door: David Hoelzer, onderzoeker bij SANS
Vijf belangrijke aanbevelingen
Het SANS instituut biedt al gedurende 25 jaar trainingen in information security. Enkele trainers van SANS – Steve Armstrong, Adrien de Beaupre en Jonathan Ham – spraken onlangs over de huidige ontwikkelingen in informatiebeveiliging. Hun ruime ervaring in ict-beveiliging destilleerden zij in de volgende vijf aanbevelingen.
1. Breng de basisbeveiliging op orde
Deze aanbeveling komt elk jaar weer terug, maar is en blijft van cruciaal belang om het beveiligingsniveau op peil te houden. Hoewel het niet meer dan logisch lijkt om met de basisprincipes te beginnen, voordat meer geavanceerde beveiligingsmaatregelen worden ingericht, besteden veel bedrijven in werkelijkheid weinig tijd aan een adequate toepassing van de basismaatregelen. Soms lijkt het erop dat het streven naar een perfecte oplossing bedrijven ervan weerhoudt om voor een acceptabele tussentijdse oplossing te zorgen. Bedrijven raken overweldigd en nemen daardoor een passieve houding in.
ICT- en beveiligingsprofessionals kunnen gebruikmaken van de Critical Security Controls van het Center for Information Security (CIS) als basis voor een heldere, op risico’s gebaseerde beveiligingsaanpak. Deze twintig controlemechanismen kunnen als basis dienen voor het uitvoeren van gerichte acties die de zakelijke beveiliging steeds verder verbeteren. Voor de meeste bedrijven is het echter te arbeidsintensief en te kostbaar om alle controlemechanismen toe te passen. Ze kunnen daarom die methodes selecteren die aansluiten op het volwassenheidsniveau van hun beveiliging. Het is belangrijk om te onthouden dat deze controlemechanismen zijn gebaseerd op het risiconiveau.
2. Vink niet een checklist af, maar evalueer de beveiliging
Veel organisaties weten niet waar hun bedrijfskritische activa zich bevinden en hebben de operationele risico’s en financiële impact van potentiële beveiligingsincidenten niet in kaart gebracht. Hun beveiligingsstrategie omvat in werkelijkheid weinig meer dan het afvinken van een checklist, die in de meeste gevallen is gebaseerd op de eisen van de regelgeving en audits. Het is verstandiger om de activa en processen die er voor uw onderneming het meest toe doen te beschermen. Ga na voor welke zaken u uw beveiligingsmedewerkers en budget het beste kunt inzetten. Het identificeren en in kaart brengen van bedrijfskritische activa maakt niet voor niets deel uit van een van de allereerste controlemechanismen van de CIS/CSC.
3. Verschuif uw focus van technologie naar processen en mensen
Traditioneel investeerden bedrijven het leeuwendeel van hun beveiligingsbudget in technologie. Dit omvatte onder meer de implementatie van antivirusoplossingen, firewalls en andere beveiligingssystemen. Het uitgeven van 80 procent van het beveiligingsbudget aan hardware, software en diensten houdt echter niet automatisch in dat uw organisatie optimaal is beveiligd. De processen en mensen spelen ook een belangrijke rol. Deze factoren kunnen worden meegenomen door het bewaken van de beveiliging, het analyseren van, en inspringen op incidenten, het beheer van bedreigingsinformatie en het voorlichten van het medewerkers. Dit kan door de rollen en benodigde vaardigheden van werknemers te definiëren en daarbij een passende training te bieden zodat zij werk van de beveiliging kunnen maken.
4. Zorg voor kortere detectietijden
Het is belangrijk om cyberaanvallen te voorkomen. Toch krijgt vrijwel elke organisatie krijgt vroeg of laat te maken met een beveiligingsincident, ondanks hun investeringen in beveiligingsmaatregelen. Het is daarom raadzaam om ervoor te zorgen dat de impact van eventuele incidenten zoveel mogelijk beperkt blijft. Onder andere door ervoor te zorgen dat ze tijdig worden opgemerkt. Volgens het jaarlijkse Trend Report van Mandiant deden bedrijven er wereldwijd gemiddeld 146 dagen over om een datalek te ontdekken. En uit een recent onderzoek door het Ponemon Institute blijkt dat de financiële schade van een datalek met 40 procent toeneemt als het incident na meer dan honderd dagen wordt ontdekt. Hieruit blijkt wel dat bedrijven nog veel werk voor de boeg hebben. Maatregelen van toezichthouders, zoals de GDPR en Meldplicht Datalekken, zullen voor de nodige verbetering zorgen. Er ligt voor bedrijven en de beveiligingssector echter een belangrijke rol weggelegd om de detectietijd aanmerkelijk te verkorten, Hoe eerder hoe beter.
5. Voorkom dat de beveiliging de productiviteit schaadt
Brian Lowan, principal research analyst bij Gartner: “Hoewel zorgen rond de beveiliging en compliance bedrijven er soms nog van weerhouden de cloud te omarmen, stijgt de aanschaf van cloud-diensten door afzonderlijke businessunits. Deze niet-goedgekeurde aanschaf van diensten, die vaak wordt aangeduid met de term ‘shadow IT’, vergroot de kans op datalekken en financiële schade.”
ICT-afdelingen moeten ervoor zorgen dat de beveiliging de productiviteit niet in de weg zit, zonder de bedrijfsbrede beveiliging tekort te doen. Het vinden van de juiste balans tussen deze twee aspecten lijkt de werkelijke uitdaging te zijn. Beveiligingsspecialisten zoeken steeds vaker naar manieren om de risico’s rond shadow IT te minimaliseren door middel van data security governance en automatisering.
Een wellicht minder bekende maatregel om shadow IT tegen te gaan, is om bewustwordingsprogramma’s rond ict-beveiliging te organiseren. Dergelijke programma’s maken de medewerkers bewuster worden van de beveiligingsrisico’s. Dit zal resulteren in een gedragsverandering over de gehele linie. Werknemers kunnen uw beveiligingsstrategie maken of breken. Streven naar een veiliger bedrijfscultuur is dus misschien nog niet zo’n gek idee.
Over de auteur
David Hoelzer is onderzoeker bij SANS
