Het beheren van beveiligingsrisico's heeft topprioriteit en we zijn hier continu mee bezig. Dat was de belangrijkste boodschap van ciso's en it-securitymanagers die wij ontvingen voor onze Strategic Advisory Board-overleg in Londen en tijdens het ciso-diner dat wij organiseerden in Utrecht.
It-beveiligingsteams besteden onevenredig veel tijd aan het beheren van bedreigingen, en het wordt volgens hen alleen maar moeilijker. Ondanks verschillen in grootte, geografie en branche, worstelen ze allemaal met dezelfde uitdagingen.
De volgende klachten voeren de boventoon:
- Teams hebben beperkt zicht
Wat niet wordt gezien, is ook niet te beheren. Uit marktonderzoeken blijkt dat grote organisaties geen weet hebben van meer dan de helft van alle apparaten op het bedrijfsnetwerk. Deze vergroten echter het potentiële aanvalsoppervlak en stellen zelfs de effectiefste it-beveiligingsstrategie op de proef.
- We worden overspoeld door tools en gegevens
Volgens Gartners ‘2020 CISO Effectiveness Survey‘ beschikt de gemiddelde onderneming over meer dan zestien beveiligingstools. Ruim een op de tien ciso’s heeft zelfs 46 beveiligingsoplossingen geïnstalleerd. Hulpmiddelen genoeg dus, maar het ontbreekt aan bruikbare inzichten. Hierdoor ontstaan grote gaten in de dekking, is er een gebrek aan afstemming tussen beveiligings-, compliance- en it-teams en ontstaan er problemen bij het prioriteren van respons en herstel.
- We kunnen de handmatige processen niet bijbenen
De it-infrastructuur wordt steeds heterogener en vluchtiger, van on-premise tot virtueel tot serverless, van publieke tot private tot hybride cloud, van it- tot ot- tot iot-middelen. Het beheren van it-beveiliging wordt nog lastiger door het toenemende gebrek aan it-vaardigheden, waardoor het vinden en behouden van ervaren teams nog veel moeilijker wordt. It wordt nog complexer door een gebrek aan automatisering op het gebied van it-beveiliging, slechte samenwerking tussen teams en een behoefte aan coördinatie van taken.
Deze obstakels beletten cio’s en ciso’s in het volgen van cyberrisico’s en erover te rapporteren zoals de bredere enterprise risk management-praktijken van bedrijven dat vereisen. Waar komt deze plotselinge aandacht voor cyberrisico’s bij ceo’s en directieteams vandaan?
Cyberrisico is een zorg op bestuursniveau
Besturen zien ook alle berichten in de media en hun bezorgdheid neemt toe bij elk bericht over cyberoorlogsvoering in Oost-Europa en over ransomware-aanvallen in Nederland. Wie had gedacht dat Artis ooit een onderwerp van zorg zou worden in de bestuurskamers? Volgens onderzoek van ESG moeten ciso’s bij meer dan de helft van de driemaandelijkse bestuursvergaderingen verantwoording komen afleggen. Het beperken van cyberrisico’s is belangrijk omdat de kosten van een geslaagde cyberaanval de pan uit rijzen. IBM berekende de gemiddelde kosten van een datalek. Deze stegen in 2021 van 3,86 naar 4,24 miljoen dollar, de hoogste stijging in de zeventien jaar dat IBM hierover rapporteert.
De zorgen over it-security beperken zich niet tot de bestuurskamers. Aandeelhouders volgen het nieuws natuurlijk ook en zij willen weten wat de bedrijven in hun portefeuilles daaraan doen. Volgens GlobalData worden er nu gemiddeld achthonderd keer per kwartaal melding gemaakt van ‘it-beveiliging’ in openbare financiële rapportages. De AVG bevat een meldplicht voor datalekken. Organisaties moeten direct een melding doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. Zij moeten het datalek ook melden aan de betrokkenen en daarom blijft dit nooit lang uit het nieuws. Naast de financiële schade loopt ook het imago van een bedrijf een deuk op en neemt het vertrouwen onder klanten af. Bestuursleden en aandeelhouders leggen ciso’s daarom het vuur na aan de schenen over de uitgaven aan it-beveiliging, meetinstrumenten voor het succes daarvan en plannen voor de bedrijfscontinuïteit in het geval van een cyberaanval.
Bestuurders en aandeelhouders zijn zelden techneuten. Dit betekent voor iedere cio en ciso dat zij het bestrijden van cyberrisico’s op een andere moeten bespreken. Volgens ESG is het tijd om de ’techno-praat’ af te schaffen en in duidelijke taal uit moeten leggen wat cyberrisico’s uiteindelijk betekenen voor de bedrijfsresultaten. Voor velen zal dit een omschakeling vereisen. Het vraagt om een op risico’s gebaseerde benadering van het beheer van it-beveiliging.
Categorieën
It-beveiliging moet risico’s in verschillende categorieën beperken:
- Risico’s van op zichzelf staande softwaretoepassingen, die verouderd kunnen zijn, niet meer worden ondersteund of op maat zijn gebouwd.
- Risico’s van geïntegreerde technologieën die door derden worden beheerd of deel uitmaken van een bredere toeleveringsketen.
- Risico’s van de fysieke of virtuele infrastructuur, zoals endpoints, servers, netwerkapparaten, clouds en containers.
- Ook mensen vormen een groot risico, aangezien het personeel van een bedrijf ten prooi kan vallen aan cybercriminelen die misbruik maken van menselijke fouten, onbegrip of onwetendheid.
Aangezien ciso’s verantwoordelijk worden gehouden voor het verminderen van cyberrisico’s, moeten ze it benaderen op basis van risico’s. Dat betekent dat zij it-beveiligingsoplossingen, -processen en -teams moeten convergeren en laten samenwerken. Deze op risico’s gebaseerde aanpak kan voorgeschreven zijn door bedrijfsbeleid, wet- en regelgeving of financiële auditnormen. Ciso’s moeten deze regels naleven en tegelijkertijd de it-verdediging te versterken. Tot slot moeten ze in hun rapportages aantonen hoe de beveiligingscontroles presteren ten opzichte van interne doelstellingen en benchmarks in de sector.
Cyclus van drie stappen
Het lijkt makkelijker gezegd dan gedaan. Met de volgende cyclus van drie stappen is het echter mogelijk om een op risico’s gebaseerde aanpak van it-beveiliging te hanteren. Deze stappen bewaken het dreigingslandschap, maken een snelle reactie mogelijk, en voorzien in de onderbouwing waar de bedrijfsleiding om vraagt.
- Beoordeel risico’s door alle it-middelen inzichtelijk en beheersbaar te maken. Effectief beheer van kwetsbaarheden begint met een grondige beoordeling van bedreigingen. Organisaties moeten de werkelijke cyberrisico’s kunnen kwantificeren, zodat het eenvoudiger wordt om prioriteit te geven aan bedreigingen;
- Verklein risico’s door de consolidatie van it-beveiligingsoplossingen. Zodoende ontstaat een uniform platform, met mogelijkheden voor automatisering, voor risicomonitoring, detectie en herstel;
- Rapporteer risico’s op basis van duidelijke meetinstrumenten die risico’s vergelijken met standaarden in een vakgebied en benchmarks en best practices van branchegenoten. Dat brengt in kaart wat de unieke blootstelling van een organisatie is ten opzichte van specifieke cyberrisico’s.
Kwetsbaarheden tellen
Door deze verschuiving naar een op risicogebaseerde aanpak van it-beveiliging heeft het geen zin meer om alleen de kwetsbaarheden in de it-omgeving te tellen. Dat valt niet mee, want tot nog toe werd veel waarde toegekend aan het tellen van kwetsbaarheden. Het totale aantal gemelde kwetsbaarheden is de afgelopen jaren explosief gestegen. In de jaren negentig werden in totaal 2.594 kwetsbaarheden geklokt, wat in de jaren 2000 met 796 procent steeg tot 37.231, en sinds 2010 zijn er nog eens 135.284 ontdekt (bron: Qualys). Een cumulatieve groei van het aantal kwetsbaarheden met 5.116 procent door de jaren heen lijkt opzienbarend. Maar door het cyberrisico te beoordelen in termen van bedrijfsrisico, kunnen deze astronomische aantallen in perspectief worden geplaatst.
Het is hierdoor niet langer houdbaar om doelstellingen voor het beheer van kwetsbaarheden te prioriteren op basis van CVSS-scores alleen. Het is verspilde moeite om kwetsbaarheden te patchen waarvan niet altijd duidelijk is of zij het risico verminderen.
Een kwetsbaarheid vormt pas een risico voor een organisatie als deze voorkomt op een it-middel dat van wezenlijk belang is in een specifieke omgeving. Een ernstige kwetsbaarheid kan bijvoorbeeld minder zorgwekkend zijn als er compenserende maatregelen zijn om het risico te beperken. De kennis hierover maakt dat de meeste kwetsbaarheden automatisch zijn te herstellen en dat beveiligings- en it-teams zich als een laserstraal kunnen richten op de kwetsbaarheden die het belangrijkst zijn voor de organisatie. Dat is de essentie van een op risico’s gebaseerde benadering van it-beveiliging.