Het beperken van risico’s is tegenwoordig een hoge, wellicht de hoogste prioriteit voor Chief Information Security Officers. Het is echter nog steeds gemakkelijker gezegd dan gedaan. Jaarlijks worden miljarden dollars voor cyberbeveiliging uitgetrokken, wijden de slimste cyberprofessionals hun leven aan het bestrijden van digitale bedreigingen en bundelen tientallen landen hun krachten om inlichtingen met elkaar te delen. En toch neemt cybercriminaliteit nog steeds toe.
Een bijdrage van Frank Kim, SANS Institute Fellow en CISO-in-Residence bij YL Ventures
Voor CISO’s is het niet alleen het vinden van securitytalent, het verminderen van alert fatigue of het implementeren van beveiligingsproducten. De échte horde is het uitzoeken hoe beveiligingsbehoeften in evenwicht kunnen worden gebracht met bedrijfsdoelstellingen op een immer bewegend aanvalsoppervlak dat wordt beïnvloed door onder meer gebruikersgedrag, kwetsbaarheden en bedreigingen.
Ter illustratie enkele voorbeelden van de afgelopen drie jaar:
Nieuw gebruikersgedrag
In een sectoronderzoek uit 2023 gaf meer dan de helft (55%) van de respondenten toe tijdens de zomermaanden c.q. de vakantie alleen op persoonlijke mobiele apparaten te werken – een nieuw gedrag van de cultuur van ‘werken waar dan ook’. Slechts 12% van de ondervraagden meldde VPN-gebruik.
Nieuwe kwetsbaarheden
Samenwerkingstools die cloudgebaseerd hybride werk stimuleren (zoals Microsoft Teams, Zoom, et cetera.) hebben het aanvalsoppervlak via social engineering vergroot. Daarom moeten organisaties hun phishing-verdediging uitbreiden om weerbaar te blijven tegen deze kwetsbaarheden.
Nieuwe bedreigingen
AI-aangedreven social engineering-campagnes, meer targeting door externe developers en op SEO gebaseerde malvertising zijn voorbeelden van nieuwe bedreigingen die alleen al de afgelopen 12 tot 18 maanden naar voren zijn gekomen.
Te midden van voortdurende veranderingen is het samenbrengen van security enerzijds en de zakelijke doestellingen van een onderneming nodig om risico’s te beperken. Zoals Steve Katz (‘s werelds eerste CISO) ooit zei: “Er zijn geen veiligheidsrisico’s. Er zijn alleen maar bedrijfsrisico’s.” Een grote taak waarvoor CISO’s uit hun ivoren toren dienen te stappen en als transformationele leiders het beheer van veiligheidsrisico’s op één lijn moeten brengen met strategische, financiële, operationele en juridische functies.
“De transformationele CISO gaat verder dan slechts het blootleggen van kwetsbaarheden en bedreigingen. Hij optimaliseert robuuste security frameworks die bedrijfskritische activa beschermen met op scenario’s gebaseerde planning en gelaagde verdedigingen die zijn gekoppeld aan waardevolle onderdelen van de organisatie.”
Frank Kim, SANS Institute Fellow en CISO-in-Residence bij YL Ventures
De rol van Security Frameworks
Er zijn drie soorten cyberbeveiligingsprogramma’s: control frameworks, program frameworks en risk frameworks. Control frameworks hebben betrekking op tactische strategieën die aanvallen helpen beperken.
De meest effectieve frameworks combineren onder meer technische, administratieve en fysieke controles. Program frameworks (zoals het Cybersecurity Framework 2.0 van NIST) brengen deze controles samen in een samenhangende structuur. Ze bestaan uit beleid, procedures, processen en activiteiten die verder gaan dan de technische controles. Ten derde bepalen risk frameworks welke bedreigingen controles en programma’s prioriteit gegeven moeten worden.
De rol van Risk Quantification
Kwantificering van cyberrisico’s vereenvoudigt de correlatie tussen cyber- en bedrijfsrisico’s, waardoor organisaties hun beveiligingsprioriteiten beter kunnen definiëren. CISO’s kunnen kwantificeringsstrategieën inzetten om hun C-suite en Raad van Bestuur effectief te betrekken – wat belangrijker is dan ooit. De basiskwantificering van cyberrisico is de waarschijnlijkheid van een aanval vermenigvuldigd met de schade aan activa. Een zero-day-exploit kan bijvoorbeeld een grote technische kans op succes hebben. Maar als die exploit geen toegang verleent tot een geprivilegieerde omgeving waar belangrijke data staan, kan de impact minimaal zijn en is het algehele risico laag.
Als de exploit echter in plaats daarvan resulteert in volledig verlies van netwerkcontrole en langdurige operationele downtime die miljoenen financiële schade veroorzaakt, zal de dreiging waarschijnlijk slagen en ernstige gevolgen hebben (en het risico toeneemt). Waarschijnlijkheid is het hoe achter risicomanagement, terwijl impact het waarom is. Door te weten hoe ze dit laatste effectief kunnen verwoorden, kunnen CISO’s transformationele leiders zijn die een security first-cultuur in de hele organisatie doordringen.
In werkelijkheid is het beperken van cyberrisico’s een continu proces waarvoor geen pasklare oplossingen bestaan. Door cyberrisico’s echter te benaderen vanuit een bedrijfsrisicomentaliteit, kunnen CISO’s proactief stappen ondernemen om de kloof tussen beveiligings- en ondernemingsdoelstellingen te overbruggen en waardevolle bezittingen veilig te stellen.
Sluit je aan bij FERM
Blijf alert. Installeer patches en let op phishing mails. Gebruik MFA. En -voor alle bedrijven in de Rotterdamse haven- sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen en vragen kunt stellen aan de vertrouwde community om je heen. Dat blijkt in de praktijk erg nuttig te zijn voor bedrijven van klein naar groot, van mkb (zonder eigen IT) tot aan de grote multinationals.
Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden.
Aan deelname is altijd een kosteloze proefperiode verbonden.
