It-beveiligingsteams besteden onevenredig veel tijd aan het beheren van bedreigingen, en het wordt volgens hen alleen maar moeilijker. Ondanks verschillen in grootte, geografie en branche, worstelen ze allemaal met dezelfde uitdagingen.
De volgende klachten voeren de boventoon:
- Teams hebben beperkt zicht
- We worden overspoeld door tools en gegevens
- We kunnen de handmatige processen niet bijbenen
Deze obstakels beletten cio's en ciso’s in het volgen van cyberrisico’s en erover te rapporteren zoals de bredere enterprise risk management-praktijken van bedrijven dat vereisen. Waar komt deze plotselinge aandacht voor cyberrisico’s bij ceo's en directieteams vandaan?
Cyberrisico is een zorg op bestuursniveau
Besturen zien ook alle berichten in de media en hun bezorgdheid neemt toe bij elk bericht over cyberoorlogsvoering in Oost-Europa en over ransomware-aanvallen in Nederland. Wie had gedacht dat Artis ooit een onderwerp van zorg zou worden in de bestuurskamers? Volgens onderzoek van ESG moeten ciso’s bij meer dan de helft van de driemaandelijkse bestuursvergaderingen verantwoording komen afleggen. Het beperken van cyberrisico's is belangrijk omdat de kosten van een geslaagde cyberaanval de pan uit rijzen. IBM berekende de gemiddelde kosten van een datalek. Deze stegen in 2021 van 3,86 naar 4,24 miljoen dollar, de hoogste stijging in de zeventien jaar dat IBM hierover rapporteert.
De zorgen over it-security beperken zich niet tot de bestuurskamers. Aandeelhouders volgen het nieuws natuurlijk ook en zij willen weten wat de bedrijven in hun portefeuilles daaraan doen. Volgens GlobalData worden er nu gemiddeld achthonderd keer per kwartaal melding gemaakt van 'it-beveiliging' in openbare financiële rapportages. De AVG bevat een meldplicht voor datalekken. Organisaties moeten direct een melding doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. Zij moeten het datalek ook melden aan de betrokkenen en daarom blijft dit nooit lang uit het nieuws. Naast de financiële schade loopt ook het imago van een bedrijf een deuk op en neemt het vertrouwen onder klanten af. Bestuursleden en aandeelhouders leggen ciso's daarom het vuur na aan de schenen over de uitgaven aan it-beveiliging, meetinstrumenten voor het succes daarvan en plannen voor de bedrijfscontinuïteit in het geval van een cyberaanval.
Bestuurders en aandeelhouders zijn zelden techneuten. Dit betekent voor iedere cio en ciso dat zij het bestrijden van cyberrisico’s op een andere moeten bespreken. Volgens ESG is het tijd om de 'techno-praat' af te schaffen en in duidelijke taal uit moeten leggen wat cyberrisico’s uiteindelijk betekenen voor de bedrijfsresultaten. Voor velen zal dit een omschakeling vereisen. Het vraagt om een op risico's gebaseerde benadering van het beheer van it-beveiliging.
Categorieën
It-beveiliging moet risico’s in verschillende categorieën beperken:
- Risico's van op zichzelf staande softwaretoepassingen, die verouderd kunnen zijn, niet meer worden ondersteund of op maat zijn gebouwd.
- Risico's van geïntegreerde technologieën die door derden worden beheerd of deel uitmaken van een bredere toeleveringsketen.
- Risico's van de fysieke of virtuele infrastructuur, zoals endpoints, servers, netwerkapparaten, clouds en containers.
- Ook mensen vormen een groot risico, aangezien het personeel van een bedrijf ten prooi kan vallen aan cybercriminelen die misbruik maken van menselijke fouten, onbegrip of onwetendheid.
Aangezien ciso’s verantwoordelijk worden gehouden voor het verminderen van cyberrisico's, moeten ze it benaderen op basis van risico’s. Dat betekent dat zij it-beveiligingsoplossingen, -processen en -teams moeten convergeren en laten samenwerken. Deze op risico's gebaseerde aanpak kan voorgeschreven zijn door bedrijfsbeleid, wet- en regelgeving of financiële auditnormen. Ciso’s moeten deze regels naleven en tegelijkertijd de it-verdediging te versterken. Tot slot moeten ze in hun rapportages aantonen hoe de beveiligingscontroles presteren ten opzichte van interne doelstellingen en benchmarks in de sector.
Cyclus van drie stappen
Het lijkt makkelijker gezegd dan gedaan. Met de volgende cyclus van drie stappen is het echter mogelijk om een op risico's gebaseerde aanpak van it-beveiliging te hanteren. Deze stappen bewaken het dreigingslandschap, maken een snelle reactie mogelijk, en voorzien in de onderbouwing waar de bedrijfsleiding om vraagt.
- Beoordeel risico's door alle it-middelen inzichtelijk en beheersbaar te maken. Effectief beheer van kwetsbaarheden begint met een grondige beoordeling van bedreigingen. Organisaties moeten de werkelijke cyberrisico's kunnen kwantificeren, zodat het eenvoudiger wordt om prioriteit te geven aan bedreigingen;
- Verklein risico's door de consolidatie van it-beveiligingsoplossingen. Zodoende ontstaat een uniform platform, met mogelijkheden voor automatisering, voor risicomonitoring, detectie en herstel;
- Rapporteer risico’s op basis van duidelijke meetinstrumenten die risico’s vergelijken met standaarden in een vakgebied en benchmarks en best practices van branchegenoten. Dat brengt in kaart wat de unieke blootstelling van een organisatie is ten opzichte van specifieke cyberrisico's.
Kwetsbaarheden tellen
Door deze verschuiving naar een op risicogebaseerde aanpak van it-beveiliging heeft het geen zin meer om alleen de kwetsbaarheden in de it-omgeving te tellen. Dat valt niet mee, want tot nog toe werd veel waarde toegekend aan het tellen van kwetsbaarheden. Het totale aantal gemelde kwetsbaarheden is de afgelopen jaren explosief gestegen. In de jaren negentig werden in totaal 2.594 kwetsbaarheden geklokt, wat in de jaren 2000 met 796 procent steeg tot 37.231, en sinds 2010 zijn er nog eens 135.284 ontdekt (bron: Qualys). Een cumulatieve groei van het aantal kwetsbaarheden met 5.116 procent door de jaren heen lijkt opzienbarend. Maar door het cyberrisico te beoordelen in termen van bedrijfsrisico, kunnen deze astronomische aantallen in perspectief worden geplaatst.
Het is hierdoor niet langer houdbaar om doelstellingen voor het beheer van kwetsbaarheden te prioriteren op basis van CVSS-scores alleen. Het is verspilde moeite om kwetsbaarheden te patchen waarvan niet altijd duidelijk is of zij het risico verminderen.
Een kwetsbaarheid vormt pas een risico voor een organisatie als deze voorkomt op een it-middel dat van wezenlijk belang is in een specifieke omgeving. Een ernstige kwetsbaarheid kan bijvoorbeeld minder zorgwekkend zijn als er compenserende maatregelen zijn om het risico te beperken. De kennis hierover maakt dat de meeste kwetsbaarheden automatisch zijn te herstellen en dat beveiligings- en it-teams zich als een laserstraal kunnen richten op de kwetsbaarheden die het belangrijkst zijn voor de organisatie. Dat is de essentie van een op risico’s gebaseerde benadering van it-beveiliging.
Uw reactie
LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren