Haal het meeste uit je beveiliging

2. Gesprekken op managementniveau

Op het tweede (management)niveau is inzicht in en overzicht over de juiste risico- en beveiligingseigendom relevant. De belangrijkste verantwoordelijkheid van managers op dit niveau is ervoor te zorgen dat het DNA van het bedrijf wordt ingeënt met voldoende beveiliging, risicobewustzijn, eigenaarschap, leiderschap en vakmanschap. De belangrijkste rol van de CISO is die van een dokter die voortdurend diagnosticeert wie de juiste behandeling nodig heeft en helpt de juiste beslissingen te nemen, in plaats van te worden gezien als de 'bureaucratiegeneraal'. Op dit managementniveau moeten eigenaren van bedrijven en bedrijfsmiddelen vertrouwen op duidelijk vooraf gedefinieerde Key Risk and Performance Indicators (KRI/KPI) die in het hele bedrijf zijn gestandaardiseerd en zijn geïntegreerd in de technologie, mensen en processen. Dit klinkt eenvoudig, maar het kost veel moeite om deze processen in grote en complexe omgevingen te implementeren. Vaak ontbreekt het hen aan de capaciteiten en het architectuurtalent om deze risicostrategie te vertalen naar de operaties. We hebben met eigen ogen gezien hoe verschillende bedrijven worstelen met operationele beveiligingsprocessen en -technologie, zoals microsegmentatie, beveiligingsactiviteiten en incidentrespons.

3. Gesprekken op operationeel niveau

De implementatie van cybersecurity wordt vastgesteld (bijv. ontworpen en ontwikkeld) op het operationele niveau van de organisatie. Zij zijn verantwoordelijk voor het verkrijgen van relevante en betrouwbare infosec- en risico-informatie van bronnen binnen en buiten het bedrijf.

Het operationele niveau is het centrale zenuwstelsel van de organisatie. Het grootste probleem voor alle organisaties met een redelijke omvang en een technisch verleden is het dynamisch afstemmen van technische implementaties op hun interne of externe vereisten voor cyberdreigingen die zich snel en onvoorspelbaar manifesteren. Het afstemmen van Governance op Management en Operations is voor veel CISO's een grote uitdaging. Effectieve samenwerking, orkestratie en beheer zijn nodig om de stress en onnauwkeurigheid waar CISO's momenteel mee te maken hebben te verminderen.

Ondanks de enorme vooruitgang in de branche blijft onnauwkeurigheid voor veel organisaties een enorme uitdaging. Dit blijkt uit ontoereikende detectiepercentages en trage reactietijden op aanvallen. De belangrijkste oorzaken zijn onvoldoende geconfigureerde SIEM-systemen, statische use-cases, handmatige overdrachten, enz. Maar de inzet is hoog. Een ontoereikende en ogenschijnlijk zwakke reactie op inbreuken kan een negatieve impact hebben op de waargenomen waarde van het bedrijf en mogelijk ook op de aandelenkoers. Deze informatie sijpelt zelden door naar de operationele teams.

De complexiteit van afstemmingsproblemen benadrukt de noodzaak van verdere end-to-end architectuur en orkestratie van beveiligingsbeleid in technologie van bijvoorbeeld Cloud Access Security Brokers (CASB), Information Security Management Systems (ISMS), SOC's, End Points, Pipelines , Containers en verdere automatisering van de controles en hun bewijs van effectiviteit om een ​​goede borging naar de top aan te tonen.

We zijn er vast van overtuigd dat dit volgens een recent rapport van Wakefield Research en Deloitte de belangrijkste reden is waarom de helft van de CISO's hun SOC wil uitbesteden en meer 'waar voor hun geld' wil krijgen.

Onder- of verkeerd gebruik van technologie

In een eerdere publicatie meldden we dat 50% van de geïmplementeerde technologie niet adequaat is geconfigureerd noch onderhouden. De helft van de respondenten in het middensegment (100-5000 fte) ziet dit als een zorg maar ook als een kans. Dit betekent dat bedrijven meer kunnen profiteren van de bestaande geïnstalleerde basis dan ze momenteel doen. Dit betekent ook dat bedrijven meer financieel voordeel kunnen halen uit hun huidige investeringen. De ervaring leert dat we tegenwoordig met drie dilemma's te maken hebben: informatie-asymmetrie, aanvalscomplexiteit en het gebrek aan validatie-feedback-loops over de prestaties van beveiligingstechnologie.

1. Informatie-asymmetrie

Informatie-asymmetrie is het fenomeen dat we al aanstipten in onze vorige blog (Akerlof). Het staat ook bekend als "informatiefalen" en treedt op wanneer de ene partij bij een economische transactie meer materiële kennis bezit dan de andere partij. Dit manifesteert zich meestal wanneer de verkoper van een product of dienst meer kennis bezit dan de koper; de omgekeerde dynamiek is echter ook mogelijk. Bijna alle economische transacties gaan gepaard met informatie-asymmetrieën. Dit betekent dat de koper en de verkoper het niet eens zijn over wat het product kan, moet of moet doen. Meestal resulterend in teleurstellingen omdat de klant niet tevreden is, omdat hij/zij meer resultaat verwachtte om een ​​proces te ondersteunen of een probleem op te lossen. En de verkoper is op zijn beurt niet blij aangezien hij wordt geperst tot een lage prijs. Hij wil appelen leveren, maar ze hebben hem zo ver geperst in het inkoopproces dat hij gedwongen wordt een zure citroen te leveren. De zure citroen is alleen het product met standaardinstellingen. Nadeel hiervan is dat van het gekochte beveiligingsproduct slechts een klein deel van de functies in de praktijk wordt gebruikt. Niet omdat de verkoper het niet wil leveren maar omdat de eindgebruiker niet precies weet wat hij wil en/of het product precies kan. Wist je dat een organisatie gemiddeld 70 beveiligingstools gebruikt? En dat 50% van de IT-investeringen niet is onderbouwd met een goede businesscase¹? Daarover straks meer.

2. Aanvalscomplexiteit

Aanvalscomplexiteit is het fenomeen van de enorme toename van unieke malwarevarianten die worden gebruikt in meer geavanceerde en geautomatiseerde aanvallen. Hoogvolumetrische aanvallen schoten onze bedrijven onder vuur, wat uiteindelijk resulteerde in een groot aantal gebeurtenissen. Gebeurtenissen waar Security Operations Center moeite mee heeft om te verzamelen, interpreteren, analyseren en reageren. Traditionele SIEM-systemen zijn ook niet uitgerust om hiermee om te gaan, omdat ze alleen waarschuwen voor bekende "use-cases". Met een jaarlijkse telling van 1 miljard unieke malwares kan deze strijd niet door mensenhanden worden afgehandeld, maar zijn geautomatiseerde orkestratie- en reactiesystemen vereist.

3. Validatie van beveiligingscontroles

Het doorlopend valideren van beveiligingscontroles is een must, aangezien je het tempo van de hierboven genoemde cybercomplexiteit niet kunt bijhouden. In de dagelijkse praktijk zien we dat bedrijven hun controles niet of niet testen en een slordigheidscultuur hebben (Waternet). De bal laten vallen en slordig worden betekent dat je uiteindelijk een risico vormt. Je kunt niet uitleggen wat er met je is gebeurd na een hack en je kunt simpelweg niet bepalen welk type gegevens gestolen zijn. Hoe meer tijd je nodig hebt om dit publiek uit te leggen, hoe groter het risico dat je financiële waarde verbrandt. Zoals Altran, RSA, Sony en ING in 2013. Daarom is real-time validatie van de beveiligingscontrole en het terugkoppelen van de prestatiegegevens een must om overzicht en controle te krijgen. Maar kunnen organisaties dit aan? We hebben net vernomen dat 35 beveiligingstools worden gekocht zonder goed onderzoek, geïmplementeerd met de helft van de functionaliteit en zelden worden gevalideerd.

Een goede praktijk hier is om de geschiktheid van bestaande technologie te beoordelen en een fitnessprogramma voor je beveiligingstechnologie te starten. Kwantificering van cyberrisico's versus de kosten van de controle onthult de ROSI per controle, en de "ROSI als geheel". Door deze methoden toe te passen, is het mogelijk om meer waar voor je beveiligingsgeld te krijgen.

Toekomstige mogelijkheden van de nieuwe Cyberleader

We zien de rol van de CISO uitbreiden naar ‘econoom’, ‘talentmagneet’ en ‘regisseur’ met een duidelijke visie hoe de valkuilen op de drie organisatieniveaus aangepakt moeten worden.

Econoom omdat de CISO moet vertrouwen op gedetailleerde, betrouwbare brongegevens om het cyberrisiconiveau te bepalen in de context van alle andere risico's én om de voordelen van de gemaakte kosten duidelijk te kunnen presenteren. De CISO moet de ‘biggest bang for the security buck’ uitleggen en verkopen, op basis van feiten en cijfers.

Talentmagneet vanwege de voortdurende 'oorlog' tegen beveiligingstalent die risico- en beveiligingsleiderschap, vakmanschap en eigenaarschap verankert in het continu 'scherpen van de zaag' en het stroomlijnen van de operatie; en ten slotte om redelijke zekerheid te tonen over de informatie- en cyberbeveiligingsfunctie van beneden naar boven. Dit betekent dat de CISO het wervingsproces moet leiden en beïnvloeden van toptalenten die in staat zijn de "eigenaars" van risico en beveiliging positief te beïnvloeden, talent dat in staat is om KRI's en KPI-mechanismen in de technologie en processen in te bouwen, maar ook professionals die weten wanneer genoeg genoeg is, de mogelijkheden van huidige en nieuwe tooling kennen en een goed oordeel kunnen vellen wanneer nieuwe FUD-verkopers zijn eigenlijk welkom of niet.

Orchestrator omdat 'risico's van derden' de grootste risico's zijn voor platformgebaseerde bedrijfsmodellen die werken in een groot eco-api-gebaseerd systeem dat duidelijke, vooraf gedefinieerde indicatoren vereist om de cyberprestaties over meerdere omgevingen te bewaken (van links naar rechts). Dit betekent dat de CISO de beveiliging van de hele keten moet ontwerpen en orkestreren, zodat hij of zij volledig inzicht krijgt in de effectiviteit van de beveiligingscontroles.

Door deze rollen effectief aan te pakken, kan je relevante gesprekken voeren met alle belanghebbenden, ongeacht het organisatieniveau waarop je communiceert of de onderwerpen die je behandelt, zoals ROSI, orkestratie, het stroomlijnen van SOC-processen of het uitbesteden van beveiliging. Leveranciers die kunnen bijdragen aan de dialoog over waar de grootste 'bang for the buck' kan worden verdiend, zijn degenen die de harten van de klanten zullen winnen.

Wil jij strategieën en beleid voor informatiebeveiliging en risicobeheer ontwikkelen, implementeren en beheren, afgestemd op de specifieke behoeften van uw organisatie? Ontdek hoe onze masterclass, speciaal ontworpen voor IT-professionals, jou kan helpen!