InfoSec v CyberSec — Wat is het verschil?

Een vraag die van tijd tot tijd opduikt is: "Wat is het verschil tussen cyberbeveiliging en informatiebeveiliging?"

En het is bijna net zo vaak als de vraag "Is cyberbeveiliging één woord of twee?!" (Ik vind het leuk als één woord, maar ik heb er hoe dan ook niet al te veel last van!)

De InfoSec/Cybersecurity-vraag is een goede en in de meeste gevallen moeilijk te beantwoorden, omdat deze vaak uniek is voor uw organisatie.

Er moet met verschillende factoren rekening worden gehouden:

• Sector waarin je werkt
• Grootte van uw bedrijf
• Aantal beveiligingspersoneel
• Gebruikte technologieën
• Vereisten voor governance

Hier is mijn kijk erop.

Centraal in de meeste digitale beveiligingsoplossingen staat de bescherming van de activa onder de categorie 'Gegevens' en 'Informatie'. En Informatiebeveiliging (InfoSec) heeft dit als kernverantwoordelijkheid.

Informatiebeveiligingsspecialisten werken binnen het bedrijf om ervoor te zorgen dat wet- en regelgeving en internationale normen worden nageleefd en zijn belangrijke spelers bij de vorming van beleid.

Dit team kijkt naar de risico's die gepaard gaan met bedrijfspraktijken en het beschermen van gegevens/informatie en hoe de controles worden geïmplementeerd en onderhouden.

Dit omvat veel vaardige gebieden en kennis. De rollen die werken aan informatiebeveiliging zijn doorgaans:

• Chief Information Security Officer (CISO)
• Functionaris voor gegevensbescherming (FG)
• Team Governance, Risico en Compliance (GRC)
• Risico-analisten
• Auditors voor informatiebeveiliging

Vanwege de aard van gegevens en informatiesystemen speelt cyberbeveiliging een sleutelrol in informatiebeveiliging. Cyberbeveiliging gaat over het beschermen van de mensen en systemen die gegevens maken, opslaan, gebruiken, verzenden en verwijderen.

Het beleid dat hieraan ten grondslag ligt, zijn procedurele risicocontroles die worden beheerd door het infosec-team.

De technische controles die worden gebruikt om beveiliging te implementeren, zoals verdedigingssystemen, scan- en monitoringoplossingen en waarschuwingssystemen voor incidenten, worden beheerd door het Cybersecurity-team namens (of, in samenwerking met) het CISO- en InfoSec-team.

Cyberrisico is een afzonderlijk risico-element voor een organisatie, en dit is een gebied waar er een cross-over kan zijn tussen de InfoSec- en Cybersecurity-elementen.

Cybersecurity-analisten geven ook informatie en informatie terug aan de risicoanalisten, het GRC-team en uiteindelijk de CISO, zodat ze weloverwogen beslissingen kunnen nemen.

Typische functies op het gebied van cyberbeveiliging zijn onder meer:

• Cybersecurity Engineer en Cloud Security Engineer (nauw afgestemd op Infrastructure en IT Admin Security)
• Analist/verdediger en hulpverlener van het Security Operations Center
• Cybersecurity Threat Intelligence en Risk Analysts (nauw afgestemd op het GRC-team)

Cyberbeveiliging sluit aan bij verschillende belangrijke bedrijfsgebieden en fuseert in veel gevallen met die afdelingen.

Bijvoorbeeld:

• GRC/InfoSec heeft mogelijk een Cybersecurity Risk Analyst als onderdeel van hun team;
• IT-afdelingen kunnen Cybersecurity Engineering opnemen als onderdeel van hun functie. Ze kunnen ook Defend-and-Response-oplossingen van derden gebruiken en deze beheren.

Zowel informatiebeveiligings- als cyberbeveiligingsteams vertrouwen ook op specialistische expertise- en vaardigheidsgebieden.

Deze kunnen zijn:

• Functionarissen voor gegevensbescherming die zijn opgeleid in bepaalde wet- en regelgeving (DPA, GDPR, enz.),
• InfoSec-teams en auditors die leiding geven aan sectorspecifieke regelgeving en normen (ISO27001/2, PCI-DSS, NIS2, enz.),
• penetratie testers,
• Forensische onderzoeksteams
• Aanvallende/Defensieve teams (Rode/Blauwe/Paarse teams)

En, zoals hierboven, is er binnen deze teams veel cross-over tussen Informatiebeveiliging en Cybersecurity.

Beide disciplines hebben echter dezelfde kernwaarden:

• Om het bedrijf en kritieke activa te beschermen.
• Om de bedrijfscontinuïteit te behouden.
• Om de groei en ontwikkeling van het bedrijf te ondersteunen.
• Om ervoor te zorgen dat wordt voldaan aan wettelijke en regelgevende vereisten.

Naar mijn mening is er een afbakening tussen de rollen en verantwoordelijkheden van Informatiebeveiliging en Cybersecurity en de vaardigheden die nodig zijn om elke rol uit te voeren. In een ideale wereld kunnen deze gemakkelijk aan verschillende teams worden toegewezen en zou er, gezien het budget, de capaciteit en de beheermogelijkheden, een verschil zijn tussen IT (en IT-beveiliging), informatiebeveiliging en cyberbeveiliging.

We opereren echter niet in een ideale wereld en budgetten en personeelsbezetting kunnen krap zijn, daarom kiezen veel organisaties voor een meer gemengde aanpak voor het beveiligen van hun digitale activa.

Sommigen zullen ook beweren dat deze gezamenlijke aanpak gunstiger is, en ik kan het daar niet mee oneens zijn, omdat het iets heel persoonlijks is.

Ongeacht uw aanpak is het van vitaal belang dat de betrokken personen en teams goed zijn opgeleid en bekwaam zijn om aan de behoeften van uw bedrijf te voldoen en, zelfs als u een 'manusje van alles' bent, kunt u ook een meester in iets zijn met de juiste training en ervaring!

Een ander groot debat is: 'Moet je melk als eerste of als laatste doen bij het zetten van een kopje thee?' Het antwoord is aan het individu en er is geen goede of foute manier om het te doen - zolang het eindresultaat maar is wat je nodig hebt.