Home Security De overgang naar een op risico’s gebaseerde aanpak van IT-beveiliging

De overgang naar een op risico’s gebaseerde aanpak van IT-beveiliging

Qualys -
121

“Het beheren van beveiligingsrisico’s heeft absolute topprioriteit en we zijn hier continu mee bezig.” Dit was de belangrijkste boodschap van CISO’s en IT-securitymanagers die wij ontvingen voor onze Strategic Advisory Board-meeting in Londen en tijdens het CISO-diner dat wij onlangs georganiseerden in Utrecht.

IT-beveiligingsteams besteden onevenredig veel tijd aan het beheren van bedreigingen, en het wordt volgens hen alleen maar moeilijker. Ondanks verschillen in grootte, geografie en branche, worstelen ze allemaal met dezelfde uitdagingen.

Het vaakst hoorden we de volgende klachten:

  • “Teams hebben beperkt zicht.” Wat niet wordt gezien, kan ook niet worden beheerd. Uit verschillende marktonderzoeken blijkt dat grote organisaties geen weet hebben van meer dan de helft van alle apparaten op het bedrijfsnetwerk. Deze vergroten echter het potentiële aanvalsoppervlak en stellen zelfs de meest effectieve IT-beveiligingsstrategie op de proef.
  • “We worden overspoeld door tools en gegevens.” Volgens Gartners 2020 CISO Effectiveness Surveybeschikt de gemiddelde onderneming over meer dan 16 beveiligingstools. Ruim een op de tien CISO’s (12%) heeft zelfs 46 beveiligingsoplossingen geïnstalleerd. Er zijn dus hulpmiddelen genoeg, maar het ontbreekt vaak aan bruikbare inzichten. Hierdoor ontstaan grote gaten in de dekking, is er een gebrek aan afstemming tussen beveiligings-, compliance- en IT-teams en ontstaan er problemen bij het prioriteren van respons en herstel.
  • “We kunnen de handmatige processen niet bijbenen.” De IT-infrastructuur wordt steeds heterogener en vluchtiger, van on- premise tot virtueel tot serverless, van public tot private tot hybride cloud, van IT- tot OT- tot IoT-middelen. Het beheren van IT-beveiliging wordt nog lastiger door het toenemende gebrek aan IT-vaardigheden, waardoor het vinden en behouden van ervaren teams nog veel moeilijker wordt. IT wordt nog complexer door een gebrek aan automatisering op het gebied van IT-beveiliging, slechte samenwerking tussen teams en een behoefte aan coördinatie van taken.

Aandacht voor cyberrisico’s

Deze obstakels beletten CIO’s en CISO’s in het volgen van cyberrisico’s en erover te rapporteren zoals de bredere enterprise risk management-praktijken van bedrijven dat vereisen. Waar komt deze plotselinge aandacht voor cyberrisico’s bij CEO’s en directieteams vandaan?

Cyberrisico is een zorg op bestuursniveau

Besturen zien ook alle berichten in de media en hun bezorgdheid neemt toe bij elk bericht over cyberoorlogsvoering in het oosten van Europa en over ransomwareaanvallen in Nederland. Wie had gedacht dat Artis ooit een onderwerp van zorg zou worden in de bestuurskamers? Volgens onderzoek van ESG moeten CISO’s bij meer dan 50% van de driemaandelijkse bestuursvergaderingen verantwoording komen afleggen. Het beperken van cyberrisico’s is belangrijk omdat de kosten van een geslaagde cyberaanval de pan uit rijzen. IBM berekende de gemiddelde kosten van een datalek. Deze stegen in 2021 van 3,86 miljoen dollar naar 4,24 miljoen dollar, de hoogste stijging in de 17 jaar dat IBM hierover rapporteert.

De zorgen over IT-security beperken zich niet tot de bestuurskamers. Aandeelhouders volgen het nieuws natuurlijk ook en zij willen weten wat de bedrijven in hun portefeuilles daaraan doen. Volgens GlobalDataworden er nu gemiddeld 800 keer per kwartaal melding gemaakt van “IT-beveiliging” in openbare financiële rapportages. De AVG bevat een meldplicht voor datalekken. Organisaties moeten direct een melding doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. Zij moeten het datalek ook melden aan de betrokkenen en daarom blijft dit nooit lang uit het nieuws.

Deuk in imago

Naast de financiële schade loopt ook het imago van een bedrijf een deuk op en neemt het vertrouwen onder klanten af. Bestuursleden en aandeelhouders leggen CISO’s daarom het vuur aan de schenen over de uitgaven aan IT-beveiliging, meetinstrumenten voor het succes daarvan en plannen voor de bedrijfscontinuïteit in het geval van een cyberaanval.

Bestuurders en aandeelhouders zijn zelden techneuten. Dit betekent voor elke CIO en CISO dat zij het bestrijden van cyberrisico’s op een andere moeten bespreken. Volgens ESG is het tijd om de ’techno-speak’ af te schaffen en in duidelijke taal uit moeten leggen wat cyberrisico’s uiteindelijk betekenen voor de bedrijfsresultaten. Voor velen zal dit een omschakeling vereisen. Het vraagt om een op risico’s gebaseerde benadering van het beheer van IT-beveiliging.

IT-beveiliging benaderen op basis van risico’s

IT-beveiliging moet risico’s in verschillende categorieën beperken:

  • Risico’s van op zichzelf staande softwaretoepassingen, die verouderd kunnen zijn, niet meer worden ondersteund of op maat zijn gebouwd.
  • De risico’s van geïntegreerde technologieën die door derden worden beheerd of deel uitmaken van een bredere toeleveringsketen.
  • Risico’s van de fysieke of virtuele infrastructuur, zoals endpoints, servers, netwerkapparaten, clouds en containers.
  • Ook mensen vormen een groot risico, aangezien het personeel van een bedrijf ten prooi kan vallen aan cybercriminelen die misbruik maken van menselijke fouten, onbegrip of onwetendheid.

Aangezien CISO’s verantwoordelijk worden gehouden voor het verminderen van cyberrisico’s, moeten ze IT benaderen op basis van risico’s. Dat betekent dat zij IT-beveiligingsoplossingen, -processen en -teams moeten convergeren en laten samenwerken. Deze op risico’s gebaseerde aanpak kan voorgeschreven zijn door bedrijfsbeleid, wet- en regelgeving of financiële auditnormen. CISO’s moeten deze regels naleven en tegelijkertijd de IT-verdediging te versterken. Tot slot moeten ze in hun rapportages aantonen hoe de beveiligingscontroles presteren ten opzichte van interne doelstellingen en benchmarks in de sector.

Cyclus van drie stappen

Het lijkt allemaal makkelijker gezegd dan gedaan. Met de volgende cyclus van drie stappen is het echter mogelijk om een op risico’s gebaseerde aanpak van IT-beveiliging te hanteren. Deze stappen bewaken het dreigingslandschap. Ze maken een snelle reactie mogelijk. En ze voorzien in de onderbouwing waar de bedrijfsleiding om vraagt.

  1. Beoordeel risico’s door alle IT-middelen inzichtelijk en beheersbaar te maken. Effectief beheer van kwetsbaarheden begint met een grondige beoordeling van bedreigingen. Organisaties moeten de werkelijke cyberrisico’s kunnen kwantificeren, zodat het eenvoudiger wordt om prioriteit te geven aan bedreigingen.
  2. Verklein risico’s door de consolidatie van IT-beveiligingsoplossingen. Zodoende ontstaat een uniform platform, met mogelijkheden voor automatisering, voor risicomonitoring, detectie en herstel.
  3. Rapporteer risico’s op basis van duidelijke meetinstrumenten die risico’s vergelijken met standaarden in een vakgebied en benchmarks en best practices van branchegenoten. Dat brengt in kaart wat de unieke blootstelling van een organisatie is ten opzichte van specifieke cyberrisico’s.

Tel niet de kwetsbaarheden, maar de risico’s

Door deze verschuiving naar een op risico gebaseerde aanpak van IT-beveiliging heeft het geen zin meer om alleen maar de kwetsbaarheden in de IT-omgeving te tellen. Dat valt niet mee, want tot nog toe werd veel waarde toegekend aan het tellen van kwetsbaarheden. Het totale aantal gemelde kwetsbaarheden is de afgelopen jaren explosief gestegen. In de jaren negentig werden in totaal 2.594 kwetsbaarheden geklokt, wat in de jaren 2000 met 796% steeg tot 37.231, en sinds 2010 zijn er nog eens 135.284 ontdekt (bron: Qualys). Een cumulatieve groei van het aantal kwetsbaarheden met 5.116% door de jaren heen lijkt opzienbarend. Maar door het cyberrisico te beoordelen in termen van bedrijfsrisico, kunnen deze astronomische aantallen in perspectief worden geplaatst.

Het is hierdoor niet langer houdbaar om doelstellingen voor het beheer van kwetsbaarheden te prioriteren op basis van CVSS-scores alleen. Het is verspilde moeite om kwetsbaarheden te patchen waarvan niet altijd duidelijk is of zij het risico verminderen.

Een kwetsbaarheid vormt pas een echt risico voor een organisatie als deze voorkomt op een IT-middel dat van wezenlijk belang is in een specifieke omgeving. Een ernstige kwetsbaarheid kan bijvoorbeeld minder zorgwekkend zijn als er compenserende maatregelen zijn om het risico te beperken. De kennis hierover zorgt ervoor dat de meeste kwetsbaarheden automatisch hersteld kunnen worden. En dat beveiligings- en IT-teams zich als een laserstraal kunnen richten op de kwetsbaarheden die het belangrijkst zijn voor de organisatie. Dat is de essentie van een op risico’s gebaseerde benadering van IT-beveiliging.

Chantal ’t Gilde, managing director Benelux & Nordics van Qualys.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in