Veel bedrijven reageren op de toename van cybercriminaliteit door almaar meer te investeren in security tools. Dat is een heilloze weg. Deze veelal geautomatiseerde hulpmiddelen leveren namelijk enorme hoeveelheden log-data op die vaak grotendeels handmatig moet worden gefilterd en geanalyseerd. Dat is nauwelijks nog te doen.
We mogen momenteel al blij zijn als we zelfs maar in de gaten hebben dat we slachtoffer van een aanval of inbraak zijn, laat staan dat we op die manier een aanval kunnen afweren. Andere organisaties kijken als aanvulling op ‘security point solutions’ naar de mogelijkheden van compliance. Via bijvoorbeeld certificering hopen zij meer grip op security-incidenten en hun oplossing te krijgen. Anders gezegd: de nadruk ligt dan vaak op het procesmatig vaststellen en oplossen van de effecten van een aanval of inbraak. Veel compliance-tools zijn echter te weinig flexibel – het zijn vaak nauwelijks meer dan checklisten en invulformulieren – om de snelle ontwikkeling van cyber-bedreigingen bij te houden.
De enige oplossing die daadwerkelijk leidt tot effectieve resultaten is het in kaart brengen en beheren van de risico’s. Vervolgens kan men op basis hiervan het security operations-plan uitrollen.
Meer dan techniek nodig
Hét grote probleem is dat de focus bij security veel te veel op technologische oplossingen ligt. Anders gezegd: veel it-afdelingen proberen de cybercriminelen buiten de deur te houden. Hoe relevant hun inspanningen ook mogen zijn, dat is niet waar het werkelijk om gaat. Uiteindelijk is de directie van de organisatie vooral geïnteresseerd in de vraag in hoeverre de business-processen van de organisatie negatief door een aanval worden beïnvloed en dan met name die processen waarmee de organisatie zijn geld verdient of die een groot risico vormen voor bijvoorbeeld de merknaam.
Het is dus van cruciaal belang dat we een goed en actueel beeld hebben van de vraag welke zakelijke risico’s de organisatie per werkproces mag of wil lopen. Maar hoe doen we dat als we net vastgesteld hebben dat veel compliance-tools niet voldoen? De oplossing zit ‘m naar mijn mening in het uitbreiden van compliance met een goede inschatting van de risico’s. Daarmee bedoel ik dit:
- identificeer de security-bedreigingen, kwetsbaarheden en risico’s.
- stel vast waar ruimte zit tussen de diverse security-silo’s die door de point-oplossingen worden gevormd.
- maak een inschatting van de risico’s die hierdoor voor de business ontstaan.
- definieer acties om deze risico’s terug te brengen.
- stel prioriteiten welke risico’s als eerste aangepakt moeten worden op basis van de daarmee samenhangende kosten en zakelijke impact.
EESA-framework
Het interessante van deze manier van werken is dat er zelfs een framework bestaat dat deze aanpak ondersteunt: End to End Security Risk Assessment (kortweg EESA). Dit framework is ontwikkeld door een aantal Israëlische onderzoekers en wordt ondersteund door onder andere het Center for European Policy Studies (CEPS) en het European Network and Information Security Agency (ENISA). Het grote voordeel van dit framework is dat dit tevens een basis biedt voor software om dit risicobeheer grotendeels te automatiseren. Bedrijven als WCK doen dit zelfs op een manier waardoor grafische dashboards kunnen worden gebruikt om snel inzicht te krijgen in de risico’s die de organisatie uit zakelijk oogpunt loopt.
Van de inzet van it-security – denk aan firewalls, identity management-tools en dergelijke – kan pas sprake zijn als we op basis van een EESA-framework de risico’s die de organisatie mag en wil lopen in kaart hebben gebracht. Het grote voordeel van deze aanpak is bovendien dat we dan heel gericht kunnen investeren. Het is dan immers exact duidelijk waar de organisatie bepaalde zakelijke risico’s loopt. Die risico’s kunnen dan heel gericht met security-tools worden ingeperkt cq verholpen.
Voor een gratis tool voor het uitvoeren van een risicoanalyse voor informatiebeveiliging, zie http://www.ravib.nl/
Beveiliging is grotendeels een vorm van risico management want 100% veilig bestaat tenslotte niet. Het blijft een kunst van afwegingen maken waarbij het inderdaad niet alleen om techniek gaat, de mens blijft tenslotte de zwakste schakel. En daardoor lijken compliance en beveiliging me slecht bij elkaar te passen.
Wat ik in de hausse sinds 2008 erg jammer vind, in aanvulling hier op Ewoud, is dat men niet goed door heeft wat de kwalitatieve afname in IT, voor direct aantoonbare gevolgen heeft.
Risk assessment en management dienen namelijk gewoon en integraal standaard deel uit te maken van de gehele E2E keten. In de meest basale zin als controle punt.
Je kunt niet verwachten van junior/medior IT personeel dat zij de kennis en visie in zich hebben te denken aan Risk assessment en management, als dit al een summier punt was bij dat uitgefaseerde Senior Human Capital.
De gaten in het E2E keten proces worden steeds groter met alle logische voorspelbare gevolgen van dien.
Commercie
De commercie is een groter gevaar dan menigeen zich realiseert. Wanneer men namelijk om wille van de hype zaken er door probeert te pushen, en dat dit allereerst geld en resources kost om te worden geimplementeerd, dan heeft men heel vaak minder ook voor het doel dat je met IT probeert de realiseren.
Besparingen bewerkstelligen.