Cybersecurity executie vraagt om sturing door de CxO

Cybersecurity executie vraagt om sturing door de CxO

Deze blog vormt het sluitstuk van een drieluik. In de eerste blog beschreven we het assessment en in de tweede blog kwam de roadmap voor security aan bod. De executiefase kun je in twee delen knippen. In het eerste deel gaat het erom dat je de maatregelen die je in de security roadmap hebt geformuleerd ten uitvoer brengt. Deel twee gaat over het beheren en beheersen van de oplossingen die je hebt geïmplementeerd. Daarvoor is een integratie van security-oplossingen gericht op het voorspellen, voorkomen en detecteren van en reageren op cyberdreigingen noodzakelijk.

De vraag of je dit zelf kunt doen of zou moeten outsourcen werpt zich op.

Resources onder druk

Voor beide delen van de executiefase gaat de essentiële vraag op: beschik je over voldoende resources? Dan hebben we het over tijd, mensen en kennis. We leven immers in een wereld waarin technologische ontwikkelingen razendsnel gaan. Enerzijds vraagt de business voortdurend om nieuwe en zwaardere requirements en anderzijds heb je te maken met cybercriminelen die steeds geavanceerder te werk gaan. Malware wordt steeds geavanceerder.

Het is dan ook duidelijk dat de resources onder druk komen te staan en dat het voor organisaties moeilijk is om te kunnen beschikken over het juiste kennisniveau. Deze uitdaging vraagt om een gestroomlijnde executie, die begint met een projectmatige aanpak. Het projectteam verzamelt requirements, zet een marktvraag uit en selecteert oplossingen die vervolgens geïmplementeerd en gehandhaafd moeten worden.

En dan doet de uitdaging van de beschikbare resources zich gelden. Het is duidelijk dat succes in deze fase valt of staat bij te betrokkenheid van meer disciplines in de organisatie. Denk bijvoorbeeld aan HR en recruitment die met de gerichte arbeidsmarktcommunicatie de juiste mensen moet behouden en aantrekken. Vanwege het ondernemingsbrede karakter van de executiefase, is regie door het C-level van groot belang.

Security outsourcen

Je hebt echter verschillende handvatten om de beschikbare resources zo efficiënt mogelijk in te zetten. Na de assessment- en roadmap-fasen beschik je namelijk over inzicht in de prioriteiten. Je kent de kwetsbaarheden in de IT-omgeving en je weet waar dit leidt tot de grootste business impact. Je kunt de resources dus inzetten op de plekken met de hoogste prioriteit; andere issues komen op de planning voor later.

Het is evenwel goed mogelijk dat je tot de conclusie komt dat er te veel hoge prioriteiten zijn voor de resources die je hebt. Dan is outsourcen raadzaam. Zoek de samenwerking met een (Managed) Security Services Provider, die (delen van) de security-opgave voor je uitvoert. Je behoudt dan zelf de regie, maar je wordt ontzorgd van de implementatiewerkzaamheden. Het uitbesteden van essentiële taken, die zeker ook bedrijfskritisch zijn, vraagt om actieve bemoeienis op topniveau. De boardroom moet hierbij betrokken zijn.

Predict, Prevent, Detect, Respond en audit

Na de implementatie van security-oplossingen moet je erop toezien dat de maatregelen effectief zijn. Nu komt het aan op beheren en beheersen. Je kunt nog zoveel firewalls installeren, als je niet bijhoudt wat ze allemaal tegenhouden of onverhoopt doorlaten, mis je ontzettend belangrijke dreigingsinformatie. Dit soort informatie is nodig om toekomstige aanvallen te kunnen voorspellen en voorkomen (Predict en Prevent). Tegelijkertijd stelt het je in staat om aanvallen vroegtijdig te detecteren, te analyseren en te isoleren (Detect) en snel op incidenten te reageren en eventuele schade te repareren (Respond). Zorg ervoor dat je monitoring- en analyse-tools hebt geïnstalleerd die het verkeer voortdurend in de gaten houden en ook rapporteren in hoeverre de securitymaatregelen die je hebt genomen effect sorteren (audit). Dit gebeurt steeds meer op realtime basis.

De conclusie is dat een geïntegreerde aanpak van cybersecurity executie onontbeerlijk is. In het verleden lag de nadruk op preventie. We bouwden een LAN met een dikke muur eromheen. Maar tegenwoordig is alles en iedereen met elkaar verbonden en is het belang van automatische detectie en ingrijpen toegenomen, realtime en 24/7. Zo kan vreemd netwerkverkeer gedetecteerd en geweerd worden. Het inloggen van een laptop op een database vanuit een locatie in Rusland, terwijl de eigenaar van het device op vakantie is in Spanje wordt als gevaarlijk aangeduid. Niet alleen wordt automatisch de toegang geweigerd, maar ook wordt direct een segment van het netwerk afgesloten.

De executiefase is in feite nooit af. Ga maar na. We begonnen met een risk assessment om de bedrijfskritische elementen van de IT-infrastructuur in kaart te brengen. Vervolgens hebben we de securityrisico’s in het juiste perspectief geplaatst op de cybersecurity roadmap. In de executiefase hebben we maatregelen geïmplementeerd en geven we invulling aan beheren en beheersen. En dan begin je feitelijk weer van voor af aan: voer weer een assessment uit om te zien of je nog steeds de juiste maatregelen op de juiste plaats hebt.

Als CxO heb je een dedicated IT-team om je heen verzameld dat zich bewust is van het belang van cybersecurity. Desalniettemin is het nodig om iedereen scherp te houden. Het is een taak voor het C-level om alle betrokkenen te blijven uitdagen: kan het niet veiliger, kan het niet efficiënter, kan het niet goedkoper? De CxO moet er dus boven op zitten.

 

Auteur: Jeroen Hentschke