Na de dagelijkse stroom van cyber security incidenten in het nieuws zou je toch denken dat het management van bedrijven security serieus neemt. Helaas zijn er nog steeds C-executives/managers, die denken dat hun bedrijf niet interessant genoeg is voor (externe) hackers of hun eigen mensen/systemen geen fouten maken, waardoor er data op straat komt. Tegen deze mensen zou ik zeggen: Weltrusten! De anderen raad ik aan dit artikel te lezen.
Alles en iedereen is tegenwoordig aan internet verbonden en dus ‘hackable’. De technologische ontwikkelingen gaan razendsnel en zijn bijna niet bij te houden. De hackers zijn vooral nieuwsgierig (ongeacht hun motieven) en de software zonder bugs is nog steeds een illusie. Tot zover de bekende ‘open deuren’.
Het is dan ook niet verrassend dat er elke dag (!) nieuwe cyber security incidenten worden gemeld. Het is voor mij dan ook onbegrijpelijk dat er nog steeds C-Executives/managers zijn, die security niet serieus nemen en verrast zijn als er iets gebeurt.
In dit artikel geef ik mijn visie over hoe security dient te worden aangevlogen in de huidige tijd, waarin alles en iedereen met elkaar verbonden is. Voor alle mensen, die echt willen weten hoe de wereld werkt en bereid zijn om hier aandacht aan te besteden.
De basis
Iedere organisatie heeft een doel: continuïteit, winst behalen, maatschappelijke verantwoordelijkheid, et cetera. Dit doel kan alleen worden bereikt als de mensen en middelen goed worden ingezet, met inachtneming van de risico’s die ervoor kunnen zorgen dat het doel niet wordt gehaald. Het zijn juist die risico’s, die essentieel zijn, want deze vormen de basis voor security. Security wordt namelijk ingericht met als doel de risico’s tot een aanvaardbaar niveau terug te brengen.
Iedere zelf respecterende organisatie zou dus moeten beginnen met een uitgebreide risico analyse, voordat de securitystrategie kan worden bepaald. Dit klinkt ook als een ‘open deur’, maar is blijkbaar nog niet doorgedrongen bij heel veel organisaties. Veel organisaties behandelen security als ‘ad hoc’ en maken veelvuldig gebruik van ‘point solutions’. Ga dus terug naar de basis en begin met een vulnerability assessment in combinatie met een penetratietest, die vervolgens kunnen worden verwerkt in een overkoepelende risico analyse. Vandaaruit kan security worden opgebouwd.
De praktijk
In de werkelijkheid klinkt de theorie heel mooi, maar wordt deze maar zelden uitgevoerd volgens het boekje. Het management van organisaties heeft nog steeds een ’trigger’ nodig om het echt te begrijpen wat security inhoudt en helaas is dit vaak een security incident. Security wordt vaak uitgevoerd in de waan van de dag en daar waar er ‘gaten ontstaan in de dijk, moet de security officier zijn/haar vinger insteken’. Daarnaast zijn of worden er security point solutions aangeschaft, die slechts één aspect van security ondervangen en niet coördinerend zijn opgesteld of met elkaar samenwerken.
Om in de huidige verbonden wereld de organisatiedoelen te bereiken, de risico’s te beheersen en het hoofd te kunnen bieden aan de uitdagingen, is een securityteam onder leiding van een corporate security officer (cso) nodig, die 100 procent wordt ondersteund door het management. Dit houdt in dat het management moet investeren in mensen en vervolgens deze mensen de ruimte en budget moet geven om een securityplan en security uitvoering op te leveren. Zonder deze investering, zijn alle andere aanpakken van security gedoemd te mislukken.
Om dit concreet in te vullen, dient het management de volgende stappen te nemen:
1) Bepaal de business doelen en maak deze breed bekend;
2) Bepaal de bedreigingen (risico’s) voor deze doelen door een overkoepelende risico analyse;
3) Stel een cso aan met een team van security professionals;
4) Laat dit team een securitystrategie (inclusief roadmap) ontwikkelen en uitvoeren;
5) Blijf deze cyclus jaarlijks herhalen.
Quick Wins
Naast dit strategische securityplan, zijn er ook in iedere organisatie ‘quick wins’ te behalen. Deze zijn nodig om de steun van het management te verkrijgen en/of te behouden. Het is van belang dat het security team zich ook bezig houdt met deze ‘quick wins’, die kunnen worden gezien als ondersteuning voor de security strategie. In mijn tijd als ciso heb ik de volgende ‘quick wins’ geïdentificeerd en uitgevoerd:
– Security awareness-programma voor het personeel;
– Een georganiseerde social engineering aanval;
– Een interne Wi-Fi Pineapple aanval;
– Encryptie van end devices.
Conclusie & aanbevelingen
Wacht niet tot het kalf verdronken is, maar begin pro-actief met het dempen van de put! Neem security serieus en dat vereist nu eenmaal investeringen. Begin met investeringen op de juiste plek en stel een cso en security-team aan, die een overkoepelende rol hebben en beginnen met een overkoepelende risico analyse.
Alleen op deze manier kan een bedrijf succesvol zijn/worden, want security is geen ‘bijzaak’ meer, maar een business discriminator!
Fred Streefland
CISO Exact
Voor stap twee, zie https://www.ravib.nl/
RAVIB is een gratis tool voor het uitvoeren van een risicoanalyse voor informatiebeveiliging.