20-06-2013

Visie: richt IT-beveiliging fundamenteel anders in

Deel dit bericht


De opmars van cybercrime is het laatste jaar wel erg zichtbaar geworden. Talloze organisaties - bedrijven en zelfs overheidsinstanties -zagen zich geconfronteerd met de ene aanval na de andere. De impact was zodanig dat nu ook consumenten geraakt werden. Wie door een aanval niet meer bij zijn geld kan, zal niet meer lichtvaardig denken over cybercrime. En dat geldt al helemaal voor de betrokken organisaties. De talloze beveiligingslekken en cyberaanvallen tonen in feite aan dat beveiliging zoals die tot nu toe meestal is ingericht, gewoon niet meer volstaat. Het gevolg is dat we nu voor een keus staan: óf we accepteren dat het geregeld misgaat óf we moeten de beveiliging fundamenteel anders inrichten. Die keuze moet natuurlijk zijn: een andere inrichting. Maar hoe dan?

Alles met alle middelen beveiligen is niet meer mogelijk: er moet te veel beveiligd worden, het is te complex en veel te duur. De recente digitale dreigingen zijn in aard en aantal dusdanig dat dit alleen al technisch onmogelijk is. Bovendien verschijnen er in hoog tempo nieuwe, geavanceerde dreigingen, waar alleen maar op gereageerd worden kan worden en hopen dat de aanval afgeslagen wordt. Dat betekent dat eenfundamenteel andere aanpak nodig is. Want als niet alles beveiligd kan worden, moeten organisaties wel verantwoord kunnen vaststellen wat per se beveiligd moet worden en in welke mate dat moet gebeuren. Dat lukt alleen als de organisatierisico’s bepalend zijn voor wat er beveiligd wordt. En de focus van de beveiliging - en de bijbehorende investeringen - daar te leggen waar die vanuit het risicoperspectief ook zou moeten liggen.

IT-risico’s veelal onbekend

Afgelopen november heeft McAfeeonder grote organisaties binnen overheid en bedrijfsleven in Nederland door Keala onderzoek laten uitvoerennaar IT-beveiliging in samenhang met bedrijfsrisico’s. Daaruit komt naar voren dat meer dan de helft van dezeorganisaties geen idee heeft van de schade die zij kunnen oplopen als hun IT-beveiliging doorbroken wordt. Wie betere IT-beveiliging wil, een beveiliging die ook de organisatiedoelstellingen ondersteunt, zal ook de organisatietop hier veel nauwer bij moeten betrekken. Hier is nog een wereld te winnen want bij 34% van de ondervraagde organisaties bestaat bij de directie nauwelijks aandacht voor de risico’s.

De schade na falende IT-beveiliging kan een verstoord bedrijfs- of productieproces zijn, maar ook diefstal van concurrentiegevoelige gegevens (tot en met bouwtekeningen van straaljagers aan toe). De recente aanvallen op banken hebben laten zien dat het net zo goed kan gaan om zeer aanzienlijke reputatieschade en significante impact op ons economisch bestel. Het zal niet altijd eenvoudig zijn om hiervoor een concreet schadebedrag vast te stellen. Maar het betreft schade die een enorme impact op de organisatie kan hebben. Alleen door een strategische aanpak van de beveiliging kan een organisatie zich hiertegen wapenen.

Kroonjuwelen

Een strategisch beveiligingsplan gaat uit van een fundamenteel andere aanpak dan tot nu toe. Die aanpak begint met een analyse van de business. Die analyse moet kennis opleveren over wat de security-gerelateerde zakelijke risico’szijn, in samenhang met de belangrijkste bedrijfsinformatie. Tot nu toe is meestal de praktijk dat de IT-(security)afdeling volledig belast is met de beveiliging. Maar zo’n afdeling zal zelden het vermogen hebben om alle zakelijke activiteiten van hun organisatiete doorgronden en die kennis ook nog eens op peil te houden. De analyse is dan ook de taak van de ‘business owners’, aangezien zij de waarde van de informatie en applicaties kennen én zij het beste kunnen inschatten wat de risico’s voor hun onderneming zijn als die informatie ‘op straat’ komt te liggen. Zij weten wat de ‘kroonjuwelen’ van hun organisatie zijn!De organisatie moet vervolgens ook weten hoe de toegang tot die ‘kroonjuwelen’ precies is geregeld. Daarbij moet vanzelfsprekend óók nog aan de eventuele wet- en regelgeving ten aanzien van toegangsbeveiliging tot privacygevoelige informatie worden voldaan.

Naast de kennis die nodig is om te analyseren wat de risico’s voor de organisatie zijn, zijn kennis en processen nodig om het risicoprofiel te koppelen aan het risico op een aanval, een lek of een besmetting met malware.Dit is de taak van de IT-(security)afdeling. Als de beveiliging eenmaal goed is ingericht, moet die voortdurend gecontroleerd worden. Er verschijnen immerssteeds weer nieuwe dreigingen. Deze moeten weer gekoppeld worden aan het risico- en beveiligingsprofiel. Bovendien kunnen door verandering of uitbreiding van de zakelijke activiteiten de risico’s voor een organisatie ook veranderen. Dat betekent telkens weer vaststellen of er al een goede beveiliging is tegen deze nieuwe dreiging.

Strategisch beveiligingsplan

Na het bepalen van de risico’s is de volgende stap het analyseren van bedreigingen. Vervolgens moet op basis hiervan bepaald worden welke dreigingen van invloed zijn op de risico’s en in welke mate dat het geval is. Tot slot moet waar mogelijk bescherming worden opgezet tegen toekomstige risico’s. Concreet gaat het dan om zaken zoals preventie, monitoring, detectie en acties in geval de beveiliging het laat afweten.

Preventie begint met de juiste organisatorische maatregelen: het moet duidelijk zijn wie verantwoordelijk is voor security. Ook moet het risicobewustzijn verbeterd en op peil worden gehouden. Verder moeten activiteiten worden opgenomen om te bepalen of de organisatie in staat is aanvallen en hackpogingen op te merken,plus de nodige beveiligingsmaatregelen voor de pc’s laptops, tablets en smartphones.

Een belangrijk proces dat het plan moet beschrijven, is het voortdurend monitoren en vastleggen van beveiligingsincidenten. Het gaat om het vastleggen van abnormale patronen in het netwerkverkeer en de systeemprestaties. Dat zorgt ervoor dat beveiliging een volcontinu proces wordt en organisaties kunnen anticiperen op incidenten in plaats van er alleen op te kunnen reageren. Maatregelen om beveiligingsdoorbraken te detecteren en er op te reageren, zijn overigens niet alleen belangrijk voor de organisatie zelf. Denk aan het proactief informeren van partners over op handen zijnde aanvallen.

Voorkomen!

Voor een strategisch beveiligingsplan is het niet alleen nodig om precies te weten wat er beveiligd moet worden en hoe. Het is net zo belangrijk om een actieplan te hebben voor het geval de beveiliging faalt. Als zich een aanval voordoet moet de organisatie de getroffen systemen onmiddellijk kunnen afsluiten. Uit het eerder genoemde onderzoek van McAfee blijkt dat 1 op de 5 grote organisaties die IT-risico tot topprioriteit heeft verklaard, niet over zo’n actieplan beschikt.

De ervaring van McAfee is datnagenoeg iedere inbreuk op de beveiliging te voorkomen was door ofwel bewuste mensen,  correcte processen, de inzet van beschikbare technologie, of een combinatie van deze. Alleen een strategische aanpak, die gebaseerd is op risico’s voor de organisatie en die deel uitmaakt van het algehele risicomanagement, maakt het mogelijk om IT-beveiliging zodanig in te richten dat wat echt beveiligd moet worden, ook zo goed mogelijk beveiligd is.

Wim van Campen, McAfee

Tags:

Security

Partners