Chief information security officer (ciso) zijn was nog nooit zo zwaar. Wijzigingen in EU-reguleringen zorgen voor striktere regels over hoe bedrijven om moeten gaan met de klantinformatie die ze verzamelen. Organisaties die het slachtoffer worden van datadiefstal krijgen een veel grotere boete dan voorheen. Dat zijn dingen waar geen enkele ciso aan wil denken.
Daarbij komt dat cybercriminelen steeds handiger en beter georganiseerd zijn, wat alleen maar voor extra druk op de schouders van de ciso zorgt. Het beschermen van klantdata tegen hackers is daardoor nog het best te vergelijken met een oneindige wapenwedloop waarop ciso’s, met hun gelimiteerde budgetten, steeds slechter voorbereid zijn.
Al met al is het genoeg om de gemiddelde ciso uit zijn slaap te houden. Het is daarom zaak dat ze snappen voor wat voor uitdagingen ze staan, zodat ze de processen goed kunnen inrichten en de juiste maatregelen kunnen treffen.
Nieuwe regels, nieuwe zorgen
De Europese Raad en het Europees Parlement hebben ingestemd met de nieuwe Algemene Verordening Gegevensbescherming (AVG), die de regels voor gegevensbescherming binnen de Europese Unie gelijktrekt. In de AVG zijn bepalingen opgenomen over hoe organisaties persoonsgegevens moeten beheren, segregeren en versleutelen.
Uiteindelijk is de ciso verantwoordelijk voor de implementatie van de technische hulpmiddelen en maatregelen die de AVG voorschrijft. En er zit behoorlijk wat druk achter om het op tijd te regelen, want als organisaties de nieuwe regels niet in acht nemen, zijn de boetes torenhoog: in de AVG is een bedrag van 4 procent van de omzet van een organisatie vastgelegd, dat bij elke datadiefstal betaald moet worden.
Aanvallers zijn verdedigers te snel af
Ciso’s van met name Westerse organisaties moeten het opnemen tegen cybercriminelen die hen altijd één stap voor zijn. Het aantal door de Chinese, Noord-Koreaanse en Iraanse overheden gesponsorde hackers is de afgelopen jaren flink gegroeid, en daarmee ook de vernuftigheid van de aanvallen die ze uitvoeren. Buitenlandse overheden investeren flink in de training van hackers en onderzoek naar nieuwe kwetsbaarheden.
Wat de situatie verder verergert is de toename van wat eufemistisch ‘Lego-malware’ wordt genoemd: simpele programma’s die de minder bedreven hackers voorzien van bouwstenen om virussen mee te schrijven. Veel malware die met deze programma’s wordt geschreven verschilt net genoeg van eerdere varianten om antivirusprogramma’s te kunnen omzeilen. Daardoor zijn er elke dag opnieuw onbekende dreigingen waartegen we ons moeten beschermen.
Voor ciso’s is het lastig om aan de raad van bestuur uit te leggen dat de beveiligingsmaatregelen niet langer voldoen omdat de aanvallers steeds beter worden. Er is meer geld nodig om de bedreigingen het hoofd te blijven bieden, maar in veel organisaties is geen onbeperkt budget voor databeveiliging. Dat maakt het voor ciso’s nog eens extra lastig.
Stapsgewijs naar een oplossing
Deze obstakels klinken misschien onoverkomelijk, maar er is ook hoop: tegen nagenoeg elke dreiging kun je je namelijk wapenen. Hoe pak je dat aan?
Je begint met het maken van een strategisch beveiligingsplan zodat duidelijk wordt welke systemen, processen en gegevens absoluut essentieel zijn voor de continuïteit van een organisatie. Iedere organisatie heeft een ander risicoprofiel, afhankelijk van wie er werken, wat de organisatie doet, en waar deze actief is. Door in kaart te brengen welke bedrijfskritieke gegevens en processen bescherming nodig hebben, kan beter bepaald worden welke beveiligingsmaatregelen in het leven geroepen moeten worden.
Eén maatregel die aan populariteit wint onder beveiligingsexperts is microsegmentatie. Sommige cloudproviders bieden dat al standaard aan, waardoor organisaties hun gegevens veilig kunnen opslaan en veel andere beveiligingsmaatregelen niet nodig lijken. Dat betekent echter niet dat ciso’s hun firewalls kunnen neerhalen: deze oplossingen zijn vooral bedoeld als aanvulling op de bestaande beveiligingsmaatregelen.
Door het risicoprofiel van het bedrijf in kaart te brengen, een beveiligingsstrategie te formuleren én ciso’s de oplossingen te bieden die ze nodig hebben, kunnen zij de moeilijke maar goede gesprekken met de raad van bestuur aangaan. Daarna wordt het vooral hun beslissing: zijn ze bereid om data te verliezen? Want dat gebeurt onherroepelijk als ze niet in de juiste beveiligingsmaatregelen investeren.
Het goede nieuws is dat, nu de AVG er is en het algemene besef van de risico’s van slechte cyberbeveiliging is ingedaald, ook de managers buiten de it-afdeling de bedreigingen serieus beginnen te nemen. Ciso’s kunnen met een iets geruster hart slapen dan voorheen – ze weten dat hun zorgen worden gedeeld.
Darren Brooks, EMEA delivery lead voor security services bij Unisys
“Voor ciso’s is het lastig om aan de raad van bestuur uit te leggen”.
De eindverantwoordelijkheid voor Governance& Compliance ligt op RvB/RvC-niveau. De sancties uit de AVG óók.
Het is dus aan de CISO om aan RvB/RvC duidelijk te maken wat nodig is om hun verantwoordelijkheden en aansprakelijkheden in realiteit om te zetten. Inclusief kosten/baten en 0-scenario.
Wie betaalt bepaalt, en omgekeerd.