Het cybersecurity-landschap is de afgelopen jaren sterk veranderd. Trends als ransomware en het Internet of Things zorgen voor een steeds groter risico voor bedrijven. Om hun organisaties hiertegen te wapenen, moeten moderne CSO's zich nieuwe kennis en vaardigheden eigen maken. Daarnaast moeten zij zich in hun communicatie veel meer focussen op risicomanagement.
Over deze blogger
Stefan Sijswerda is binnen Dell adviseur informatiebeveiliging. Hij is verantwoordelijk voor de begeleiding van informatiebeveiligingstrajecten bij relaties van Dell. De specifieke kennisgebieden liggen rondom Identity & Access Management/ Governance en netwerkbeveiliging. Hij studeerde bedrijfskunde en heeft zich verder ontwikkeld op het vlak van bedrijfsprocesautomatisering. Daarnaast doorloopt hij samen met relaties de opbouw van business cases en assisteert bij de transitie van bedrijven om informatiebeveiliging te gebruiken bij verbeteren en vereenvoudigen van bedrijfsprocessen.
Bedrijfsnetwerken worden steeds complexer, onder andere door het toenemende gebruik van cloud-services, mobiele devices en het Internet of Things. Open communicatie en het flexibel delen van informatie is hier een belangrijk onderdeel van. Dit zijn immers eerste vereisten om snelle innovatie mogelijk te maken. Maar hoe houd je grip op al dat datadelen als je te maken hebt met zoveel bron- en doelsystemen? Innovatie staat voorop, maar hoe doe je dat nu op een veilige manier? Technologie voor informatiebeveiliging speelt daar vanzelfsprekend een belangrijke rol bij. Maar die technologie heeft meestal geen grip op de risico’s van menselijk handelen, bijvoorbeeld als zij worden verleid om malware te installeren of wachtwoorden of bedrijfsinformatie door te geven aan een social engineer. Door deze nieuwe risico’s, denk ik dat de rol van de CSO binnen bedrijven sterk aan het veranderen is. Naast zijn inhoudelijke cybersecurity-taken en advies zal hij zal steeds meer rechtstreeks aan de directie moeten rapporteren. Daarbij is het van groot belang dat hij in staat is dit soort vraagstukken op het vlak van informatiebeveiliging en risicomanagement op de juiste manier aan deze doelgroep over te brengen.
Lucratief
In 2015 werd duidelijk dat ransomware een groeiende trend is, wat onder andere wordt bevestigd door een onderzoek van McAfee. Daaruit blijkt dat het afgelopen jaar naar schatting zo’n 325 miljoen dollar in Bitcoin werd betaald door gedupeerden van de CryptoWall-ransomware. Door dit enorme financiële ‘succes’ wordt verwacht dat steeds meer cybercriminelen zich de komende jaren zullen gaan richten op ransomware-campagnes. We zien dat dit ook steeds meer wordt gecombineerd met telefoonoplichting om de effectiviteit nog verder te vergroten. Nieuwe vormen van ransomware en zelfs ransomware-as-a-service verschijnen regelmatig op de markt. CSO’s moeten zich goed bewust zijn van de bedrijfsrisico’s die hiermee gemoeid zijn. Om hier adequaat tegen op te treden zijn investeringen in informatiebeveiliging nodig, maar met name ook training voor werknemers. Om daar goedkeuring voor te krijgen, moeten zij de gevolgen van risico’s op de juiste manier communiceren aan het management. Hun werk verschuift hierdoor van informatieveiligheid naar risicomanagement, voortkomend uit de digitale wereld, wat door steeds meer CISO’s wordt onderschreven. Dit wordt ook erkend door ChiME, dat in 2014 speciaal voor healthcare-CISO’s de Association for Executives in Healthcare Information Security (AEHIS) oprichtte. Deze organisatie faciliteert sinds 2015 specifieke trainingen rondom die verandering in communicatie. Kortom: er moet veel meer gecommuniceerd worden in termen van reputatieschade, de gevolgen van cyberinbraken op klantcontact en het herkennen van onbedoelde consequenties van bedrijfsactiviteiten in cyberspace. Op dit gebied hebben veel CSO’s nog een kennisgat te dichten.
Cybersecurity-gastcolleges
De grote vraag is hoe we nu moeten omgaan met dit kennisgat. Er is weliswaar een enorme behoefte aan cybersecurity-professionals, maar de vraag is of zij wel de juiste vaardigheden in huis hebben. Er zijn genoeg professionals met kennis van firewalls en dergelijke, maar er is de komende jaren juist veel meer behoefte aan mensen die de koppeling kunnen maken tussen zakelijke uitdagingen en ontwikkelingen en zwakten binnen de cyberomgeving. Directies worden zich steeds meer bewust van het feit dat digitaal de nieuwe manier van bedrijfsvoering is. Maar om de bedrijfsrisico’s die daarmee gepaard gaan goed te kunnen managen, moeten zij de juiste inschattingen kunnen maken op basis van gewogen informatie. Advies dus op het gebied van risicomanagement, nieuwe cybersecurity-trends en hoe je daar als organisatie mee om dient te gaan.
Awareness creëren
Graag wil ik daarom een oproep doen aan alle security-professionals. Er is de afgelopen jaren veel geschreven over training rond security awareness, wat ook in Nederland hoog op de agenda moet staan. Maar wie draagt de verantwoordelijkheid om die awareness op het juiste niveau te brengen? Waar begint het overbrengen qua kennis en wanneer? Er zijn al verschillende discussies gevoerd om dit zo vroeg mogelijk in de leergang van kinderen in te brengen. Scholen hebben vaak de kennis (nog) niet in huis om dit te verzorgen. Het lijkt mij daarom goed dat wij als security-professionals meer gastcolleges gaan verzorgen. Wellicht een goed begin zou zijn om op basisscholen en middelbare scholen onze kennis en ervaring op dit gebied over te brengen. Door die kennisoverdracht over security-awareness zijn de werknemers van de toekomst beter voorbereid op het bedrijfsleven en de cybersecurity-risico’s die daar gelden. En misschien kunnen die kinderen hun ouders dan nog wat kunnen bijbrengen over de digitale wereld, want zij zijn ten slotte de ‘digital natives’.
