De groei van digitale diensten die online worden aangeboden, is de laatste jaren explosief gestegen. In een reactie hierop hebben organisaties cybersecurity-teams opgezet die zich bezighouden met de bescherming van de online-diensten. Dat geeft een rustig gevoel bij het management. Wat te constateren valt, is dat het vaak technologisch gedreven is en niet altijd vanuit een risicoanalyse. Een strategie is daarom ook essentieel.
Cybersecurity-teams worden binnen organisaties vaak als een geïsoleerde eenheid opgezet. Securityspecialisten worden aangetrokken en verzameld in een security operations center en als zodanig los opgezet van de operationele organisatie. Dit is geen goede zaak. Immers, de beschermers van de omgeving verliezen hierdoor het contact met wat er daadwerkelijk gebeurt en zullen niet in staat zijn een strategie te bepalen. Juist een strategie is van belang om efficiënte bescherming te gaan bieden, en dat dat kan niet in isolatie. Waar moet je wel beginnen?
Duizenden digitale eigendommen
Allereerst is het van belang om de omgeving die beschermd wordt goed te kennen. Organisaties hebben duizenden digitale eigendommen, zowel in een datacenter, als in de cloud, verspreid over meerdere locaties, business-units en derde partijen. Hier zal een risicoanalyse op moeten plaatsvinden. Dat kan met penetratie testen, maar ook met een simpele inventarisatie van de digitale eigendommen.
De tweede vraag die aandacht verdient, is in hoeverre de cybersecurity is ingeregeld. Een benchmark met andere organisaties en rapporten van Gartner en Forrester kunnen inzicht geven waar het cybersecurity-team zich op moet focussen. De inzet van een ‘cyber maturity matrix’ kan de volwassenheid visualiseren van de huidige stand van zaken.
Zoals in het eerste punt gezegd, zijn derde partijen een essentieel onderdeel van het eco-systeem van een organisatie. Maar kunnen ze ook risico’s introduceren? Het onderzoeken en valideren van deze risico’s moet onderdeel zijn van het bepalen van de strategie. Deze derde partijen moeten ook verantwoording afleggen over hun risicoanalyses en moeten in een waarderingssysteem kunnen aangeven in hoeverre ze beveiligd zijn.
Menselijke fouten
Het is onmogelijk alles te beveiligen. Gemiddeld zijn 85 procent van alle cyberaanvallen te wijten aan menselijke fouten. Het houden van beveiliging trainingen is daarom een essentieel onderdeel van een cybersecuritystrategie. Er zal ook een plan moeten zijn om de vaardigheden van elke medewerker te verhogen. Daar zijn voldoende online-trainingen voor die jaarlijks verplicht zijn te laten volgen. Cybersecurity kost veel geld. Management is een belangrijke en kritische stakeholder in security. Zij moeten dan ook voortdurend op de hoogte worden gehouden van wat er gaande is. Immers, als er iets misgaat, moeten zij als eindverantwoordelijken weten wat eraan gedaan is om de aanvallen te voorkomen.
Een cybersecuritystrategie is een gids die helpt om een duidelijke en begrip van de risico’s te krijgen. Het is niet een verzameling van technologie en dan maar hopen dat de bescherming optimaal is
Een strategie gaat om samensmelting van de businessdoelen en de beveiligings-investeringen zodat successen zijn te meten en de volwassenheid is te verhogen.