Hoe de directie een Euro-teken op het cyber security-beleid kan plakken

  1. 31 jul 2015
  2. 0 reacties

Wellicht ben je een van de mensen die er vanuit gaat dat ook jouw organisatie ooit gehackt wordt. Waarschijnlijk heb je gelijk. Maar heb je weleens geprobeerd het management ervan te overtuigen dat ze daarom meer aan security-beleid moeten doen?

  • Chris-van-t-Hof-hi-res-276x300 Chris van ’t Hof
  • Chief Information Security Officers moeten dat doen, keer op keer, al is het wellicht het minst leuke onderdeel van hun werk, want de meeste directies zullen zeggen: ‘Het gaat toch goed zo’? Je kunt dan als CISO heel hard roepen: ‘We worden vast en zeker gehackt’! Dat werkt misschien even. Vertellen dat ze er maar gewoon op moeten vertrouwen dat security nu eenmaal wat kost ook. En als er dan uiteindelijk een hack plaatsvindt, is het natuurlijk nog jouw schuld ook…

Kortom, hoe overtuig je het management dat security, net als ander organisatiebeleid, een kwestie is van het maken van plannen, de juiste maatregelen nemen en de effecten evalueren? Je versimpelt de werkelijkheid tot een inzichtelijk model. Dat is wat de RAND Corporation nu heeft gedaan. ‘The Defender’s Dilemma. Charting a Course Toward Cyber security’ (juni 2015) is een studie van de Amerikaanse onderzoekers in opdracht van Juniper Networks, waarin CISOs aan het woord komen en security-literatuur en -tools worden geëvalueerd om te komen tot een kosten-baten model. De empirische basis van deze marktverkenning is wat mij betreft te dun om uitspraken te doen over de staat van cyber security in het algemeen, zeker als daar ook nog exacte percentages aan hangen. Juniper Networks heeft echter een tool gemaakt, die zeker handig is om globaal te bepalen of je investeringen in informatieveiligheid in balans zijn met je daadwerkelijke behoefte.

Het werkt vrij simpel. Je vult een vragenlijst in over organisatorische karakteristieken, wat je doet aan cyber-verdediging (gemeten worden zaken als tools, training en maatregelen om apparaten van het netwerk te scheiden) en wat je daarmee denkt te verdedigen (parameters zijn onder andere de waarde van je data, reputatie en bedrijfscontinuïteit). Het model is uiteraard een extreme versimpeling van de werkelijkheid, omdat er heel veel veronderstellingen in zitten. De kracht zit hem erin die veronderstellingen explicieter te maken dan het onderbuikgevoel waarmee beslissingen nu worden genomen. Door te spelen met de invoerwaarden, leer je hoe die beslissingen doorwerken.

Reputatieschade grootste risico

Alhoewel, als je nu echt een goeie CISO bent, dan bezit je een gezonde dosis paranoia en ga je niet zo maar een online vragenlijst invullen over jouw cyber security-beleid, toch? Het zou zomaar social engineering kunnen zijn van een of andere pentester… Lees dan maar gewoon het rapport, want ook dat kan helpen. Ten eerste om te zien hoe andere CISO’s erover denken. Interessant is bijvoorbeeld dat de meeste security officers reputatieschade zien als het grootste risico. Het is volgens hen niet zozeer welke data verloren of gestolen zijn en wat die informatie waard is (zoals de RAND-onderzoekers voorafgaand aan hun onderzoek veronderstelden), maar vooral het feit dat er data is verloren en het vertrouwen van klanten is geschaad.

Verder vertrouwen ze liever niet op een enkele aanbieder van ICT-producten, maar spreiden ze liever de risico’s over verschillende partijen, ook al vergroot dat de kans op kwetsbaarheden. Verder constateren de CISO’s dat risicoperceptie in hun organisatie sterk gekleurd is door recente incidenten, terwijl het grootste gevaar juist zit in de risico’s die we nog niet kennen. Klinkt herkenbaar, niet?

Continue wapenwedloop

Ten tweede geeft de literatuurreview een interessante verklaring waarom we steeds meer uitgeven aan cyber security, terwijl er toch steeds meer incidenten plaatsvinden. Het is een continue wapenwedloop tussen aanvallers en verdedigers. Bovendien zijn veel ontwikkelaars en gebruikers van software nog steeds meer gericht op innovatie dan security: release now and patch later. Liever plakken ze er nog wat code achteraan, dan opnieuw te beginnen met programmeren. Dat betekent wellicht winst op de korte termijn, maar toenemende kwetsbaarheid op de lange termijn. Hoelang houden we dat nog vol? Volgens het model valt daar nog flink wat winst te behalen.

Ten derde blijkt uit het model dat de kosten en baten van cyber security-beleid sterk samenhangen met de omvang van de organisatie. Zo hebben kleindere organisaties vaak minder kwetsbaarheden, omdat er nu eenmaal minder apparaten aan het netwerk hangen met minder applicaties. Het aantal aanvalsvectoren is eenvoudigweg kleiner. Grotere bedrijven hebben veel meer potentiële zwakke plekken, maar ook schaalvoordelen waardoor het in dienst nemen van verdedigers kan lonen. Voor de kleinere organisaties is dat vaak te duur, dus kunnen die zich beter richten op simpele maatregelen - of de security uitbesteden.

Het RAND-model en de online tool van Juniper Networks helpen CISO’s en CEO’s om op een meer rationele manier de benodigde maatregelen en effecten van het cyber security-beleid te beoordelen. Dat is hoognodig. Maar laten we naast al dit gekwantificeer ook niet vergeten hoe belangrijk de kwalitatieve informatieuitwisseling is. Verhalen over wie is gehackt, waarom en hoe blijven wellicht nog de belangrijkste tool voor awareness. Bovendien kost dat niets. Dat zit niet in het model, maar het is wel een goede aanleiding voor een discussie daarover.

Screenshot interactieve tool 'Defenders dilemma'

Conclusies RAND-rapport

Het model van RAND identificeert vijf belangrijke factoren die van invloed zijn op de kosten van ICT-beveiliging voor bedrijven.

  1. Er is geen universele aanpak: bedrijven hanteren niet de meest optimale investeringsstrategie.
  2. Veel beveiligingstools hebben een halfwaardetijd en nemen daardoor in waarde af.
  3. Het belang van mensen: in het personeel investeren reduceert de kosten op lange termijn.
  4. The Internet of Things is op een kruispunt beland
  5. Het verhelpen van kwetsbaarheden in software resulteert in forse kostenbesparingen.

Deze factoren worden zowel in deze managementsamenvatting als in het volledige onderzoeksrapport van RAND uiteengezet. Elke factor is sterk van invloed op de zakelijke beveiligingskosten of zal dat op korte termijn zijn.

Chris van ’t Hof is internetonderzoeker bij Tek Tok

 
Dossiers