Invloedrijke trends voor opkomende rollen in digitale beveiliging - 2023 en daarna

In de afgelopen 21 jaar werden ‘misbruik’ en ‘menselijke fouten’ gezien als de belangrijkste hoofdoorzaak van datalekken. Van 2000 tot 2021 zien we 4.457 menselijke fouten op 10.363 fouten als hoofdoorzaak. Volgens het onderzoeksrapport van Ponemon stegen de kosten van datalekken van US$3,86 miljoen naar US$4,24 miljoen, de hoogste gemiddelde totale kosten in de geschiedenis [1]". We weten ook dat het gemiddeld 287 dagen duurt om een datalek te identificeren en op te lossen. Hoe langer het duurt om een datalek te identificeren en op te sporen, hoe duurder de inbreuk.

In figuur 1 zien we dat de cyberbeveiligingsindustrie nu beter is in het identificeren van actoren. Ten tweede is er een aanzienlijke toename van georganiseerde criminaliteit (van 5% naar 38%), en ten slotte neemt het gevaar van fouten door ontwikkelaars toe (van 0% tien jaar geleden naar 11% nu). De actoren zijn steeds geraffineerder geworden en de gevolgen zijn rampzaliger dan 20 jaar geleden.

• Een top-down benadering van cyberbeveiliging [2]
• Het risico van op spreadsheets gebaseerde beveiliging [3]
• Een toename in het gebruik van technologie vereist "vakmanschap" [4]
• Beveiligingsuitgaven liggen onder vuur [5]
• De complexiteit en dynamiek van cyberactoren en -aanvallen [6]
• Ontbrekende bewustmakingscampagnes
• Door de staat gesponsorde spionage [6] [7] [8] [9] [10]
• Misconfiguraties en menselijke fouten
• Machinaal leren en kunstmatige intelligentie [4]
• Gedistribueerde - kwetsbare - hybride omgevingen [11] [12] [13]
• Cyberbeveiligingsalarmmoeheid
• Nieuwe manieren van werken (DevOps, Agile, Scrum) [12]
• Continue softwareontwikkeling [3]
• Druk van regelgeving en assurance (geïntegreerde rapportage) [14]
• Uitbesteding van beveiligingstaken
• Ethiek in cyberbeveiliging [10]
• Oorlog tegen talent
• Moeilijkheden met het omgaan met gegevens volgens wettelijke vereisten [15]
• Virtuele identiteiten.

Ons doel is niet om helemaal volledig te zijn, maar om je enkele belangrijke trends te geven op basis van onze ervaring en externe onderzoeksrapporten en artikelen. Deze trends zullen andere capaciteiten en dus rollen in het cyberdomein vereisen, zoals: Cyberdata Analyst, Cyber Attack Agent, Cyber Calamity Forecaster, Machine Risk Officer, Virtual Identity Defender, Data trash engineer, Cloud orchestration architect, Security vaccinator, Cyber talent magnet en AI auditor. We lichten elke functie kort toe in de sectie hieronder om je een idee te geven van wat deze rollen inhouden. Uiteindelijk mengen we dit in onze visie op het deel van de CISO en het toekomstige - workforce - curriculum.

Door de snelle veranderingen in bedreigingen en de veranderende actoren is het moeilijk om deze kennis bij te houden en te vertalen naar acties. Deze acties lijken te werken. We hebben ook vastgesteld dat de cyberbeveiliging in de gezondheidszorg aanzienlijk is verbeterd, waardoor het percentage gecompromitteerde medische gegevens is gedaald van 44% in 2010 naar 14% in 2021 (figuur 2) op basis van een 100%-afwijking tussen de verschillende gegevenstypen (kan zijn dat de hoeveelheid gegevens is toegenomen). Financiële gegevens zijn ook minder blootgesteld. De reden hiervoor is dat gereguleerde bedrijven meer inspanningen doen op het gebied van cyberbeveiliging en raamwerkimplementaties die moeten voorkomen dat financiële gegevens worden blootgesteld. Aan de andere kant merken we op dat wettelijke vereisten en bijbehorende kaders geen wondermiddel zijn en dat het aantal inbreuken op persoonsgegevens is toegenomen (van 20% in 2011 tot 43% in 2021), ondanks de verplichte wetten op het gebied van gegevensbescherming (bijv. GDPR, CCPA) die sinds begin 2018 van kracht zijn. De belangrijkste reden hiervoor is het gebrek aan kennis en vaardigheden [om technische maatregelen te implementeren], bevestigd door onderzoek aan de Antwerp Management School in 2020 [15]. Al deze trends doen ons afvragen wat onze toekomstige prioriteiten moeten zijn: moeten we technologie of onderwijs op de eerste plaats zetten?

Om dit probleem het hoofd te bieden, vertrouwen agenten van cyberbedreigingen of Security Operations Centers (SOC's) op een enorme hoeveelheid rapporten over nieuw gedetecteerde (of vermoede) bedreigingsvectoren die worden gemeld in openbare bronnen: nieuwsfeeds, mailinglijsten, Twitter-streams, forums, enz. Er zijn ook veel niet-openbare bronnen: zoals betaalde bedreigingsbulletins van leveranciers en aankondigingen in gesloten kanalen. Dit vormt een groeiende uitdaging, die een specifiek voorbeeld is van het 'firehose'-gegevensprobleem. Er zijn veel gegevens beschikbaar. Op voorhand is de waarheidsgetrouwheid ervan nooit boven elke twijfel verheven. Bovendien zijn ze niet gegarandeerd zo gestructureerd dat automatische of geautomatiseerde verwerking gemakkelijk mogelijk is. En met veel gegevensbronnen die mogelijk licht werpen (mogelijk vanuit verschillende perspectieven) op zaken die onderliggende samenhang delen, is het ontdekken van de relatie tussen rapporten uit verschillende bronnen een kritieke onderneming. Opvallend is ook dat de gegevensbronnen talig zijn, met een breed scala aan potentiële brontalen. Velen zijn in het Engels (van wisselende kwaliteit), maar lang niet allemaal, en men mag nooit de mogelijkheid uitsluiten dat een zeer relevant en urgent rapport eerst in het Russisch, Koreaans, Chinees, Duits, Frans (enz.) wordt gepubliceerd.

Gezien de omvang van de datastroom ('firehose') ontstaat het schaalbaarheidsprobleem; een hoge mate van automatisering is vereist. Met dit probleem in gedachten definiëren we drie gerelateerde mogelijkheden:

• Kwaliteit van gegevensbronnen beoordelenµ
• Intelligente correlatie, relevantie en risicobepaling
• Het automatiseren van de processtroom voor het verwerken van gegevensbronnen en het doorsturen daarvan naar doelgroepen in een presenteerbaar en bruikbaar formaat.

Op basis van de bedreigingsgegevens kan de calamiteitenvoorspeller trendanalyses uitvoeren op sectoren (financiën, detailhandel, productie), landen, platforms (Microsoft, Oracle, enz.), omgevingen (industriële installaties), enz. Deze rol wordt steeds belangrijker omdat de meerderheid van de mensen door het bos de bomen niet meer ziet en iemand nodig heeft die calamiteiteninformatie vertaalt naar mogelijke beslissingen.

In het volledige artikel, dat u hier kunt vinden: https://www.linkedin.com/pulse/influential-trends-emerging-roles-digital-security-2023-bobbert/ , belichten we de belangrijkste opkomende rollen:

• Cyberdata Analist
• Machine-risico-medewerker
• Cyberdiplomaat
• Cyberaanval Agent/SEAL
• Gegevensvernietiger
• Cyberfilosoof
• AI-auditor
• SUX-ontwerper (Security User Experience)

Voor deze toekomstige functies hebt u geschoold talent nodig. Veel leer- en certificeringsprogramma's die al zijn ontwikkeld, zijn voor veel HR-professionals of recruiters een compleet bos door de bomen. Voor de HR-professional wordt het steeds ingewikkelder om talent van amateurs te onderscheiden. Je kunt simpelweg niet beoordelen op certificering alleen; je moet dieper kijken naar intrinsieke motivaties en persoonlijke capaciteiten. Dit lijkt vanzelfsprekend, maar in de informatiebeveiliging is het voor een HR-professional niet eenvoudig om te zien hoe goed iemand is in een bepaald domein.

Lee stelt in het artikel "Seeking the Purple Squirrel" voor om te kiezen voor een open functieomschrijving met de naam "Desired Experience" (Gewenste ervaring): "Beveiliging is een snel evoluerende ruimte, die bestaat uit tal van verschillende technologieën, en van geen enkele persoon wordt verwacht dat hij of zij elk kenmerk in deze lijst bezit. Een nieuwsgierige geest, het vermogen om na te denken over de regels en hoe ze te breken, en de bereidheid om te leren zijn de belangrijkste eigenschappen waar we naar zoeken. Als je een aantal van de volgende eigenschappen hebt en bereid bent om er meer van te leren, dan horen we graag van je."

Ondanks de grote vooruitgang in de industrie, de race om talent en de zoektocht naar de Purple Squirell, blijft de onnauwkeurigheid van gegevens en informatie een aanzienlijke uitdaging voor veel organisaties. Ontoereikende detectiepercentages en trage reacties op aanvallen zijn hiervan het bewijs. Het gebrek aan vakmanschap is de belangrijkste oorzaak voor deze onvoldoende geconfigureerde beveiligingstools en de veelpuntsoplossing. Maar de inzet is hoog. Een inadequate en schijnbaar zwakke reactie op inbreuken kan een negatieve invloed hebben op de gepercipieerde waarde van een bedrijf en mogelijk op de aandelenkoers. Deze informatie dringt zelden door tot de operationele teams. Er ligt hier een taak voor alle beveiligingsprofessionals om "op feiten gebaseerde gegevens" stroomopwaarts en stroomafwaarts te communiceren. Het Executive Master-programma in Cybersecurity aan de Antwerp Management School richt zich op vele aspecten, zoals Cybereconomics en besluitvorming, Beveiliging in gedistribueerde omgevingen, API-beveiliging, Leiderschap, Gegevensbeveiliging, Incident Response en HR.

[1] Ponemon, "Cost of Data Breach Study: Global Analysis," Ponemon Institute LLC, Verenigde Staten, 2016.

[2] WhiteHouse, "Executive Order on Improving the Nation's Cybersecurity," https://www.whitehouse.gov/bri..., Washington, Verenigde Staten, 2021.

[3] Y. O. N. Bobbert, "LockChain-technologie als één bron van waarheid voor Cyber, Informatiebeveiliging en Privacy," in Computing Conference, Londen, 2020.

[4] Y. Bobbert en M. Butterhoff, Leading Digital Security; 12 manieren om de stille vijand te bestrijden, Utrecht: https://12ways.net/blogs/emerg..., 2020.

[5] AFCEA, "De economie van cyberbeveiliging: A Practical Framework for Cybersecurity Investment," AFCEA CYber Committee, 2013.

[6] MITRE, "Aanvalgroepen", 2021. [Online]. Beschikbaar: https://attack.mitre.org/group....

[7] AIVD, "AIVD Jaarverslag 2020," 2022. [Online]. Beschikbaar: https://english.aivd.nl/binari....

[8] AIVD, "Cyberaanvallen door statelijke actoren," Ministerie van Defensie Militaire Inlichtingen- en Veiligheidsdienst, Den Haag, 2021.

[9] AIVD, "Publicatie AIVD en MIVD 'Cyberspionage: bent u zich bewust van de risico's?' Een gezamenlijke publicatie van de AIVD en MIVD over de dreiging van cyberspionage voor bedrijven en instanties," Ministerie van Binnenlandse Zaken en Koninkrijksrelaties van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), Den Haag, 2017.

[10] BakerMcKenzie, "Het toenemende belang van het beschermen van bedrijfsgeheimen," 2017. [Online]. Beschikbaar: https://www.bakermckenzie.com/....

[11] T. Kumar, Wat is de impact van gedistribueerde agile softWare ontwikkeling op teamprestaties, Antwerpen: Antwerp Management School, 2020.

[12] Y. Bobbert, M. Chtepen, T. Kumar, Y. Vanderbeken en D. Verslegers, Strategic Approaches to Digital Platform Security Assurance, Hershey, PA: IGI Global, 2021.

[13] E. Botjes, "Defining Antifragility and the Application on Organization Design," Antwerop Management School (AMS) -https://zenodo.org/record/3719..., Antwerpen, 2020.

[14] Y. Bobbert, Improving The Maturity of Business Information Security; On the Design and Engineering of a Business Information Security Artefact, Nijmegen: Radboud Universiteit, 2018.

[15] J. Kuijper, "Effective Privacy Governance-management reserach_A view on GDPR ambiguity, non-compliancy risks and effectiveness of ISO 27701:2019 as Privacy Management System," Antwerp Management School, Antwerpen, 2020.