Bestuurders worstelen met de vraag wat de waarde van security management is. Sommigen zien het als een vergeefse strijd om alle gaten in de verdedigingslinie van de organisatie te dichten, dan wel als een bodemloze put waarvan de ROI onduidelijk is. Een denkwijze en aanpak die hierin verandering willen brengen – zero trust – wordt dan weer gezien als complex en leidend tot langjarige programma’s.

Lieuwe Jan Koning is CTO en medeoprichter van security-dienstverlener ON2IT en in ons land een pionier op het gebied van zero-trust-implementaties, ook bij complexe organisaties. Hij is voorstander van een pragmatische aanpak: “Zero trust is bij uitstek een manier om strategische doelen in de praktijk te verankeren.”

Lieuwe Jan Koning vergelijkt het totaal aan cyberrisico’s van een organisatie met een taart. “Ik zie dat organisaties moeite hebben om te bepalen waar ze al of niet in moeten investeren als het over cybersecurity gaat. Je wil een zo groot mogelijk deel van de risicotaart afsnijden tegen zo laag mogelijke kosten, maar het is moeilijk om prioriteiten te stellen.”

ROI

Hoe maak je de ROI van cybersecurity concreter voor een board of toezichthouder die terecht de vraag stelt wat de investeringen in cybersecurity opleveren? “Door het om te draaien en naar de waarde van gegevens te kijken”, stelt Koning. “Een ERP-systeem bevat zeer waardevolle gegevens. Het is dus te rechtvaardigen daar een passend budget voor vrij te maken. Als je daarbij kijkt naar het risico wordt de rekensom ingewikkeld, want wat is de potentiële schade?

Je kunt beter uitgaan van het budget dat nodig is om de beveiliging van het ERP-systeem op een acceptabel niveau te brengen, state of the art zoals we dan zeggen. Je kijkt dan veel meer naar wat je wil beschermen in plaats van naar de mogelijke attack vectors. Het plakken van pleisters op kwetsbaarheden is een gebed zonder einde.”

Riskmanagement

Kunnen we ook denken aan de volwassenheid van riskmanagement in een organisatie? Zou een directie niet moeten kiezen welke risico’s men wel en welke men niet wil lopen? Dat voorkomt discussies over ROI, omdat je immers een risico aantoonbaar wegneemt. Dat is concreter dan aannemelijk te moeten maken welke aanvallen – die niet hebben plaatsgevonden – door jou zijn voorkomen.

“Plakken van pleisters op kwetsbaarheden is een gebed zonder einde”

Lieuwe Jan Koning kijkt hier genuanceerd naar: “Het kwantificeren van risico’s is lastig in cybersecurity. Je kunt er wel in kwalitatieve zin naar kijken. Elke organisatie kan wel een top 10 van de belangrijkste segmenten of ‘groepjes data’ benoemen, zoals patiëntgegevens, betaalgegevens of het ERP-systeem waar ik het net over had. Begin daar maar eens mee, heel pragmatisch.”

Zero trust

Koning is ervan overtuigd dat zero trust organisaties helpt bij zo’n pragmatische aanpak. “Een geëigende aanpak daarbij is dat je niet probeert de complete ict-omgeving te ‘zero trusten’. Je gaat gefaseerd en in een leercyclus eerst bepaalde systemen of bepaalde data beveiligen, je zet telkens een stap.” Zero trust helpt tevens om schijnveiligheid uit de wereld te helpen, voegt hij eraan toe. “Lang is gedacht dat het binnen je eigen datacenter of cloud veilig was. De praktijk wijst uit dat dat niet zo is. Vaak zijn systemen onnodig met elkaar verbonden, wat serieuze veiligheidsrisico’s oplevert.

Een berucht voorbeeld is de hack bij retailer Target in 2013, naar aanleiding waarvan de CEO het veld moest ruimen. Hierbij werd een creditcard-server gehackt via een projectmanagement-tool, in gebruik door de externe leverancier van het klimaatbeheersingssysteem. Nergens voor nodig dat die twee systemen met elkaar verbonden zijn toch? Bijna alle aanvallen verlopen door ‘over te springen’ van één systeem naar een ander. Zero trust elimineert die mogelijkheid nagenoeg volledig.”

Adoptie

In de VS is zero trust heel populair. Wie er in de afgelopen jaren een security-beurs bezocht kon niet om zero trust heen. Aan deze kant van de oceaan lijkt de populariteit minder groot, misschien wel omdat organisaties de implementatie ervan als een omvangrijke klus zien. “Het verbaast me dat men er zo naar kijkt”, reageert de CTO. “Het is de enige methode waarvan ik gezien heb dat zij werkt. Inderdaad kun je altijd argumenten aandragen – technische details vaak – waarom iets niet zou werken, waarom je er niet aan zou moeten beginnen.

Wat je nodig hebt is een concrete aanpak. Selecteer bijvoorbeeld vijf applicaties en tref daarvoor passende maatregelen, op basis van de regels en het securityniveau waaraan je moet voldoen. Pak je op die manier de meest waardevolle applicaties dan heb je meteen een groot stuk van de risico-taart afgesneden. Doe je het op die manier dan zie je dat het in de organisatie gaat leven en men er enthousiast over wordt.”

Mobiliseren

Hoe kun je als CISO de organisatie mobiliseren voor deze manier van denken? Lieuwe Jan Koning: “Haal om te beginnen iemand binnen die er ervaring mee heeft en kan aantonen dat het een goede aanpak is. Begin zoals gezegd dan klein en creëer een sneeuwbaleffect. Te ambitieuze doelen kun je beter vermijden omdat daarmee de perceptie van die onoverzienbare berg ontstaat. Het is ook handig om gebruik te maken van het aflopen van betaalde licenties zoals voor endpoint-security. Je moet dan toch gaan vernieuwen en dat biedt een mooie gelegenheid om dat op een zero-trustmanier te doen. Op die manier heb je gratis zero trust!”

Bijzondere tijden

Je kunt je afvragen of de huidige tijd, met een aantrekkende digitale transformatie, plus een pandemie, het invoeren van zero trust nu moeilijker of juist eenvoudiger maakt. CTO Koning ziet zowel een gevaar als een buitenkans. “Ga je naar de cloud, dan kun je per applicatie je security-maatregelen orkestreren en daarmee een perfecte zero-trustomgeving creëren. De neiging kan bestaan om het op de ouderwetse manier te doen en achteraf beveiliging te gaan toevoegen. Dat is niet de manier om het te doen. De move naar de cloud biedt een enorme kans als je het security-design eerst doet.

Bij SaaS ligt het anders en is het een kwestie van uitgebreide security procurement, want een groot deel van de beveiligingsmaatregelen komt buiten de deur en vaak buiten zicht te liggen. En dat terwijl de verantwoordelijkheid voor de gegevens wel bij de eigen organisatie blijft. Het is dus zaak je er doorlopend van te vergewissen dat de leverancier de beveiliging bewijsbaar goed op orde heeft. Zorg daarbij in elk geval dat je het authenticatie-management een eigen hand houdt.”

Hij vervolgt: “Risico’s zijn er momenteel ook, bijvoorbeeld door het thuiswerken. De cloud biedt veel veiligheid maar zodra je op een privé-laptop een document opent staat dit wel lokaal, buiten het zicht van de organisatie.

Al met al toont Lieuwe Jan Koning zich optimistisch over de adoptie van zero trust en daarmee een groeiende volwassenheid in cybersecurity van organisaties in ons land. “Ik denk dat elke organisatie binnen een overzichtelijke termijn de transitie naar zero trust kan doormaken. Je moet alleen wel de visie hebben…”

“Bijna alle aanvallen verlopen stap voor stap – zero trust elimineert dit”

Het security operations center

Het is voor veel organisaties een grote uitdaging om een eigen SOC in te richten. Het kan bovendien gezien worden als een kostenpost of niets meer dan een vinkje op een compliance-formulier.

Een SOC kan in de visie van Lieuwe Jan Koning veel meer betekenen. Zijn stelling is dat 90 procent van het security-budget zou moeten worden aangewend voor proactieve toepassingen. Het SOC zou dan ook moeten worden ingezet om het security-management op een hoger plan te brengen door voortdurend met concrete verbeterpunten te komen. Het kan gaan om constateringen als onbeschermde endpoints, foutieve instellingen van een firewall of netwerksegment waar niet de juiste security-maatregelen voor getroffen zijn.

Ook hier bewijst zero trust zijn kracht omdat het eenvoudiger is per segment de naalden in de hooiberg te vinden dan in de gehele IT-omgeving. Een SOC die op deze manier wordt gepositioneerd fungeert als een sensor en als een stimulans voor voortdurende verbetering. Dat is geen overbodige luxe want de meeste security-maatregelen zijn aan erosie onderhevig.

Arnoud van Gemeren is hoofdredacteur van CIO Magazine, Boardroom IT en voormalig hoofdredacteur van TITM (Tijdschrift IT Management) en Outsource Magazine. Hij heeft een lange staat van dienst in de Nederlandse IT-mediawereld. Na een start bij een redactiebureau, was hij als hoofdredacteur van 1996 tot 2001 bij uitgeverij Array Publications verantwoordelijk voor diverse IT-vakbladen. In 2001 sloot hij zich aan bij een adviesbureau op het gebied van marketingcommunicatie, Beatrijs Media Group. Vanuit dit bureau bleef hij als hoofdredacteur actief, onder meer voor Sdu Uitgevers.

REAGEREN

Plaats je reactie
Je naam