Het cybersecuritylandschap verandert. Als gevolg daarvan moeten CIO’s hun strategie aanpassen. Maar hoe? Vijf prangende vragen en antwoorden over cybersecurity.

Wat is het belangrijkste dat we moeten weten over hedendaagse cyberdreigingen?
Het tijdperk van de algemene bedreiging is voorbij. Vandaag de dag hebben we te maken met bedreigingen die specifiek op een organisatie gericht zijn en worden uitgevoerd door hackers die weten wat ze zoeken (meestal persoonlijke gegevens of financiële informatie).

Ook het simpelweg binnenkomen in een organisatie voor spionagedoeleinden kan hun missie zijn. Hackers worden steeds vaardiger en beschikken tegenwoordig over een uitgebreid palet aan middelen om hun doel te bereiken. Hun methodes worden alsmaar geavanceerder en het is moeilijk om hun activiteiten in een vroeg stadium op te merken.

Tegelijkertijd willen businessleaders dat hun organisaties meer agile worden en sneller digitaliseren zodat ze beter kunnen concurreren. Daarvoor is het bittere noodzaak om meer verbindingen te maken, meer te communiceren en meer gebruik te maken van cloudinfrastructuur.

Dit levert een opmerkelijke tweestrijd op: hackers proberen op steeds meer verschillende manieren binnen te dringen in de infrastructuur van organisaties, terwijl organisaties deze infrastructuur steeds vaker openstellen voor partners en klanten. Hét centrale vraagstuk in cybersecurity is dan ook: hoe stellen we bedrijven open zodat ze zich sneller kunnen ontwikkelen, maar houden we ze wel beschermd tegen dreigingen van buitenaf?

Hoe verandert dit de security-aanpak?
Lange tijd gold netwerkbeveiliging als de traditionele aanpak. Een aanpak die gekenmerkt wordt door het bouwen van hoge muren die een strikte grens vormen tussen binnen en buiten. De komst van applicaties en infrastructuren echter die zich niet op de eigen servers bevinden maar in de cloud, maakt deze aanpak achterhaald. De focus van security moet zich verplaatsen van het netwerk naar de gebruiker, de data en de applicaties. Dat zijn de nieuwe controlepunten: de plekken waar je het contact tussen bedrijf en buitenwereld kunt controleren. Je moet weten wie de gebruikers zijn en tot welke applicaties ze toegang moeten hebben. En je moet ervan verzekerd zijn dat de juiste data op een veilige manier wordt uitgewisseld tussen gebruiker en toepassing.

Wat moet er achter de schermen gebeuren om gebruikers, data en applicaties goed te kunnen beschermen?
In het traditionele corporate securitymodel werd al gewerkt met gebruikersidentiteiten. Maar nu moeten die identiteiten worden gebruikt voor toegang tot applicaties die zich in de cloud bevinden in plaats van in datacenters. De CIO moet op gebruikersniveau weten hoe devices worden gebruikt. Worden deze beheerd door het bedrijf, of gaat het om een toestel dat door de gebruiker zelf is aangeschaft? Securitybeleid moet rekening houden met BYOD om zo te zorgen voor gebruiksgemak.

Wat betreft toepassingen in de cloud is het van belang dat je je ervan verzekert dat gebruikers toegang hebben tot de juiste applicaties. Bepaal ook altijd of een applicatie volledig betrouwbaar is, semi-trusted of onbekend (en dus onbetrouwbaar). Dit is extreem belangrijk in het geval van phishing-aanvallen die geactiveerd worden doordat er op een malafide link in een e-mail geklikt wordt. Om mogelijke aanvallen te kunnen detecteren, moet de security-afdeling op de hoogte zijn van wat er wordt gecommuniceerd en hoe betrouwbaar linkbestemmingen zijn.

En dan is er nog data. De beveiliging hiervan begint met het classificeren van het belang ervan. Bevat het kritieke bedrijfsinformatie of maakt het niet uit of het op straat belandt? Het classificeren van data is in opkomst, maar slechts weinig organisaties doen het op een goede manier. Eigenlijk zijn er maar twee soorten data: gegevens die een bedrijf in de problemen kunnen brengen als ze in verkeerde handen vallen en alle andere gegevens.

Bij het beveiligen van al deze onderdelen (gebruikers, toepassingen, data) moet de CIO zich realiseren dat beveiligingsbeslissingen minder zwart-wit zijn dan voorheen. Het is niet langer een kwestie van het blokkeren of toestaan van IP-adressen. Securitybeslissingen zijn veel genuanceerder geworden en het beleid moet dan ook risk-based zijn.

Welke voordelen ondervinden bedrijven van een risk-based cybersecuritymodel?
Het doel van een securitystrategie is het verkleinen van het risico dat een bedrijf loopt. Een bedrijf moet tegelijkertijd voorkomen dat securitymaatregelen innovatie en transformatie in de weg staan. In een ideale situatie maakt securitybeleid bedrijfsagility mogelijk: bedrijven kunnen dan nieuwe toepassingen uitrollen zonder dat dit mogelijke nieuwe bedreigingen oplevert voor de organisatie.

Daarvoor is een cultuurverandering nodig. Security is altijd voorgesteld als een barrière die overwonnen diende te worden om een doel te behalen. Securityprofessionals zagen zichzelf als poortwachters die bepaalden wat wel en niet mocht. In de nieuwe situatie moeten securityprofessionals het bedrijf juist voorlichten hoe ze hun doelen kunnen bereiken op een manier die het laagste risico en de grootste kansen oplevert.

Hoe tillen CIO’s hun securitystrategie naar een hoger niveau? Door het volgen van de volgende drie stappen kunnen CIO’s hun strategie op het niveau brengen dat in deze tijd gevraagd wordt.

  1. Zie de toepassing van cloud niet met angst en beven tegemoet maar omarm haar juist. Het kan je helpen de veiligheid van de organisatie te vergroten en er tegelijkertijd voor zorgen dat je organisatie meer agile wordt, een hogere omzet draait en in staat is om sneller te groeien.
  2. Volg daarnaast het principe van zero trust. Ga er in eerste instantie van uit dat alles potentieel schadelijk is en stel op basis daarvan het securitybeleid op. Er zijn maar weinig gevallen waarbij direct duidelijk is dat iets risicovol of risicoloos is, het merendeel bevindt zich ergens in het grijze midden. Schat in hoe risicovol iets is en verzamel vervolgens bewijzen op basis waarvan het risiconiveau aangepast kan worden op het daadwerkelijke niveau.
  3. Neem ten slotte het voortouw in het begeleiden van het bedrijf als het om risico’s nemen gaat, in plaats van alleen als poortwachter op te treden. Op die manier vervul je een belangrijkere rol die meer waarde toevoegt binnen het bedrijf.

Securityprofessionals zijn risicoprofessionals die moeten nadenken over hoe securityrisico’s een bedreiging vormen voor het hele bedrijf. Op die manier kan er een securitybeleid worden opgesteld dat in lijn is met de algehele bedrijfsstrategie.

LAAT EEN REACTIE ACHTER

Laat alsjeblieft een reactie achter!
Laat hier je naam achter