Het nieuwe elan van IT-risk
Het is eigenlijk van alle tijd: pas nadat een ernstig it-risico serieus ontspoort, wordt er aan de noodrem getrokken. Niemand zal ontkennen dat het verstandiger is om een goed gedefinieerde, perfect gedocumenteerde en voor iedereen zichtbare strategie te hebben voor Governance, Risk & Compliance (GRC). Toch heeft in de huidige praktijk slechts een handjevol organisaties dit serieus opgepakt. De rest hangt aan die rem ingeval van acute nood.
Wat niet van alle tijd is: één enkel ontspoord it-risico kan tegenwoordig tot enorme verliezen leiden, qua geld en reputatie. Daarom is security en risk management (SRM) dan ook gegroeid van het kleine en onbeduidende it-onderdeel van weleer naar de sleutelfunctie van vandaag de dag, cruciaal voor een succesvolle organisatie. Deze functie doet er goed aan de zes voornaamste trends[1] in de gaten te houden, die onderzoeksbureau Gartner onlangs heeft geformuleerd. Deze trends bestrijken gebieden als machine learning, geopolitieke vereisten en de toegenomen focus op de rol van de CISO. Zolang de CISO adequaat opkomende trends kan exploiteren en een sterk beveiligingsprogramma kan bouwen, houden zij hun organisatie veilig, opdat een sterke positie kan worden gehandhaafd.
Schijnwerpers
Veiligheidslekken vormen een bedreiging voor C-level banen en kosten organisaties miljoenen dollars. Denk bijvoorbeeld aan de drama’s bij Maersk en Equifax. Bij die laatste – een kredietverstrekker – belandde vanwege een serieus lek in 2017 persoonsgegevens van bijna de helft van de Amerikaanse burgers op straat. Sindsdien denkt iedereen bij de naam Equifax aan hun gestuntel, in plaats van aan hun kredietmogelijkheden. De media smult van schandalen als deze. Trend nr. 1: De schijnwerpers staan aan. Daarom besteden bedrijfsleiders nu serieus aandacht aan hun SRM. Een unieke gelegenheid voor de CISO, of vergelijkbare functionarissen, om tot een nauwere samenwerking te komen met het management en andere belangrijke stakeholders. Tevens is er nu voldoende aandacht om eventueel gebrek aan vaardigheden en kennis snel aan te vullen. Volgens Gartner Vice President Peter Firstbrook moeten de security functionarissen rekening houden met de taalbarrière. “Spreek de taal van de business en vermijdt de valkuil van technische terminologie zoveel mogelijk.”
Stimuleren
De regels van wetgevers en toezichthouders worden uitvoeriger en stringenter qua veiligheid en privacy. Dit, in combinatie met de stijging van het aantal datalekken – plus de daaruit voortvloeiende schade, en dreigende boetes – dwingt organisaties steeds krachtiger tot het voldoen aan de regelgeving. Trend nr. 2: Regelgeving stimuleert verandering. Een goed digitaal businessplan beschouwt data niet alleen als iets van waarde, maar ook als een potentieel gevaar. Firstbrook: “Leidende organisaties weten hoe een compliance-programma tegelijkertijd de business kan stimuleren.”
De cloud speelt hier eveneens een voorname rol. Het beheer van verouderde beveiligingsoplossingen is nauwelijks meer vol te houden. Security vanuit de cloud werkt veel meer agile. Nieuwe detectiemethodes en -services zijn daardoor veel sneller ‘up & running’ dan wanneer ze on-site worden uitgerold. Trend nr. 3: Security verplaatst zich naar de cloud. Het inzetten van de cloud omvat evenwel meer dat het simpelweg verplaatsen van de legacy naar de cloud. Een goede CISO haalt het volle pond uit de schaal van de cloud met toegenomen data telemetrie, machine learning, API gebaseerde toegang en andere services en producten.
Geopolitiek
Volgens Gartner is machine learning (ML) tegen 2025 een normaal onderdeel van de security praktijk. Mensen en ML werken complementair aan elkaar, gezamenlijk presteren ze beter dan ieder afzonderlijk. Trend nr. 4: Machine learning wordt de waakhond. ML heeft assistentie nodig van de mens om onzekerheden helder te krijgen, maar helpt de mens vervolgens met het bieden van relevante informatie.
Tussen de concurrerende wereldmachten in cyberspace groeit het wantrouwen. Kijk maar naar het recente verbod door de Amerikaanse regering op Russische beveiligingsproducten en Chinese smartphones. Organisaties die te maken hebben met overheidsinstellingen moeten de geopolitieke eisen van hun bedrijfsrelaties daarom heel goed in de gaten houden. Alle beslissingen omtrent de aankoop van beveiliging en producten hangen af van de mate van vertrouwen in de integriteit van de leverancier. Trend nr. 5: Oorsprong is belangrijker dan prijs.
Monopolies
Door de toegenomen centralisatie ligt de digitale macht in de handen van een handjevol grootmachten. (Lees hierover het artikel van Sander Duivestein: ‘Breekt blockchain de monopolies?’ elders in dit Magazine.) Door de groei van monopolies en monoculturen neemt het risico op disruptie en de daaruit voortkomende ongewenste gevolgen toe. Trend nr. 6: Concentraties van digitale macht. Dit leidt tot toegenomen inspanningen om gedecentraliseerde alternatieven te creëren, zoals blockchain en edge computing. Het ultieme doel van deze decentrale benaderingen is het bevorderen van beschikbaarheid, veiligheid en privacy voor gebruikers. Dit bevindt zich nog in een prille fase, maar het begin is er zeker en geeft de argeloze burger moed.
Bewustzijn
De hierboven beschreven trends illustreren glashelder het nieuwe elan van het brede vakgebied van it-risk. Security-functies schieten als paddenstoelen uit de grond en alle hebben ze de onverdeelde aandacht van de businessmanagers. Strengere regelgeving en de angst voor een schandaal en boetes werken hier als bijzonder effectieve stokken achter de deur. De tijden dat een CEO onderwerpen als privacy en security naar de onderkant van de agenda kon blijven verplaatsen, zijn definitief voorbij. Organisaties die in al hun gelederen een volwassen bewustzijn van risico’s en het belang van privacy hebben bereikt, verdienen zonder meer lof. Maar de werkelijke winnaars onder hen hebben dit bewustzijn weten te koppelen aan serieuze businessvoordelen. Misschien krijgt de noodrem – die nu helaas nog veelvuldig dienst doet – te zijner tijd een mooi plaatsje in het museum.
[1] ‘Top Security and Risk Management Trends’ by Peter Firstbrook, et al. Dit onderzoek maakt deel uit van The Gartner Special Report ‘The Resilience Premium of Digital Business: A Gartner Trend Insight Report.’
