De 3 kenmerken van organisaties die uitblinken in security
In een tijd waarin cyberaanvallen worden gezien als het grootste bedrijfsrisico wordt het op orde hebben van de interne én externe security steeds belangrijker. Stephan Hadinger, CTO bij Amazon Web Services, deelt drie kenmerken die koplopers in security met elkaar gemeen hebben.
Kenmerk 1: Prioriteit geven aan contractuele aspecten en audits
Nauwe samenwerking met advocaten, compliance-experts, auditpartners en toezichthouders is essentieel. Net als de technische security-experts zijn deze teams verantwoordelijk voor het beschermen van hun organisaties en moeten ze zo vroeg mogelijk worden betrokken bij de implementatie van nieuwe projecten. Daarnaast moeten zij ook regelmatig worden geraadpleegd over het monitoren en toepassen van de nieuwe normen en regelgeving.
Om organisaties veilig te houden is proactieve communicatie met advocaten en auditpartners een prioriteit. Het lijkt voor de hand liggend, maar het is gebruikelijk dat bedrijven hun interne controlesystemen opzetten, aan de slag gaan, om vervolgens te falen, omdat ze niet goed coördineerden met de juiste teams.
Securitymanagers moeten daarom de noodzakelijke stappen in hun securityproces heroverwegen om proactief te zorgen voor de naleving van audit- en compliancevereisten.
Vaak hebben organisaties die de cloud het snelst adopteren een duidelijk securityproces en vertrouwen ze op leveranciers die hun bestaande services voortdurend updaten en nieuwe implementeren. De best presterende klanten hebben een standaardproces voor het communiceren van eventuele wijzigingen aan hun relevante teams. Ze delen ook op grote schaal interne documentatie met een duidelijke lijst van geautoriseerde services, die beperkte of onbeperkte data kunnen verwerken.
Kenmerk 2: Gebruikmaken van automatisering
Securityteams moeten de snelle ontwikkelingen in software-engineering voortdurend in de gaten houden. In goed presterende security-organisaties maken de termen ‘automatisering’ en ‘achterstand’ nu deel uit van het lexicale veld en zijn zogenaamde Agile- en DevOps-praktijken gebruikelijk.
Deze bedrijven hebben inderdaad begrepen dat security geen element is dat moet worden toegevoegd na de ontwikkeling van een product: het moet diep in het proces worden geïntegreerd om de ontwikkeling ervan te versnellen. Klanten die de cloud hebben omarmd, hebben naast de software die ze ontwikkelen ook hun securitytaken geautomatiseerd. Een goed voorbeeld is het ontwikkelen van firewallregels.
Het is niet langer een kwestie van verbinding maken met een apparaat, maar van het exploiteren van ‘software as a code’, die het mogelijk maakt om nauwgezet te bouwen, te testen en in de nabije toekomst uit te rollen.
Het automatiseren van securitytaken verbetert de manier waarop een heel beveiligingsteam werkt. Tot de middelen voor het automatiseren van securityfuncties behoren bijvoorbeeld het automatisch aanmaken van tickets en het escaleren van waarschuwingen om passende en tijdige actie te garanderen.
Een manier om dit te doen is door SecOps-ontwikkelaars te werven of op te leiden. Ze integreren en automatiseren security in projecten en geven centrale securityteams meer tijd voor grotere taken met een hogere toegevoegde waarde dan handmatige audits.
De meest succesvolle Information Systems Security Officers (CISO’s) hebben voorzorgsmaatregelen genomen in plaats van barrières, waardoor ontwikkelings- en verkoopteams meer verantwoordelijkheid voor security kunnen nemen. Het gaat niet om het loslaten van de controle, maar om het aanmoedigen van andere teams om ervoor te zorgen dat zij investeren en zich verantwoordelijk voelen.
Kenmerk 3: Agile besluitvorming
Vroeger zetten bedrijven processen op voor het verwerven van technologieën die forse investeringen vergden: hardware, software en integratie door partners. De beslissingen namen meer tijd in beslag omdat ze niet omkeerbaar en complex te implementeren waren. Voor security betekende dit dat de ontwikkelingsperiode van de strategie lang kon zijn.
Maar in een wereld van de cloud vinden implementaties binnen enkele minuten plaats. Dit houdt in dat risico- en securitybeslissingen sneller moeten worden genomen, anders wordt de bedrijfsvoering verstoord.
In organisaties die goed presteren op het gebied van security is het de regel om iets abnormaals zo snel mogelijk ter sprake te brengen. Het is beter om snel te analyseren, over de juiste data te beschikken en in een vroeg stadium naar de juiste beslissers door te zetten, in plaats van verstrikt te raken in uitgebreide data-analyse. Over het algemeen is 80% van de informatie voldoende voor een goede besluitvorming. Je bent te laat als je wacht totdat je 100% van de informatie hebt. Snelheid is de sleutel tot security.
In het geval van een crisis heeft het terugsturen van ongefilterde informatie de voorkeur zonder te wachten op deskundige analyse en je aan te passen aan hiërarchie; je moet altijd streven naar een snelle besluitvorming. Door een tussenpersoon te plaatsen tussen de deskundige en de besluitvormers loop je het risico de duidelijkheid te verliezen en het probleem te laten verwateren. Het management zal onvermijdelijk vervolgvragen hebben en de experts moeten onmiddellijk beschikbaar zijn.
Uiteindelijk moet iedereen die verantwoordelijk is voor een product zich verantwoordelijk voelen. Een diep begrip voor een situatie komt voort uit een groot verantwoordelijkheidsgevoel waardoor als er iets misgaat de oorzaken snel geïdentificeerd kunnen worden. Sommige organisaties moedigen pair-systemen aan: wanneer een expert op vakantie gaat of niet beschikbaar is, is de ander aanwezig, klaar om in te grijpen bij een probleem, met de ervaring en de bevoegdheid om op het juiste moment informatie te verstrekken.
Kortom, de commitment van leiders is ook essentieel voor het succes van de meest secure organisaties. Het maakt niet uit van welke branche ze komen, leidinggevenden zijn vaak nieuwsgierig om meer te weten te komen over security en moedigen regelmatige en frequente vergaderingen, updates en controles aan.
Succesvolle organisaties zorgen er ook voor dat securitywijzigingen klein en frequent zijn, in plaats van massaal en zeldzaam. Iteratie, in plaats van het streven naar perfectie, is de sleutel tot succes. En aangezien snelheid essentieel is in het bedrijfsleven, moeten beslissingen en acties omkeerbaar zijn en geen al te lange analyses vergen. Hoe dan ook, de meest succesvolle bedrijven realiseren zich dat het nemen van securityrisico’s gezond kan zijn zolang er maar rekening mee wordt gehouden.
