Elke zichzelf respecterende cybersecurity-specialist zal u hetzelfde adviseren. U moet de huidige cyberbeveiligingsuitdagingen waarmee uw organisatie te maken kan krijgen aanpakken door een lijst met kroonjuwelen op te stellen, een risicobeoordeling uit te voeren, controles uit voeren om risico’s tot een aanvaardbaar niveau te beperken en de effectiviteit van de controles te bewaken.

Voor wie ooit met een cybersecurity-specialist heeft gesproken, klinkt dit allemaal heel vertrouwd. En natuurlijk hebben ze het niet helemaal mis. Als u een geformaliseerd cybersecurity risicobeheerproces heeft, precies weet wat uw bedrijfskernprocessen zijn, wie de proceseigenaars zijn, en u een volledige lijst heeft van de activa die deze processen ondersteunen, bent u goed onderweg om dit advies op te volgen. Ik zou zeggen ga ervoor!

Ik kan me echter voorstellen dat uw bedrijfssituatie misschien iets anders is. Mogelijk is uw cybersecurity risicomanagementproces nog niet helemaal op orde, is cybersecurity risicomanagement nog niet volledig volwassen in uw organisatie en worstelt u met het concept van Cybersecurity als geheel.

Het kan zelfs zijn dat uw inventarisatie wat nu uw bedrijfskernproces is, nog in uitvoering is. Dat proceseigenaren nog moeten worden aangesteld en dat u bezig bent met het formaliseren van een lijst met alle activa die deel uitmaken van deze kernprocessen.

Past dit advies dan nog wel bij u en uw organisatie? Ik denk het niet.

Mogelijk is er een andere manier, een andere invalshoek om nog steeds de basis goed te krijgen met betrekking tot cyberveiligheid zonder al te veel tijd te verliezen op dit onderwerp van cybersecurity & risk management.

Een andere benadering

Vanuit mijn oogpunt is er een andere optie om de cybersecurity uitdagingen aan te pakken die zich voordoen bij het zakendoen in deze hyper-verbonden wereld. Voor mij begint het met de juiste basis. Risicobeheer voor cyberveiligheid is een volgende stap in de evolutie van het beheer van cyberveiligheid, welke is gebouwd op een generieke basis.

Om dit uit te leggen kunnen we autorijden als analogie gebruiken. Rijden met een auto begint met het halen van een rijbewijs. Leren hoe de auto werkt, sturen, schakelen, remmen en omgaan met andere deelnemers van het verkeersspel.

Wanneer u vervolgens uw eerste “roadtrip” maakt, vergeet dan niet om de tank te vullen voordat u vertrekt, uw veiligheidsgordel te dragen, niet te appen tijdens het rijden, niet sneller te rijden dan de maximumsnelheid en regelmatig te pauzeren.

U bent een ervaren chauffeur geworden.

Uiteindelijk wil je zo’n ervaren chauffeur zijn dat je de roadtrip die 5000 km beslaat niet alleen veilig kunt maken, maar je zelfs voorbereid bent dat je in staat bent om onvoorziene uitdagingen aan te gaan. Moeiteloos omgaan met een lekke band, zonder benzine komen te staan of zelfs een motor die het begeeft zijn dingen waar de door gewinterde avonturier zijn hand niet voor omdraait.

Dus als het gaat om autorijden, begin je met een lijst met best practices (rijbewijs), leer je die te implementeren (ervaring) en kijk je hoe je grotere risico’s kunt overwinnen en uiteindelijk (na verloop van tijd) ben je klaar om alle uitdagingen die autorijden kan bieden aan te kunnen.

Waarom zou het anders werken in Cyber Security? Waarom wil iedereen beginnen met de 5000 km roadtrip? Mijn suggestie is om veel meer naar Cyber Security te kijken, net zoals hoe je een auto bestuurt door gebruik te maken van de Cyber Security Defense Pyramid.

Cyber Security Defense Pyramid

De onderkant van de piramide is gemaakt van wat ik cybersecurity hygiëne noem. Je rijbewijs halen. Dit deel bestaat uit het selecteren en implementeren van best practices voor cybersecurity. Beter bekend als het laaghangende fruit. De best practices op het gebied van cyberbeveiliging bestaan al tientallen jaren en zijn altijd een goed begin.

Mijn aanbeveling zou zijn om de best practices van bijvoorbeeld de CIS Controls (https://www.cisecurity.org/controls/) te gebruiken om uw cyberbescherming te verbeteren. Het is een eenvoudig te volgen lijst met items die eerst moeten worden geïmplementeerd voordat je doorgaat naar het volgende verdedigingsniveau, de risicogebaseerde benadering.

In de tweede fase van de bouw van de piramide wordt het cyberbeveiliging risicobeheer geïntroduceerd. In vergelijking met autorijden, is het alsof je je veiligheidsgordels vastmaakt, ervoor zorgt dat je banden op de juiste spanning staan en dat je gas in de tank hebt! Uw reis begon al toen u de CIS Controls-beveiligingspraktijken implementeerde & uw rijbewijs behaalde.

Wanneer u begint met risicobeheer voor cyberbeveiliging, moet u er rekening mee houden dat het doel moet zijn om klein, praktisch en gemakkelijk te begrijpen te beginnen. Maatwerk is het sleutelbegrip. Ik zou aanraden om een zeer flexibele methode te gebruiken, zoals bijvoorbeeld IRAM2 van het Iinformation Security Forum (ISF).

Als laatste komt dan, de top van de pyramide, de bescherming tegen Advanced Persistent Threats (APT). Die bedreigingen ten aan zien van uw bedrijfsvoering (noem het de russen of chinezen) met de lange adem, het geld en de middelen om koste wat het kost u te benadelen. Zie dit maar als de reis met de auto door het onbekende landschap.

Structureel anders

Hoewel we allemaal graag willen beginnen de APT buiten de deur willen houden, en dat risicoanalyse daar het juiste middel voor is, denk ik daar structureel anders over. Zodra je denkt aan auto rijden ga je ook niet meteen off-road rijden in IJsland. Je gaat toch eerst je rijbewijs halen? In cybersecurity is het voor uw bedrijfsvoering niet anders. Begin met de basis op orde te brengen. Geüpdatete software, vulnerability management, next-generation firewalls, antivirus/anti malware/anti ransomware en een goede back-up om maar mee te beginnen.

Patric J.M. Versteeg is hoofddocent Enterprise Security Management /Master of Informatics aan de Hogeschool Utrecht.

X