Digitalisering heeft de manier waarop we leven, werken en ons vermaken ingrijpend veranderd. Veel organisaties gaan recent ook proactief aan de slag met de 'digitale transformatie', omdat het niet langer genegeerd kan worden. Deze transformatie maakt veel vernieuwing mogelijk en biedt kansen, waar iedereen baat bij heeft.
De keerzijde is dat het ook geleid heeft tot een verscheidenheid aan veiligheidsbedreigingen die deze (ver)nieuwe(nde) wereldorde dreigen te verstoren. Nieuwe datalekken en cyberaanvallen halen meer dan regelmatig de headlines op sociale media maar ook het journaal. Organisaties in alle soorten en maten worden getroffen, van fysieke winkels tot transportbedrijven. Verhoogde alertheid is vereist van burgers, bedrijven en overheden.
Nieuwe kwetsbaarheden
Met de opkomst van innovaties, zoals kunstmatige intelligentie en het internet of things (IoT), nemen de (kansen en) bedreigingen verder toe. Deze brengen nieuwe kwetsbaarheden met zich mee die een nog groter schadepotentieel hebben in een tijdperk waarin bijna alles is gekoppeld aan het internet. Zo haalde bijvoorbeeld een geval van kwetsbare pacemakers in de VS ook in Nederland het nieuws. De pacemakers van Abbott werden door de Amerikaanse toezichthouder Food & Drug Administration (FDA) teruggefloten omdat er een kwetsbaarheid in de software was gedetecteerd. Dit bood aanvallers de mogelijkheid om de batterij van de pacemaker in snel tempo leeg te maken, instellingen te wijzigen en zelfs de pulsfrequentie en het ritme van het apparaat aan te passen.
Meer dan vierhonderdduizend gebruikers werden opgeroepen om zich naar het ziekenhuis te begeven om de software-update te ontvangen. Als cybercriminelen vóór de installatie van deze update hadden toegeslagen, dan hadden ze met het grootste gemak blijvend letsel kunnen veroorzaken. Dit incident toont aan dat cybersecurity een voorwaarde is om als organisatie succesvol digitaal te transformeren.
Toename bedreigingen
Omdat er eerder meer dan minder innovaties blijven verschijnen, nemen ook de potentiële bedreigingen toe. Dit maakt dat veiligheid boven aan het prioriteitenlijstje van elke besluitvormer zou moeten staan. Organisatie met een redelijk volwassenheidsniveau werken regelmatig de besturingssystemen en applicaties bij met de laatste patches en malware-bescherming. Twee derde van alle organisaties investeert voortdurend in nieuwe cybersecurity-maatregelen. Maar zelfs na het verhogen van hun investeringen zijn bedrijven nog altijd onvoldoende voorbereid op cyberbedreigingen. Dat komt vaak doordat ze niet naar het hele organisatorische plaatje kijken, waardoor het benodigde budget vaak ontoereikend is.
Om deze kloof te dichten heeft Frost & Sullivan in samenwerking met mijn werkgever een security maturity model (smm) ontwikkeld dat verder kijkt dan de verdedigingsmechanismen van de it-beveiliging. Het analyseert vijf factoren die helpen de beveiliging van het hele bedrijf naar een volwassen niveau te tillen: mensen, bedrijfscultuur, technologische tools en controlemechanismen, beveiligingsactiviteiten en het gebruik van de cloud.
Frost & Sullivan sprak met honderden besluitvormers van grote ondernemingen. Op basis van de bevindingen identificeerden ze drie groepen bedrijven binnen het volwassenheidsspectrum: onvoorbereid, in de overgangsfase en beveiligingsleiders. Uit het onderzoek blijkt dat meer dan de helft van alle onderzochte bedrijven qua mensen, processen en bedrijfscultuur onvoldoende is voorbereid op het veranderende bedreigingslandschap.
Top drie
Uiteraard hanteert iedere organisatie een andere beveiligingsaanpak en is ook de acceptatiegraad (‘risk appetite’) voor it-security overal anders. Echter, als we de resultaten van het onderzoek nader bekijken dan kunnen we leren van geconstateerde tekortkomingen. Met deze ‘lessons learned’ kunnen best practices opgesteld worden die de besluitvormers kunnen helpen bij het ontwikkelen van een betere beveiligingsstrategie. Wij vonden zodoende de volgende top drie:
– Een gebrek aan automatisering in beveiligingsmechanismen: het grootste probleem van bedrijven die in de categorie onvoorbereid vallen, is de manier waarop zij hun technologische tools en controlemechanismen gebruiken. Deze worden zonder enige vorm van automatisering ingezet, enkel als middel voor het reactief detecteren en voorkomen van pogingen om het netwerk binnen te dringen.
Tools worden pas effectief als ze contextueel ingezet worden. Het is weliswaar belangrijk om beveiligingsincidenten te detecteren en voorkomen, maar het is ook van belang dat organisaties hun bedrijfskritische- en gevoelige gegevens kennen en proactief beschermen. Dit is van cruciaal belang, omdat de GDPR van organisaties verwacht dat ze in staat zijn om bedreigingen te detecteren die de verdedigingsmechanismen weten te omzeilen. Het automatiseren van een select aantal cybersecurity-processen zal daarbij het beste helpen, zodat de focus verlegd kan worden van reactief naar proactief handelen.
– Een gefragmenteerde cloud-strategie: 67 procent van alle beveiligingsleiders en 74 procent van alle onvoorbereide organisaties hanteert een cloud-strategie die het zonder de input en betrokkenheid van it- en beveiligingsprofessionals moet stellen. Ter vergelijking: slechts 6 procent van alle beveiligingsleiders heeft het hoogste volwassenheidsniveau in deze categorie bereikt. Dit wijst op een grootschalig probleem. Waar organisaties zich ook op de volwassenheidsschaal bevinden, als ze een cloud-strategie ontwikkelen moeten ze daar it- en beveiligingsprofessionals bij betrekken. Dat is een voorwaarde om de strategie aan de branche-richtlijnen te laten voldoen en een bijdrage te laten leveren aan het realiseren van de bedrijfsdoelstellingen. Met name als we kijken naar de digitale transformatie is it-security de ‘enabler’.
Voor organisaties die er moeite mee hebben geschikt talent te vinden om hun beveiligingsinfrastructuur te versterken is er belangrijk advies: schort het bedrijfsbrede gebruik van cloud-diensten op. In elk geval totdat de zakelijke leiders en beveiligings-teams overeenstemming hebben bereikt over de doelstellingen en de beveiligingsbehoeften.
– Beperkte kennis van plannen voor incidenten-rapportage: een plan voor het melden van beveiligingsincidenten gaat alleen werken als werknemers ervan op de hoogte zijn, regelmatig training ontvangen (of ‘geprikkeld worden’) over het gebruik de it-middelen. Ook is het van belang dat er intern een expert wordt aangesteld wordt om toezicht te houden en het plan te optimaliseren. Het blijkt dat slechts 48 procent van alle organisaties beveiligingsrichtlijnen heeft opgesteld en procedures voor incidentrespons heeft gedefinieerd. Helaas zijn in 72 procent van de gevallen de medewerkers niet op de hoogte van een plan voor incidentrespons.
Dit is voornamelijk te wijten aan een gebrek aan volwassenheid van de bedrijfscultuur. Veel organisaties hebben vaak geen beveiligingsfunctie gecreëerd binnen de it-, juridische of risicobeheerafdeling. Echter, met het oog op de strenge richtlijnen van de GDPR kan de beveiliging onmogelijk in een vacuüm opereren. Deze moet de hele onderneming beslaan, van managementniveau tot aan de klantenondersteuning.
Hoewel veel organisaties over de elementen beschikken die nodig zijn voor een robuuste cybersecurity-strategie, moeten zij vaak verder kijken dan de basis beveiligingstools en -mechanismen. Ze moeten cybersecurity zien als een factor die de groei bevordert, bescherming biedt voor waardevolle intellectuele eigendommen, ondernemingsplannen en werknemersgegevens en, vooral, de onderneming vooruit helpt.
Ondanks de overweldigende toename van cybercriminaliteit staan bedrijven niet voor een onmogelijke opgave. Het belangrijkste is om te begrijpen dat moderne bedrijven die technologie gebruiken om de productiviteit te verhogen, ervoor moeten zorgen dat hun beveiligingsstrategie volwassen wordt om hun organisatie tegen onvoorziene rampen te beschermen.