4 augustus 2020 -
Voor ieder beleid geldt: opstellen is stap één, maar de uitvoering is minstens zo belangrijk. Zo ook met een securitybeleid. Dankzij een cybersecurity roadmap kunt u uw organisatie houvast bieden in welk beleid er gevolgd moet worden en welke stappen prioriteit hebben. Maar de voorgestelde maatregelen in deze roadmap moeten uiteraard ook geïmplementeerd worden.
Vervolgens is handhaving en monitoring van cruciaal belang. U kunt zich vast voorstellen dat er in de executiefase van security veel werk verzet moet worden. Jeroen Hentschke, Cyber Security expert bij Telindus, vertelt waar u op moet letten. "Het executie proces bestaat uit twee stappen. Allereerst moeten de maatregelen die u in de security roadmap hebt geformuleerd worden uitgevoerd. Vervolgens moeten de security-oplossingen geïntegreerd worden en operationele processen ingericht, zodat cyberdreigingen eenvoudigweg voorspeld, voorkomen en gedetecteerd kunnen worden. Hierbij is betrokkenheid van het management essentieel."
Security operations
Voor de executie van cybersecurity is het belangrijk om u vooraf af te vragen of er voldoende tijd, personeel en kennis in de organisatie is om het beleid uit te voeren. In de praktijk zien we dat de resources bij bedrijven snel onder druk komen te staan. Door de technologieën die constant in ontwikkeling zijn, maar ook door cybercriminelen die steeds geavanceerder te werk gaan. Hentschke: "Deze twee situaties staan vaak een gestroomlijnde executie in de weg. Daarnaast is er in veel organisaties niet voldoende kennis in huis om alle stappen van het beleid zelf uit te voeren. Met een projectmatige aanpak kunnen deze hordes uit de weg worden geruimd. Stel een projectteam aan dat in de markt gaat oriënteren welke oplossingen nodig zijn om de security op orde te brengen. Nadat de juist oplossing gekozen is, is het tijd voor de implementatie en handhaving. Op dat moment moeten er voldoende resources beschikbaar zijn om het plan daadwerkelijk tot uitvoering te kunnen brengen. Dit vereist teameffort van de organisatie. HR en recruitment moet bijvoorbeeld de juiste mensen aantrekken en behouden. Het C-level moet regie houden en het projectteam is verantwoordelijk voor het overzicht."
Outsourcen van security
Het is echter niet altijd noodzakelijk om security binnen de organisatie te beleggen. In de roadmap is bepaald welke kwetsbaarheden er in de IT-omgeving zitten en welke risico’s de grootste impact op de bedrijfsvoering hebben. Aan de hand hiervan zijn prioriteiten opgesteld. Het is nu zaak om de prioriteiten af te wegen tegen de beschikbare resources. Hentschke: "Het kan zijn dat u tot de conclusie komt dat u te veel prioriteiten hebt voor het aantal beschikbare resources. Het kan dan slim zijn om een (Managed) Security Services Provider te zoeken. Deze partij kan het gehele securitybeleid of gedeeltes hiervan uit handen nemen. Zo houdt u zelf de regie, maar bent u verlost van de implementatiewerkzaamheden. Het is wel van belang dat de boardroom betrokken blijft om als organisatie achter de beslissing te staan om bedrijfskritische taken uit te besteden. Zorg dus dat er een security governance proces is ingericht, dat alle belanghebbenden bij elkaar brengt."
Na de implementatie is het tijd om te beheren en beheersen. Er moet getoetst worden of de maatregelen effectief zijn: wat houdt de geïnstalleerde firewall bijvoorbeeld tegen en wat niet? Hentschke stelt dat dit soort informatie nodig is om toekomstige aanvallen te kunnen voorspellen en voorkomen. "Daarnaast stelt het uw organisatie in staat om aanvallen vroeg te detecteren, analyseren en vervolgens te isoleren. Hierdoor kan er snel op dreigingen worden gereageerd en is het gemakkelijk om eventuele schade te repareren. Dit kunt u allemaal mogelijk maken met behulp van analyse- en monitoringtools. Hiermee wordt, steeds vaker in realtime, het verkeer voortdurend in de gaten gehouden en gemonitord."
Executie is een lopend proces
Concluderend kunnen we volgens Hentschke stellen dat de executiefase van cybersecurity nooit af is. "Iedereen en alles is tegenwoordig met elkaar verbonden. Hierdoor is het niet meer genoeg om enkel het verkeer binnen de organisatie te beschermen. Monitoring in realtime en 24/7 is noodzaak geworden om bedreigingen automatisch te detecteren en vervolgens op te lossen. Vreemde activiteiten, zoals netwerkverkeer uit landen waar geen zaken mee wordt gedaan, worden dan automatisch als gevaarlijk aangeduid en geblokkeerd. Maar het draait uiteindelijk niet enkel om beheren en beheersen. Omdat de digitale wereld constant veranderd, is het belangrijk om te blijven controleren of u nog wel bestand bent tegen alle dreigingen. Dan begint het weer van voren af aan: voer opnieuw een assessment uit om te zien of u nog steeds de juiste maatregelen op de juiste plaats hebt." Een dedicated team op het gebied van cybersecurity is daarbij onmisbaar. Maar daar is ook een taak voor het C-level weggelegd. De CIO, CISO of CEO moet zijn team scherp houden: kunnen we de organisatie nog veiliger maken en kunnen we cybersecurity niet efficiënter inrichten? Zo zorgt de hele organisatie dat de security gewaarborgd blijft.