De huidige wereld is een internet of things geworden, complex en vooral uitdagend voor security professionals. Er vinden dagelijks cyber-aanvallen plaats op verschillende organisaties (en ja, ook op die van jou!) en het management (de board) is vooral bezig met de business. Daarnaast wordt er steeds meer wetgeving op dit gebied ontwikkeld (onder meer de Meldplicht datalekken), hetgeen ook een extra dimensie geeft.
Hoe kun je als security professional dan toch zorgen dat de organisatie veilig wordt en ook veilig blijft? Je kunt wachten tot er een serieus security incident plaatsvindt in jouw organisatie waardoor het management ‘wakker wordt’ en stappen gaat nemen. Pas op dat moment zal er worden geïnvesteerd in security en loopt men achter de feiten aan (helaas is dit nog steeds heel vaak het geval).
Je kunt ook pro-actief beginnen met een uitgebreid risico assessment, waarbij wordt getracht om alle risico’s die jouw organisatie loopt, in kaart te brengen. In deze risk assessment workshops met alle werknemers, wordt bepaald wat de risico’s zijn voor de betreffende afdelingen. Tijdens deze brainstorm sessie, worden niet alleen de risico’s genoemd, maar wordt ook in overleg aangegeven wat de impact (1-5) en probability (1-5) zijn per risico. Hieruit volgt dus een risico opsomming met daarbij per risico een waarde (impact X probability).
Risks en cyber security
Tot zover niets nieuws, maar wat heeft dit nu te maken met ‘Cyber security in the boardroom’?
Na het creeëren van het complete risico overzicht, wordt er per risico door overleg tussen de risk manager en de security manager bepaald hoe deze risico’s het beste kunnen worden ‘aangepakt’. Er worden per risico controls geïdentificeerd, die de risicowaarde verlagen tot een ‘rest-risico’. Vervolgens worden deze rest-risico’s aan de board gepresenteerd met de vraag of deze rest-risico’s acceptabel zijn (ook wel ‘risk appetite’ genoemd). Iedere organisatie zal in principe streven naar zo laag mogelijke rest-risico’s, dus hier begint de ‘direction & guidance’ van de board. Zij bepaalt wat er moet gebeuren op dit gebied en wat de gewenste rest-risico’s zijn. Het is vervolgens de taak van de security manager en de risk manager om hier invulling aan te geven.
Om deze bovenstaande methodiek pragmatisch te kunnen uitvoeren, is het van belang om dit aan een framework en een maturity model te koppelen, zodat het gestructureerd en meetbaar wordt gemaakt. Het framework dat zich hiervoor uitstekend leent, is het ISO27001 framework. Door gebruik te maken van dit framework worden niet alleen alle veertien domeinen van het framework in kaart gebracht (waardoor er geen security domein wordt vergeten), maar kan direct een ISO27001 certificering worden nagestreefd (twee vliegen in één klap). Het maturity model zorgt ervoor dat het duidelijk wordt op welk maturity level en ‘risico niveau’ de verschillende domeinen zich bevinden. Hierdoor kan de wens van de board eenvoudig worden vertaald naar de uitvoering.
Samenvatting en conclusie
Door gebruik te maken van bovenstaande methodiek wordt een pragmatische koppeling gemaakt tussen de ‘risk appetite’ van de board en de invulling van security maatregelen (controls). De invulling van de controls zal een combinatie zijn van policies, procedures en tools. Het is essentieel dat deze volgorde (boardroom risk appetite -> uitvoering van controls) wordt aangehouden, zodat er eerst wordt vastgesteld wat de risk appetite is en hoe de rest-risico’s verder kunnen worden verlaagd voordat er tools worden aangeschaft. Helaas is het mijn ervaring dat er bij veel organisaties eerst tools worden aangeschaft zonder dat er bekend is wat de risk appetite is van board.
Uit bovenstaande kan worden geconcludeerd dat cyber security helemaal niet begint met techische oplossingen of ‘point solutions’, maar juist zal moeten starten vanuit de boardroom. De initiatie van deze methodiek zal wel door de security manager en/of risk manager moeten worden gedaan en bij voorkeur voordat er een security incident heeft plaats gevonden. Want dat zal vroeg of laat toch gebeuren…..