Veertien security-experts kwamen op uitnodiging van CIO Magazine bij elkaar om te praten over de knelpunten rond gegevensbescherming. Dat alles tegen een achtergrond van razendsnelle technologische en conceptuele ontwikkelingen, en toenemende datastromen. Met de net ingevoerde GDPR/AVG is er theoretisch veel gebeurd, maar de praktijk blijft nog achter. Hoe komt dat toch? Een greep uit de vele besproken onderwerpen.

De discussie gaat van start met een aanbeveling uit een recent rapport van marktanalist Gartner: ‘stop met de afvinklijstjes, want het gaat om risicomanagement’. Daarin kunnen de deelnemers zich niet geheel vinden: afvinklijstjes kunnen wel degelijk waarde hebben. Een van de deelnemers adviseert zijn klanten om cybersecurity eerst op een bepaald minimumniveau van hygiëne te brengen. “Je adresseert dan bekende zaken met bekende oplossingen. Daar zijn afvinklijstjes heel geschikt voor. Daarna kun je gaan nadenken over hoe strategisch, flexibel en geautomatiseerd de security moet zijn.”

Er gaan wel de nodige mitsen en maren over tafel: checklists zijn géén alibi om zelf niet meer te hoeven nadenken. Belangrijkste nadeel is dat de af te afvinken punten die er eenmaal op zijn gekomen zelden verdwijnen. Dat ondermijnt de geloofwaardigheid en motiveert niet tot zorgvuldig, consequent gebruik.

Board, wake up!

In de praktijk blijkt helaas nogal eens dat er veel excuses bedacht worden om security niet heel hoog op de agenda van de board te zetten. Dikwijls moet zich eerst een security-breach voordoen om de board te mobiliseren. Lucien Barink, general manager Benelux bij Cryptshare, ziet grote verschillen tussen bedrijven, markten en sectoren. “De financiële sector is zich altijd bewust geweest van de waarde van klantgegevens en loopt enorm voor op bijvoorbeeld onderwijs, de zorg en de lokale overheden. Ze hebben ook de meeste ervaring met aanvallen. Ze hebben hun wake-upcall al jaren geleden gehad.”

Het lijkt moeilijk voor te stellen dat de board van een digital business een incident nodig heeft als trigger. “Een beetje de brandverzekeringmentaliteit”, zo valt aan tafel te beluisteren. “Veel bedrijven zien security als een kostenpost – tot de eerste breach zich voordoet.” Daar komt wel verandering in, stelt een ander: “Al is het alleen maar door de strengheid van de GDPR, de AVG, met forse boetes en hoofdelijke aansprakelijkheid van bestuurders.”

Toch leeft er nog de nodige scepsis onder de deelnemers. “De board wil nog steeds een businesscase zien,” zegt een van hen. “Dus de betrokken CI(S)O steekt daar enorm veel effort in. En spendeert drie maanden aan het doorlopen van procedures. De leverancier is klaar, IT is klaar, alleen de board niet. Dat is een groot probleem als het om cybersecurity gaat.”

Claudius van der Meulen, SVP bij Entersekt Europe, heeft veel te maken met banken. “De board is daar zo bang geworden om achter de tralies te komen, dat ze liever eerder compliant zijn en daarna succesvol.” Dat lijkt de aanwezigen geen goede route.

Business-enabler

Een tweede aanbeveling uit het eerdergenoemde Gartner-rapport: ‘ga uit van het bedrijfsresultaat, redeneer terug, ontwikkel KPI’s, en richt daar de security naar in’. Een soort outcome-based security dus, een aanpak die in de praktijk nog niet veel voorkomt.

Het slaan van een brug tussen KPI’s en security biedt een goed perspectief en lijkt zeker mogelijk. “Security kan een business-enabler zijn, zeker in de financiële wereld”, stelt Van der Meulen. “Dat kun je uitventen door te wijzen op de betrouwbaarheid van de organisatie.” Het blijkt vooralsnog niet eenvoudig om die denkwijze te vertalen naar andere bedrijfstakken en segmenten.

Een andere deelnemer denkt dat de toename van het aantal digitale mission-criticaldiensten vanzelf zorgt voor verhoogde security-levels. “Daar zullen de minder- en niet-kritische diensten van profiteren. De meeste businessprocessen zullen worden beschouwd vanuit databeschermingsperspectief en niet alleen technisch.”

Faciliterende security

Terug naar het Gartner-rapport. De analisten adviseren securityorganisaties op te houden met verdedigen – goal keeping – en meer te gaan faciliteren. De vraag is of de securitymedewerkers bij klanten al zover zijn om dat op te pakken. Dat vraagt andere skills en een andere mindset. Yanick Finsy, medeoprichter van Quiver, wijst erop dat de technologie zich intussen razendsnel verder ontwikkelt. “We spreken hier nog steeds in de context van de traditionele security-tooling. In de toekomst zullen we werken met kunstmatige intelligentie. Want verschillende systemen zullen steeds meer geïntegreerd worden. Dat is met de klassieke aanpak niet meer te beveiligen.”

‘Security kan een business-enabler zijn, zeker in de financiële wereld’

“In mijn ideaalbeeld zullen er centrale plekken zijn waar nieuwe technologieën of nieuwe threats bekend worden gemaakt en tegenmaatregelen direct publiekelijk openbaar worden gemaakt”, verwacht Yanick Finsy.

Encrypted Traffic Analysis

In het digitale tijdperk ontstaan steeds meer nieuwe soorten data. In hun rapport pleiten de Gartner-analisten ervoor dat de security-experts de focus verleggen van de data zelf naar de datastromen. Dat lijkt een logische stap nu steeds meer data versleuteld is. “Je kunt kijken naar de patronen in het dataverkeer met ETA, encrypted traffic analysis. En naar afwijkend gedrag”, aldus een van de experts aan tafel. “Bij het bouwen van een businessoplossing weet je wat de datastromen zullen zijn en zou je moeten weten wat de oorsprong van de data is.”

Daarbij moet je accepteren dat deze combinatie van technologie en analyses niet alles kan coveren. Vooral legacysystemen blijven een groot risico, maar dat is een kwestie van goed en netjes isoleren.”

De wet- en regelgeving dwingt organisaties om hun databescherming en data-architectuur op papier te zetten. Dat zet aan tot nadenken, afwegingen en nieuwe inzichten. Dat heeft al in veel gevallen geleid tot een versimpeling van het landschap, onder meer door het beperken van het aantal datamodellen en -stromen.

Schoolvoorbeeld

Voor de laatste keer komt een aanbeveling uit het Gartner-rapport ter tafel: ‘onderken de beperkingen van technologische en organisatorische opties, en stel de mensen centraal. Ze hebben een goed stel hersens, dus leid ze op en informeer ze.’ De vele awareness-programma’s van de laatste decennia lijken toch weinig te hebben bereikt.

“Het evolueert, maar nog lang niet snel genoeg”, is de mening. Het zou een grote stap voorwaarts zijn als security onderwerp zou zijn van het lesprogramma op lagere en middelbare scholen, is de suggestie die door veel deelnemers wordt gesteund. Dat begint met educatie van de onderwijzers en docenten. Ook dienen mensen continu te worden bijgeschoold om de kennis up-to-date te houden. En leren hoe je security kunt koppelen aan – al dan niet ‘leuke’ – KPI’s.

Veilige IOT

Tot slot komt de beveiliging van het internet of things nog aan de orde. Hoewel de EU heeft toegezegd problemen snel aan te zullen pakken, is ‘snel’ in de politiek een langdurige zaak. Gelukkig zijn de onafhankelijke Alliance of the Internet of Things en de stichting Cyber Beveiliging Nederland daar al mee bezig. Eerst de markt, dan de politiek lijkt een waardevolle aanpak. En blijven werken aan awarenessprogramma’s. Laat in elk geval onze kinderen in een veiligere digitale wereld leven.


Aan de leverancierstafel deden mee:

  • Lucien Barink, CryptShare
  • Christiaan Beek, McAfee
  • Jeroen Bijnburg, Vista Media
  • André van Buiten, Zscaler
  • Eward Driehuis, Securelink
  • Yanick Finsy, Quiver
  • Arnoud van Gemeren, moderator, ICT Media
  • Benno Halberstadt, NTT Europe
  • Pieter Jansen, Cybersprint
  • Bart van Knijff, Tanium
  • Jaap Meijer, Huawei Nederland
  • Claudius van der Meulen, Entersekt Europe
  • Rene Pluis, Cisco Nederland
  • Jan van der Sluis, DXC Technology
  • Stefan van der Wal, Barracuda Networks

LAAT EEN REACTIE ACHTER

Laat alsjeblieft een reactie achter!
Laat hier je naam achter