De perfect storm die is opgestoken rond cybersecurity, brengt menige bestuurder en manager ertoe zich af te vragen hoe het hiermee in de eigen organisatie gesteld is. De dreigingen zijn reëel, de gevolgen soms ingrijpend. De behoefte aan discussie over dit onderwerp met peers is groot onder CIO’s en CISO’s die op zoek zijn naar good practices. ‘Hoe doet de buurman het?’

Tegelijkertijd zien we een bredere discussie rond security, risk en aansprakelijkheid in de context van digitale transformatie. Het is een discussie die zeker ook op RvB- en RvC-niveau gevoerd wordt. Dat ‘dwingt’ CIO’s en CISO’s om te kijken naar een holistische aanpak, breder dan technologie. Om aan deze behoefte tegemoet te komen, lanceert ICT Media het kennisprogramma HSO – Highly Secure Organisations.

Cybersecurity staat als nooit tevoren in de belangstelling. Met de digitale transformatie is het besef opgekomen dat wendbaarheid en een korte time-to-market mooie doelen zijn, maar gepaard moeten gaan met goede beveiliging, wil de transformatie niet het doel voorbijschieten. Cybersecurity is bittere noodzaak geworden, zeker voor wie ziet hoe geraffineerd cybercriminelen en zogenaamde statelijke actoren te werk gaan.

Perfect storm

Diverse factoren versterken de belangstelling voor cybersecurity nog, waardoor als het ware een perfect storm is ontstaan. De AVG leek na de inwerkingtreding niet veel indruk te maken, maar zo langzamerhand blijkt dat het effect ervan ook niet-juridisch is: burgers zijn privacy-bewuster geworden en pikken het niet meer als bedrijven of instellingen slordig met hun data omgaan.

En laat nu juist ook die data een asset zijn geworden, kroonjuwelen die bescherming vergen. De boardroom begint zich ook bewust te worden van zijn aansprakelijkheid voor het gebruik van data en digitale gereedschappen binnen de organisatie.

En kijken we buiten de muren van het bedrijf en de instelling, dan zien we een toenemende vervlechting van IT en OT (operationele technologie). Was OT altijd gevrijwaard van ‘digitale invloeden’, nu loopt door het verbinden van apparatuur met internet en de opkomst van IoT ook die OT risico. Wie is vergeten wat een enorme impact de ransomware NotPetya in 2017 had op het Maersk-concern? De schade voor Maersk bedroeg naar schatting 300 miljoen dollar.

Kennisprogramma

ICT Media, de uitgever van CIO Magazine en organisator van de bekende CIODAY, startte enkele jaren geleden met het kennisprogramma HPDO, ofwel High-Performance Digital Organisations, samen met TIAS en Informatica. Destijds aangejaagd door enkele CIO’s, is dit meerjarige kennisprogramma over digitale transformatie uitgegroeid tot een drukbezochte serie bijeenkomsten.

In deze context kwam aan de orde dat cybersecurity een onlosmakelijk onderdeel van digitale transformatie is. Als zodanig verdiende het een plek in het HPDO-programma, ware het niet dat het een te omvangrijk onderwerp is. Bovendien, aldus de CIO’s, heb je dan ook de CISO’s nodig. Alle reden voor ICT Media om van start te gaan met een parallel kennisprogramma, onder de noemer Highly Secure Organisations (HSO).

Het fundament onder het HSO-programma is een nulmeting. CIO Magazine legde daartoe een korte enquête aan de achterban voor. Hierin werden slechts drie vragen gesteld:

  • Vindt in jouw organisatie stelselmatig een afweging van risico versus kosten plaats, als het gaat om investeringen in (cyber)security?
  • Welke functie is eindverantwoordelijk voor security? Welke stakeholders zijn daarnaast te onderkennen?
  • Hoe beoordeel je de security awareness in de organisatie? Welke maatregelen zijn of worden genomen om de gewenste cultuur te creëren?

Op deze manier is de status van drie belangrijke elementen van cybersecurity in kaart gebracht, namelijk risk management, governance en awareness. We bespreken de uitkomsten van het onderzoek aan de hand van deze drie aspecten.

Risk management

Op de vraag ‘Vindt in jouw organisatie stelselmatig een afweging van risico versus kosten plaats, als het gaat om investeringen in (cyber)security?’ antwoordt circa 80 procent van de respondenten positief. Toch wordt ook bij deze ‘ja-stemmers’ volop genuanceerd, met opmerkingen als ‘ja, maar alleen op hoofdlijnen’, of ‘er vind een afweging plaats, maar m.i. mag deze vele malen scherper’.

Onder de deelnemende organisaties zijn er meerdere die het goed voor elkaar hebben: ‘Cyber security is topprioriteit. Detect, protect, respond and recover worden als total security management framework meegenomen en investeringen bewust overwogen. Business impact analyses dragen bij aan het bepalen van het risiconiveau en de afweging voor investeringen’, stelt een van de respondenten. Een mooie observatie is ook: ‘Ja, met als cultuur dat security geld mag kosten mits het om reële risico’s gaat (de laatste gaatjes kosten extreem veel).’

Niet bij alle organisaties staat risk management op de radar. Zo’n 15 respondenten zijn in dit opzicht kritisch, met reacties als ‘Nee, niet stelselmatig. Wij doen wel een en ander aan risicoanalyses. Maatregelen die veel geld kosten budgetteren we dan voor het volgend jaar. Ondertussen nemen we tijdelijke maatregelen wanneer nodig. Meestal zijn dit soort investeringen dan in competitie met andere investeringen. Risico’s komen dan niet altijd meer ter sprake of aan bod.’

Er is weinig verschil tussen de antwoorden van de CIO’s en die van de CISO’s als het om de volwassenheid van het risk management gaat. De bedrijven lijken het in dit opzicht iets beter te doen dan de overheid en de non-profitsector, maar het verschil is gering en bij dit aantal respondenten niet significant. Bovendien zijn ook in deze laatste categorie organisaties te vinden die op het gebied van risk management zeer volwassen zijn.

Governance

Hoe zijn bij bedrijven en instellingen in ons land de verantwoordelijkheden ten aanzien van cybersecurity belegd? Uit het onderzoek blijkt dat het vaak lastig is een eindverantwoordelijke aan te wijzen. Vaak worden in dit verband de CEO of het bestuur genoemd. De dagelijkse verantwoordelijkheid berust in de regel bij een CISO, die vaak rapporteert aan een CIO of COO. Toch is het beeld niet altijd zo helder als het hiermee lijkt. Veel respondenten melden dat ook allerlei businessmanagers direct verantwoordelijk zijn, zeker bij organisaties die veel OT in huis hebben.

Een goed voorbeeld is deze reactie: ‘Eindverantwoordelijk per definitie de CEO. Deze verantwoordelijkheid is op strategisch niveau gedelegeerd aan de CIO. Onder hem valt de afdeling Security, Risk en Compliance. Andere stakeholders bestaan uit directeur vastgoed (fysieke security), CHRO (cultuur en personeelsbeleid), CFO (risk, audit), CDO en de technology partners in ons ecosysteem.’

Of een voorbeeld als dit: ‘De CISO (Chief Informatie Security Officer) rapporteert aan mij als CIO, maar heeft ook een functioneel directe lijn naar het CvB. Bijna iedereen van de business is betrokken bij besluitvorming in dit domein. Echter zien we vaak dat besluiten wordt overgelaten aan mijn securityteam. Uiteindelijk ben ik als CIO verantwoordelijk voor informatiebeveiliging (beleid en uitvoering).’

Een dergelijke governance komt vaker voor. Je kunt de vraag stellen of hiermee wel duidelijk is wie waarvoor verantwoordelijk is en wat gedaan moet worden in geval van een serieus incident.

Awareness

Op een enkele uitzondering na zijn de deelnemers aan het onderzoek tevreden over het niveau van het security-bewustzijn onder hun collega’s: ‘vrij goed’, ‘best hoog’, zijn kwalificaties die vaak te noteren zijn.
 Een mooi voorbeeld is het antwoord van deze multinational:

‘We meten het bewustzijnsniveau in het hele bedrijf op verschillende manieren: 1. we voeren regelmatig phishingcampagnes uit, 2. we stellen een jaarlijkse computergebaseerde training (inclusief een quizz) op voor zowel alle medewerkers en 3. (specifiek voor de ontwikkelingsgemeenschap) we beoordelen de resultaten van onze gamified veilige coderingstraining die door het hele bedrijf wordt gebruikt.’

‘Ons wereldwijde bewustwordingsprogramma helpt ons bij het creëren en versterken van de juiste beveiligingscultuur. Naast de reguliere phishingcampagnes en jaarlijkse verplichte computergebaseerde trainingscursussen die hierboven zijn vermeld, bieden we het hele jaar door permanente educatie (ongeveer 4 onderwerpen in 2019) en organiseren we een jaarlijkse dag op elke locatie om informatiebeveiliging te vieren.’


‘Bovendien hebben we in 2018 een netwerk van beveiligingskampioenen gecreëerd, dat een platform biedt voor beveiligingsliefhebbers om via nieuwsbrieven te leren over nieuwe aanvallen en technologieën en deel te nemen aan evenementen zoals hackathons. We organiseren ook trainingssessies gericht op bepaalde afdelingen.’

Dit bedrijf maakt er wel heel veel werk van. Het noemt dan ook zo’n beetje alle instrumenten die bij vrijwel alle organisaties in het onderzoek worden ingezet: phishing mails, trainingen, voorlichting.

Psychologen zijn kritisch over zo’n benadering, waarbij het ‘zenden’ centraal staat. ‘Wanneer medewerkers bewust worden gemaakt van bepaalde risico’s van gedrag, heeft het gedrag vaak tijdelijk veel aandacht en zullen mensen hier mogelijk naar handelen. De meer dan terechte vraag die bij awareness-trainingen (inclusief e-learnings en games) vaak wordt gesteld is hoe lang mensen dit gedrag dan blijven vertonen. Mensen gaan snel over tot de orde van de dag waarin bijvoorbeeld tijdsdruk en gemak een grotere rol innemen’, schreef een psycholoog vorig jaar op deze website en in CIO Magazine.

Een discussie over het creëren van blijvende awareness – en het bijbehorende gedrag! – zal zeker deel uitmaken van het komende HSO-kennisprogramma. In deze context is ook het concept Zero Trust van belang. Dit is een model dat een strikte verificatie van de identiteit voorstaat, ongeacht of een persoon of device zich binnen of buiten de organisatie bevindt. Bij traditionele security-modellen is de verificatie een stuk minder stikt voor ‘interne’ personen en apparaten.

Bij Zero Trust – het woord zegt het al – wordt vertrouwen zo veel mogelijk geëlimineerd. ‘Always verify’ is het motto. En daarmee wordt ook de afhankelijkheid van de awareness van medewerkers teruggebracht.

Highly Secure Organisations

ICT Media zal, uitgaande van dit onderzoek, het HSO-programma gaan ontwikkelen. Het programma zal worden opgezet samen met een wetenschappelijke instelling en met een of meerdere marktpartijen. Ook zal een CIO of CISO worden aangezocht als ‘vaandeldrager’ namens de doelgroep. Enkele malen per jaar zullen belangstellende CIO’s, CISO en andere CxO’s bijeenkomen om naar aanleiding van een of meer presentaties in discussie te gaan. Dit met als doel gericht good practices te benoemen. Een à twee maal per jaar zal een HSO paper met alle bevindingen worden geschreven. CIO Magazine zal het proces op de voet volgen en er regelmatig over publiceren.


Wil je meer informatie over het HSO-initiatief, wil je je aansluiten bij de HSO community, of heb je een andere vraag? Stuur dan een bericht naar events AT ictmedia.nl.





Over het onderzoek


Precies 70 grote en middelgrote bedrijven en instellingen namen deel aan het onderzoek en presenteerden de stand van zaken op het gebied van hun risk management, governance en awareness-initiatieven. 
Opvallend was de deelname van een groot aantal zeer bekende organisaties, zowel uit het bedrijfsleven als de overheid. Tevens viel op hoe enthousiast men vaak op het HSO-initiatief reageerde: “Heel goed dat jullie dit oppakken.” Deelnemers waren vooral CIO’s en andere IT-verantwoordelijken, en anderzijds CISO’s en soortgelijke security officers.

Arnoud van Gemeren is hoofdredacteur van CIO Magazine, Boardroom IT en voormalig hoofdredacteur van TITM (Tijdschrift IT Management) en Outsource Magazine. Hij heeft een lange staat van dienst in de Nederlandse IT-mediawereld. Na een start bij een redactiebureau, was hij als hoofdredacteur van 1996 tot 2001 bij uitgeverij Array Publications verantwoordelijk voor diverse IT-vakbladen. In 2001 sloot hij zich aan bij een adviesbureau op het gebied van marketingcommunicatie, Beatrijs Media Group. Vanuit dit bureau bleef hij als hoofdredacteur actief, onder meer voor Sdu Uitgevers.

REAGEREN

Plaats je reactie
Je naam