Cybersecurity whitepaper: Een business aanpak van security

15 augustus 2018 Consultancy.nl

Organisaties geven cyberdreigingen niet de aandacht die ze nodig hebben. Om de groeiende dreiging van cybercriminaliteit tegen te gaan – vorig jaar zorgde cybercrime in ons land voor een schadepost van ongeveer €10 miljard – moet de digitale volwassenheid en weerbaarheid van organisaties omhoog. Het uitbesteden van cyberprocessen en oplossingen aan gespecialiseerde spelers, die dagelijks hun kennis van het snel veranderende cyberlandschap bijspijkeren, kan uitkomst bieden. Dit zijn enkele van de voornaamste conclusies uit een nieuwe whitepaper van METRI.

Cybersecurity is de afgelopen jaren hoger op de strategische agenda van bedrijven komen te staan. Twee factoren zijn hierbij essentieel. Het aantal en de ernst van dreigingen groeit terwijl tegelijkertijd de afhankelijkheid van bedrijfskritische IT toeneemt. Bestuurlijk Nederland is cybersecurity serieus gaan nemen door aanvallen zoals de WannaCry- en Petya-malware, die de bedrijfsvoering van gerenommeerde organisaties lange tijd ontregelde en voor flinke schadeposten zorgden. Bekende namen als de APM-terminal in Rotterdam, TNT Express, de fabrikant van bouwmaterialen Saint Gobain en farmaceut MSD werden getroffen door deze ransomware-aanval. Bedrijfsdata werd gegijzeld door het te coderen en losgeld te vragen voor de sleutel.

Het zijn niet alleen bestuurders en commissarissen die alerter zijn op cyberdreigingen. Ook de regelgeving is strenger geworden en organisaties moeten meer doen om de integriteit van hun data te waarborgen. De General Data Protection Regulation (GDPR, in Nederland ook wel aangeduid als Algemene Verordening Gegevensbescherming/AVG), die dit jaar is ingegaan, schrijft voor dat bedrijven en instellingen de persoonsgegevens die zij verwerken aantoonbaar goed beveiligd moeten hebben. Het niet naleven van deze regels kan leiden tot hoge boetes, die kunnen oplopen tot maximaal €20 miljoen, of 4% van de wereldwijde jaaromzet van een onderneming. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld voor eventuele misstanden in de informatiebeveiliging.

Tegen deze achtergrond zijn executives, managers en IT-professionals op zoek naar de juiste aanpak voor cyberdreigingen. In een nieuwe whitepaper van METRI, opgesteld in samenwerking met bedrijven als KPN, Schuberg Philis en T-systems, laten de onderzoekers zien hoe een business-gedreven aanpak van cybersecurity eruitziet en wat de belangrijkste factoren zijn waarmee rekening gehouden dient te worden.

Cybersecurity whitepaper: Een business aanpak van security

Organisatie en mensen op #1

Centraal in deze aanpak is dat de organisatie op de eerste plek komt en de technologie de tweede viool speelt. “De oorzaak van cyberincidenten is terug te voeren tot menselijke fouten, moedwillig handelen van cybercriminelen en het falen van de technologie. Door security als een gangbaar bedrijfsrisico te verkennen en beleidsmatig stap voor stap op een hoger plan te brengen, kunnen organisaties het tij keren”, aldus de onderzoekers.

Daar komt bij dat organisatorische maatregelen een essentieel middel zijn om de weerbaarheid te verhogen. “Aandacht voor het verbeteren van het beveiligingsbewustzijn door alle medewerkers te trainen in het veilig omgaan met informatie is een belangrijk voorbeeld van een organisatorische verbetering. Dit is een belangrijk punt in een gedegen en grondig securitybeleid, dat onontbeerlijk is om de huidige, continue stroom aan beveiligingsincidenten te weerstaan.” 

Bovengemiddelde aandacht

Een tweede, essentieel onderdeel van solide securitybeleid is volgens de onderzoekers het werken vanuit een risicoanalyse, waarbij security-incidenten beoordeeld worden op hun ernst en impact. Dit kan op talloze manieren gedaan worden. Grote organisaties hebben de expertise en middelen om cyberdreigingen vanuit een methodische aanpak te analyseren en te verkleinen. Dit is niet voor iedere organisatie weggelegd. Er zijn ook praktischer vormen om dreigingen met gepaste maatregelen af te dekken. Het Amerikaanse NIST cybersecurity framework, is een veelgebruikt, internationaal referentiekader met zo’n risicoaanpak.

Specifieker gericht op Nederland, geven de onderzoekers aan dat er branchespecifieke baselines in te zetten zijn om de grootste risico’s met beleid te adresseren: “De CIS benchmarks van het eveneens Amerikaanse Center for Internet Security zijn een waardevolle naslagbron om IT-systemen met de juiste maatregelen weerbaarder te maken.” 

Aanschuiven bij directietafel

Een andere maatregel die veel genomen wordt is de aanstelling van een CISO (Chief Information Security Officer). Deze functionaris benadert security als een businessrisico dat met bedrijfskundige maatregelen op te lossen moet zijn. Uit onderzoek blijkt dat CISO’s zich vooral zorgen maken over het klikken op een link in een phishingmail, een menselijke fout die kan leiden tot het ontfutselen van inloginformatie of het gijzelen van bedrijfsinformatie met ransomware. “Deze hoofdarchitect van het informatiebeveiligingsbeleid in een organisatie blijkt alleen lang niet altijd aan de directietafel aan te schuiven. Idealiter ontwikkelt hij of zij een cyberbeveiligingsstrategie die afgestemd is op de bedrijfsstrategie in overleg met de directie. Maar in de praktijk blijkt ook de CISO hoofdzakelijk uitvoerend bezig te zijn met technische aspecten van cybersecurity. Dat moet anders”, stellen de onderzoekers.

Outsourcing

De onderzoekers benadrukken ook de groeiende rol die IT-outsourcing kan spelen: “Lange tijd is gedacht dat security vooral een zaak van de organisatie zelf moest zijn, omdat het een te belangrijk aspect van de kernactiviteiten is. De initiële tegenzin om security uit te besteden is omgeslagen in enthousiasme. Organisaties zijn er nu van overtuigd dat hun security erbij gebaat is om gespecialiseerde taken door een externe specialist uit te laten voeren.” Door een gespecialiseerd bedrijf in de arm te nemen verwacht de afnemende organisatie beter beveiligd te zijn, nieuwe dreigingen te kunnen weerstaan en tegelijkertijd sneller te kunnen voldoen aan veranderende business-eisen. Door managed security services af te nemen, kopen organisaties specifieke kennis en taken in, maar houden zij zelf de regietaak ook op tactisch en gedeeltelijk operationeel niveau.

“De initiële tegenzin van bedrijven om security uit te besteden is omgeslagen in enthousiasme. Organisaties zijn er nu van overtuigd dat hun security erbij gebaat is om gespecialiseerde taken door een externe specialist uit te laten voeren.”
- METRI

Managed security services

Managed security services komen sterk op in de markt. Daar zijn economische motieven voor. Werknemers met de juiste securitykennis en -vaardigheden zijn schaars en dus is hun inzet kostbaar. Een alternatief is om het beheer van IT-beveiliging uit te besteden en eigen personeel vooral strategisch in te zetten. Zo kan een organisatie kosteneffectief voldoen aan nieuwe regelgeving. Daarnaast kan een securityprovider ook sectorspecifieke dreigingsinformatie leveren om de impact en benodigde tegenmaatregelen actueel te houden.

Het laten bekijken en controleren van het netwerkverkeer op afwijkend gedrag is een van de eerste managed securityservices waar klantorganisaties over nadenken. Net zoals het inbraakalarm pandeigenaren bij onraad meteen waarschuwt, zo kan monitoring van het netwerkverkeer organisaties er eerder op wijzen dat er iets mis is. Dat is voor veel organisaties geen overbodige luxe. In de praktijk gaat er nu behoorlijk wat tijd overheen voordat hackpogingen ontdekt worden en komt de melding dat er een datalek is vaak van buiten.

Voorbeelden van managed security services-oplossingen zijn SOC (Security Operations Centre) en/of SIEM (Security Information and Event Management) monitoring. Deze processen zorgen ervoor dat aan de hand van metadata (bijvoorbeeld inloggegevens en informatie over het gebruik van data en IT-systemen) een operationele IT-omgeving doorlopend wordt gecontroleerd op onregelmatigheden. “In een commandocentrum wordt er gekeken of beveiligingsincidenten alarmerend zijn. Een detail wordt uit de grote stroom logdata gepikt en als een incident aangemerkt als het kritieke eigenschappen van een digitale dreiging heeft.”

“In het security-jargon worden deze casussen voor cyberdreigingen use cases genoemd. Een use case bepaalt dat een detail een incident is, geeft het een bepaalde urgentie mee en zorgt dat er opvolging komt. Deze use cases staan aan de basis van monitoring en zijn een belangrijke manier om monitoring-diensten te structureren en bij te sturen”, leggen de onderzoekers uit. 

Om SOC- en/of SIEMdienstverlening echt effectief te maken, is volgens de auteurs een optimale aansluiting nodig met technologie die de belangrijkste activiteiten van een organisatie draagt. “Om dat voor elkaar te krijgen is het essentieel dat de serviceprovider de business van de klantorganisatie snapt en relevante dreigingen in de sector waarin dit bedrijf opereert kent en met relevante use cases inzichtelijk kan maken in de monitoring.” 

Voor meer informatie over managed services for securitydiensten, bekijk de whitepaper ‘Een business aanpak van security’ van METRI.

Nieuws

×
A.T. Kearney Accenture ACE Adaptif Adlasz Adviesgroep Novius Anderson MacGyver Andersson Elffers Felix Annalise Arthur D. Little AT Osborne Atos Consulting Avantage Reply B&A Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Corporate Finance Boer & Croon Management Bostec Boston Consulting Group Bright & Company | People Strategy Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Considerati Count & Cooper De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting flowresulting Front Consulting Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Consulting & Interim Improven InContext innergo innogy Consulting INNOPAY Intermedius ITDS Business Consultants JBR JBR Interim Executives Kirkman Company Korn Ferry KplusV KPMG KPN ICT Consulting Kruger KWINK groep Leeuwendaal M3 Consultancy Magnitude Consulting Magnus Marktlink McKinsey & Company Mercer Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group OrangeX Ordina Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quantics Quint Wellington Redwood Quintop Raad van Toekomst RevelX RGP Rijnconsult Roland Berger Salvéos Scenter Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron Business Consulting TEN HAVE Change Management The Next Organization Turner TWST Twynstra Gudde UMS Group UniPartners UPD Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup Young Advisory Group Zanders Zestgroup

Meer nieuws over