Voorbij is de tijd dat security een extra maatregel was. Het is verplicht en staat niet ter discussie. “Dit is de tijd van collaboration. De bad guys zijn al connected,” waarschuwt topman Ramsés Gallego van de internationale security-nonprofit ISACA.
De Spaanse security-evangelist, die in het dagelijks leven bij Dell werkt, wil de wereld ervan overtuigen dat ict-beveiliging niet een kwestie is van producten of technologie. “Security is een attitude; het moet in je cultuur zitten,” zegt hij in een gesprek met ICT/Magazine. “Daarnaast is security een concurrentievoordeel. Alleen al op het gebied van certificering en audits kan een organisatie zich onderscheiden door zijn security op orde te hebben.”
Attacks-as-a-Service
“Technologie is zo diep doorgedrongen in alle facetten van onze wereld,” predikt Gallego, “dat security niet langer optioneel is.” De staat waar cybersecurity momenteel in verkeert, is volgens hem chaotisch: landen vallen landen aan, bedrijven bespioneren bedrijven, overheden surveilleren burgers en allen zijn doelwit van cybercriminelen.
Het ooit zeldzame fenomeen van advanced persistent threats (APT’s) is tegenwoordig alledaagse cybercrimepraktijk. IT’ers hebben de schone taak om beveiliging breed te omarmen en het risico te verkleinen. “Daar is goede samenwerking voor nodig,” bepleit Gallego, “tussen IT en de business, tussen bedrijven onderling, tussen de private sector en de overheid. De tegenstanders doen dit namelijk al, zij zijn al connected en hebben gemakkelijk toegang tot geautomatiseerde middelen.” Gallego spreekt van AaaS: Attacks-as-a-Service.
Juist
IT moet het voortouw nemen om de juiste mensen de juiste vragen op het juiste moment te laten stellen. “Zo kun je komen tot het juiste antwoord,” vertelt de securitytopman. “Als er een security-incident heeft plaatsgevonden, wil je manager of bestuur weten wat er aan de hand is. De IT-afdeling en securityspecialisten moeten dan in staat zijn antwoord te geven. Het gaat om wie, wat en waar. Als je dat weet, dan weet je ‘automatisch’ ook waarom.” Gallego verduidelijkt dat deze vragenreeks en het antwoord dat eruit voortvloeit niet alleen voor aanvallers geldt. “Je kunt ook het waarom achterhalen van je eigen falen. Bij een succesvolle malware-uitbraak of cyberinbraak is het immers zaak om herhaling te voorkomen. Zelfbeschouwing van omzeilde of uitgeschakelde securitymaatregelen kan duidelijk maken wat er mis is gegaan en hoe. Daarnaast levert het kennis op over wat er mogelijk is geraakt of gestolen.”
Zelfbeschouwing
Die kennis dient om er lering uit te trekken én om verantwoording af te leggen aan je aandeelhouders en aan de maatschappij. Dat laatste, verantwoording afleggen aan de maatschappij, klinkt als een zaak voor overheden en overheidsinstanties. Dat is echter niet zo. Ook commerciële bedrijven hebben een verantwoordelijkheid. Gallego verwijst naar recente grote datadiefstallen zoals bij de Amerikaanse zorgverzekeraar Anthem eerder dit jaar. “Daarbij zijn niet alleen bijna 80 miljoen directe klanten geraakt, maar daarnaast ook vele miljoenen die geen klant zijn maar indirect in de systemen van Anthem terecht zijn gekomen. Bij die hack zijn digitale identiteiten gestolen, waarmee de dieven ook andere organisaties op de korrel kunnen nemen. Die derde partijen, en de it’ers daar, moeten voorbereid zijn van incidenten na een cyberaanval elders. Daar kun je namelijk op wachten. Met andere woorden: hoe vooruitstrevend en volhardend is jouw security?”
