Dit artikel verscheen eerder in ICT Update op 2 mei 2014 en werd geschreven in samenwerking met Mark van Beek en Paul Oudshoorn.

In de moderne zakelijke omgeving is enkel preventieve beveiliging niet meer genoeg. Met actieve cyber security bouwt u een adaptieve beveiliging voor uw organisatie, die meebeweegt met de aanvallen die u te verduren krijgt. Het opbouwen van de meest effectieve verdediging vereist niet alleen diepgaande kennis van uw organisatie, maar ook van de beste investeringsgebieden. Met behulp van een cyber security investeringsblauwdruk wordt het mogelijk om deze gebieden te identificeren en een sterke verdedigingslinie op te bouwen.

Security is in de moderne enterprise omgeving geen eenmalige inspanning. Het beveiligen van de waardevolste bezittingen van uw bedrijf is een constant voortdurende strijd die een toenemende hoeveelheid aandacht vraagt en verdient. Veel organisaties zijn zich hiervan terdege bewust en hebben een geavanceerde enterprise security functie ingericht. Veel aandacht en middelen worden besteed aan een uitstekende hack-preventie strategie om het aanvallers zo moeilijk mogelijk te maken om toegang te krijgen tot gevoelige data. Deze invulling van de zakelijke beveiliging lijkt een logische. Echter, naast het feit dat het nagenoeg onmogelijk is om deze strategie waterdicht te krijgen en houden binnen de meeste organisaties, kleeft er één belangrijk nadeel aan: de aanvaller hoeft slechts één keer geluk te hebben, terwijl de verdediger zijn muur altijd perfect moet beschermen.

Deze onbalans in de strijd tussen de hacker (of insider) als aanvaller en de enterprise security functie als verdediger maakt de strijd een oneerlijke. De vraag óf u ooit gehackt gaat worden, verliest relevantie en maakt plaats voor de vraag wannéér en hoe vaak u gehackt gaat worden, en hoe daar vervolgens het beste mee om te gaan. Hoewel elke organisatie altijd een antwoord zou moeten hebben op hacks en mogelijke doorbraken van de beveiliging, blijft het gezegde ‘voorkomen is beter dan genezen’ gelden. Kunnen organisaties de strijd tussen hacker en verdediger uit de huidige onbalans op het strijdtoneel verkleinen, of zelfs ombuigen?

Wij pleiten voor het implementeren van goede ontdek- en reageercompetenties binnen de enterprise security functie om de strijd weer in balans te brengen. Security wordt zo weer een voortdurende krachtmeting tussen aanvallers en verdedigers, in plaats van huidige steekspel van hackers die net zo lang op hun doel schieten tot ze een keer doel raken met de enterprise security functie als beveiliger in een hopelijk onneembaar fort.

Om uw meest waardevolle informatie te beschermen in de toekomst, zal de tot nu meest gebruikte strategie van het opbouwen van een onneembaar fort en hopen dat de muren hoog genoeg zijn niet meer voldoende zijn. Hackers zoeken naar uw zwakke plek en met een statische verdedigingsstrategie is het een kwestie van tijd voor ze die vinden.

Investeringsblauwdruk
Een succesvolle beveiliging begint met het uitvoeren van een grondige risico analyse van uw organisatie. Op deze manier wordt in kaart gebracht waar de vitale bedrijfsprocessen lopen en welke bezittingen essentieel zijn. Dit is niet alleen een eye-opener voor het risicoprofiel van uw bedrijf, maar maakt het ook mogelijk om direct te zien  waar de beveiliging het sterkst moet zijn. Op basis van de risico analyse kunnen vervolgens de fundamenten van het verdedigingssysteem worden gebouwd.

Nadat het risicoprofiel inzichtelijk is geworden, kan de Cyber Defense Diagnostic worden gebruikt. Dit is een door Accenture ontwikkelde analyse waarmee op hoog-niveau de belangrijkste investeringsgebieden zijn te identificeren. Tijdens een zevental korte workshops met de belangrijkste beveiligingsexperts binnen de organisatie wordt effectief gemeten hoe volwassen de verschillende competenties binnen de cyber security organisatie zijn. Eveneens wordt afgemeten hoe relevant de verschillende competenties zijn voor uw bedrijf.

Doordat de diagnose inzicht geeft in de volwassenheid van de verschillende onderdelen van de verdedigingslinie, ontstaat een helder beeld van de groeimogelijkheden. Gecombineerd met de relevantie van de competenties binnen uw bedrijf en expertise over de implementatiekosten, kunnen de investeringsgebieden snel worden aangewezen. De risico analyse is het startpunt voor het opbouwen van een investerings- en projectplan voor uw beveiligingsorganisatie.

Moderne cyber security functie
Het opbouwen van een sterke cyber security functie begint met een betere ‘awareness’ van de omgeving. Operationele monitoring geeft u de vereiste inzage in wat er op uw netwerk gebeurt. Door slim gebruik te maken van Big Data technologieën en security kennis vanuit derde bronnen kunnen incidenten effectief opgepikt worden en geprioriteerd.

Na inzage komt actie. Organisaties moeten als per reflex op incidenten reageren. Juist het inregelen van een efficiënte incident response met heldere processen en goed opgeleide mensen maakt hier het verschil. Het heeft weinig zin te inversteren in detectie als het nemen van actie vervolgens weken of langer duurt. Met toevoeging van een adaptieve verdediging kunnen de delen van de cyber security functie ook automatisch reageren op incidenten.

Door vulnerability management en threat intelligence te gebruiken, wordt duidelijk hoe de vlag erbij hangt. Threat intelligence geeft het weerbericht van te verwachten dreigingen en zorgt voor de juiste staat van paraatheid. Vulnerability management betekent dat helder wordt waar u kwetsbaarder bent en waar bescherming nodig is. Integratie met de eerder gemaakte risico analyse en uw asset management zorgt zelfs voor een helder overzicht welke ‘key assets’ het meest kwetsbaar zijn.

Het kroonstuk wordt gevormd door de exploratory analytics. Hierbij gebruikt u Big Data technologie om te ‘jagen’ op nieuwe indicatoren van incidenten in uw historische logboeken. Op deze wijze kunnen verdachte acties opvallen en kunnen in het verleden gemiste incidenten alsnog gespot worden, of in hun bredere context worden begrepen. Wanneer alle investeringen zijn gedaan, is dit dé weg om de functie compleet te maken.

Om het geheel succesvol te laten samenwerken, is investering in systeem integratie en inbedding van werkprocessen een vereiste. De efficiëntie waarmee de radertjes op elkaar inhaken, bepaalt namelijk hoe sterk de gehele machine draait. De inrichting van de processen en het opleiden van de mensen mogen ook niet vergeten worden. Zonder de juiste skills en een duidelijke taakverdeling wordt cyber security een onbegonnen strijd.

Effectieve investeringen
Een goede kennis van uw zakelijke behoeftes is noodzakelijk om de juiste investeringen te maken, een dergelijke (vaak ‘Risk Based Approach’ genoemd) aanpak wordt reeds veel toegepast door ondernemingen. Maar een sterke vulnarability management en threat intelligence functie kijkt verder dan alleen naar hoe belangrijk uw verschillende assets voor uw organisatie zijn. ‘Beauty is in the eye of the beholder’ is een relevante uitspraak voor een effectieve cybersecurity functie. De gedachte dat u datgene wat het meest waardevol voor uw organisatie is het beste moet beschermen (met tot waarschijnlijk gevolg dat hier de meeste investeringen gedaan worden) is een heersende gedachte in de ‘Risk Based Approach’ om tot investeringsbeslissingen te komen. Maar is dit is het hele verhaal?

Cybercriminelen zullen naar datgene op zoek gaan wat het meest waardevol is voor zichzelf of een opdrachtgever. Er bestaat een (niet onredelijke) kans dat het precies hetgene is dat u als meest waardevolle informatie (asset) inschat, maar dit kan ook uiteen lopen. Hier ontstaat een kans voor de cybercrimineel: datgene wat hij het meest wil, is allicht beschermd, maar is het wel goed genoeg beschermd?

Een effectieve cyber security functie kijkt niet alleen naar wat waardevol is voor uw organisatie maar ook nadrukkelijk wat interessant is of kan zijn voor verschillende groepen aanvallers (denk hierbij aan marktwaarde van informatie), om zo tot een optimale mix van cyber security controls te komen. Wanneer u de reeds vaak gestelde vraag ‘wat zijn de meest belangrijke assets van mijn organisatie’ aanvult met ‘wat is de waarde van mijn assets voor verschillende groepen hackers en hoever zouden ze gaan om deze assets te bemachtigen’ aanvult, krijgt u beter inzicht in welke assets u moet beschermen.

Bewustzijn van de vitale corporate bezittingen, hun marktwaarde, de waarde hiervan voor uw eigen organisatie én de potentiele impact van het verlies van deze informatie zijn van groot belang om de juiste functies en de juiste mate van volwassenheid voor uw organisatie te bepalen.

Leave a Reply

Your email address will not be published. Required fields are marked *