van goede voorbereidingen ter voorkoming, maar ook ter verkleining van de eventuele gevolgen.

Door deze focus zorg je ervoor dat er geen ruimte is voor aannames, maar wel voor het anticiperen op iedere mogelijke situatie. De primaire focus bij een incident is uiteindelijk altijd het minimaliseren van de impact en als gevolg daarvan zowel de operationele, commerciële en financiële schade. 

Kritisch zijn en blijven is ook van belang als het gaat om wat de business of een klant wil. Iedere keus, zowel technisch als organisatorisch, heeft consequenties voor de veiligheid van data. Het is belangrijk om altijd een scherpe analyse uit te voeren en om eerst alle risico’s zorgvuldig af te wegen. Een enkele keer komt het voor dat hierdoor niet voldaan kan worden aan de exacte wens van een klant zoals deze die voor ogen had.

Desondanks mag het nooit een reden zijn om concessies te doen aan de veiligheid. Op de lange termijn wordt de structurele veiligheid en integriteit hierdoor namelijk ondermijnd. En dat is niet anders dan een doodlopende route die de risico’s alleen nog maar verder vergroot. 

Security en compliance is en wordt een steeds crucialer onderdeel van de bedrijfsfilosofie. Dit geldt voor alle lagen van de organisatie en het gehele ecosysteem. Naast de leidende technische maatregelen zullen de onmisbare soft controls het verschil maken.