Er is een andere aanpak nodig bij de beveiliging van digitale bestand en processen. Risicogebaseerde security heeft bij WithSecure het veld geruimd voor outcome security, aldus Juhani Hintikka. De ceo van WithSecure vertelt dit tijdens zijn conferentie Sphere23 in Helsinki.
Beide methoden hebben tot doel de beveiligingsrisico’s te beperken, maar verschillen in hun fundamentele filosofieën en methoden. Mikko Hyppönen, chief research officer bij WithSecure, beaamt dat na risk based security de volgende stap is om outcome security toe te passen. ‘Forrester ziet dat ook en heeft in oktober 2022 onderzoek gedaan naar een andere, minder reactieve benadering van it-beveiliging. Daaruit blijkt dat de omslag al gaande is. Iets meer dan tachtig procent accepteert dat een aanpak nodig is die minder verspilt en meer wint bij het weerstaan van cyberaanvallen. Maar het is iets dat je samen met aanbieder van security-oplossingen doet; co-security. Waarbij wij vinden dat security niet iets is wat je erbij doet, maar geïntegreerd moet zijn in de bedrijfsvoering. Wij hebben als gevolg van outcome security ons portfolio opnieuw uitgevonden. Er is nu meer nadruk op dienstverlening.’
Outcome security draait om het begrip bescherming van gewenste bedrijfsresultaten in plaats van zich alleen op potentiële risico’s te richten. In plaats van beslissingen primair te baseren op theoretische kwetsbaarheden, ligt de nadruk bij resultaatbeveiliging op het bereiken van specifieke bedrijfsdoelstellingen. Deze aanpak stemt beveiligingsinspanningen af op organisatorische doelstellingen en houdt rekening met de potentiële impact van beveiligingsincidenten op die doelstellingen.
Laura Koetzle, algemeen directeur van Forrester in Amsterdam, vertelt tijdens Sphere23 dat outcome security nog vrij nieuw is. ‘Er is wel een tool beschikbaar om hiermee te beginnen. Kort gezegd komt het erop neer dat security de bedrijfsdoelen volgt. Daarbij neem je afscheid van alles te monitoren, je beveiligt alleen datgene dat bijdraagt aan de bedrijfsresultaten.’ Door prioriteit te geven aan resultaten kunnen organisaties proactief kritieke bedrijfsmiddelen identificeren en beschermen, waardoor middelen efficiënter kunnen worden toegewezen en risico’s beter zijn te beheren
Kernwoorden
Op het podium vertelt Christine Bejerasco, ciso bij WithSecure, dat haar bedrijf is overgestapt naar outcome security. Achter haar verschijnt op het scherm een matrix, de Security Outcomes Canvas 1.0. Kernwoorden zijn ‘belangrijke initiatieven’, ‘benodigde middelen’, ‘kosten’, ‘security outcomes’, ‘grote kansen’, ‘primaire risico’s, en ‘business outcomes’. Vervolgens vult zij in wat zij met de kernwoorden bedoelt, zoals ‘welke initiatieven zijn er al om tot de security outcomes te komen en welke zijn er nog nodig?’ Bij ‘benodigde middelen’ maakt zij onderscheid in technologie, processen en mensen. Bij primaire risico’s gaat het erom vast te stellen wat de belangrijkste risico’s zijn voor de bedrijfsresultaten die door de vastgestelde beveiligingsresultaten worden aangepakt.
Volgens Bejerasco werkt het goed. ‘Het is het idee dat cybersecurity elk bedrijf een verdedigbaar, bestuurbaar, duurzaam controleniveau kan geven. Je kunt nooit elk probleem wegnemen, maar volledige zichtbaarheid vermindert stress en stelt je in staat om de resultaten te creëren die je wilt.’ Het is dus een invuloefening waarbij niet alleen de it-afdeling is betrokken, maar het gehele management.
Resultaatgericht
Terug naar Koetzle: ‘Bedrijven dreigen bij de huidige aanpak van security steeds meer te moeten uitgeven zonder dat er een werkelijke verbetering optreedt. Organisaties moeten verder gaan dan reactief en ad hoc reageren op cyberbeveiligingsincidenten en kiezen voor een proactieve, strategische, resultaatgerichte aanpak van cyberbeveiliging die cyberbeveiliging meet en verbetert op basis van hoe goed het de bedrijfsdoelen beschermt en risico’s vermindert. Dit stelt leiders in staat om beter geïnformeerde risicomanagementstrategieën te creëren en investeringen in cyberbeveiliging te richten op bedrijfsdoelstellingen. Uit ons onderzoek blijkt dat organisaties streven naar een resultaatgerichte benadering van cyberbeveiliging om bedrijfsresultaten te stimuleren en de weerbaarheid te verbeteren, productiviteit en concurrentievermogen te verbeteren terwijl het bedrijf veilig blijft.’
Een voordeel van outcome security is volgens de sprekers dat organisaties snel kunnen reageren op veranderende bedreigingen en veranderende bedrijfsvereisten door beveiligingsmaatregelen voortdurend opnieuw te beoordelen en aan te passen op basis van de gewenste resultaten. Ook zorgt deze methode voor verbeterde samenwerking, omdat zij belanghebbenden uit verschillende gebieden van de organisatie erbij betrekt, hetgeen een holistisch begrip van beveiligingsbehoeften bevordert. Dit betekent dat de organisatiecultuur iets is om rekening mee te houden. Een resultaatgerichte organisatie kan baat hebben bij de doelgerichte aanpak, terwijl een risicomijdende organisatie wellicht risicogebaseerde beveiliging geschikter vindt..
