Wie denkt aan bankroof ziet mannen met maskers voor zich die met geweld de bankkluis leeghalen. Toch pleegden computerhackers eerder dit jaar de grootste bankroof aller tijden: in de loop van enkele maanden werd meer dan driehonderd miljoen dollar buitgemaakt bij honderden banken in verschillende landen.
De schade voor de wereldeconomie veroorzaakt door cybercrime bedraagt $375 tot $575 miljard per jaar (bron: McAfee). In Nederland alleen al bedragen de kosten zo’n 8,8 miljard.
Bedrijven zullen constant hun securitymaatregelen moeten blijven aanscherpen om hackers zo min mogelijk kans te geven. Maar hoe? En hebben ze hiervoor wel de juiste mensen in huis die van security hun vak hebben gemaakt? En hebben hun ict-professionals de juiste competenties?
ICT Security Portfolio
Exameninstituut EXIN ontwikkelt dit jaar een ICT Security Portfolio, bestaande uit diverse certificeringen op het gebied van ict-security, zodat bedrijven op verschillende gebieden en niveaus security kunnen inrichten en onderhouden. “Cybersecurity incidenten zijn aan de orde van de dag,” weet Bernd Taselaar, CEO van EXIN. “Het gebeurt elk uur, elke seconde. De jaarlijkse kosten lopen in de miljarden en dat zal alleen maar stijgen. EXIN ziet een grote vraag naar kwalitatieve securitycertificeringen in de ict-markt.”
De nieuwste certificering binnen het Security Portfolio is de Ethical Hacking Foundation. Dit gaat over het zoeken naar zwakke plekken in software en systemen, gebruikmakend van dezelfde methoden als een criminele hacker. Op die manier kunnen kwetsbaarheden worden vastgesteld en gerepareerd voorafgaand aan de release. Taselaar: “Ethical Hacking Foundation bewijst dat EXIN in staat is om de juiste ict-certificeringen op het juiste moment te leveren. Cybersecurity zal een hot topic te blijven in 2015 en daarna. We hadden al het Information Security based on ISO/IEC 27002 certificeringsprogramma, dat zich richt op het managen van security. Nu breiden we ons Security Portfolio uit om ook rekening te houden met de groeiende behoefte aan securitycertificering die zich richt op programmeurs en testers. De e-CF principes die onderdeel zijn van de EXIN examens zorgen ervoor dat de certificaten voldoen aan de marktverwachtingen.”
Governance
EXINs Portfolio manager Suzanne Galletly licht het Security Portfolio verder toe. “Bedrijven kunnen verschillende middelen inzetten om zich weerbaar te maken tegen cybercrime. Maar het zal hier altijd gaan om het inzetten van de juiste mensen voor de juiste taken.” EXINs Security Portfolio biedt certificeringen voor de verschillende rollen en gebieden binnen een bedrijf. Bijvoorbeeld op het gebied van governance: interne en externe risico’s van de organisatie moeten in kaart worden gebracht.
Vervolgens moeten er maatregelen worden genomen om te zorgen dat de continuïteit van het bedrijf gewaarborgd is in geval van een onvoorziene gebeurtenis. Hiervoor wordt de EXIN Business Continuity Management certificering ontwikkeld, gebaseerd op de ISO 22301 standaard voor Business Continuity Management.
Voor Risk Management, het minimaliseren van risico’s en het uitbuiten van kansen, biedt EXIN het Management of Risk (MoR) certificeringsprogramma aan. Ook ICT Asset Management is een belangrijk onderdeel van het bestuur. Dit geeft een organisatie controle over alle soorten activa, zoals infrastructuur, menselijk kapitaal, informatie en diensten. EXIN introduceert later dit jaar een compleet certificeringsprogramma voor ICT Asset Management.
Data privacy
Een bijzonder onderwerp is data privacy. Met de recente explosie van data – naar schatting is 90 procent van alle data de laatste twee jaar geproduceerd – is het belangrijk dat organisaties weten hoe gegevens voldoende te beschermen. Dit is vooral relevant in sectoren waar het om gevoelige gegevens gaat, zoals Finance en Gezondheidszorg. Het bedrijfsleven wordt hard gestraft als ze zich niet aan de privacy wet- en regelgeving houden, zoals bleek in 2014 toen het Nederlandse College Bescherming Persoonsgegevens sancties tegen Google uitvaardigde die kunnen leiden tot een boete van maximaal 15 miljoen euro.
Galletly: “Met gecertificeerde professionals kunnen zakelijke risico’s van organisaties wat het schenden van privacywetgeving betreft verminderd worden. EXINs Data Privacy programma omvat de vereiste kennis van de strenge Europese wet- en regelgeving betreffende de bescherming van persoonsgegevens. Maar ook hoe data privacy risico’s binnen een organisatie in kaart te brengen, zodat de nodige corrigerende maatregelen kunnen worden genomen.” EXIN verwacht de eerste examens van dit programma al in juli af te nemen.
De menselijke factor
Management kan dus veel doen om risico’s te beperken. En het personeel? Cyberaanvallen worden uitgevoerd door mensen, dus is ook de beveiliging afhankelijk van mensen. Een van de belangrijkste bevindingen van IBMs 2014 Cyber Security Intelligence Index is dat 95 procent van alle beveiligingsincidenten veroorzaakt worden door menselijke fouten. Veel aanvallers azen op de menselijke zwakheid binnen organisaties en proberen medewerkers te verleiden onbewust gevoelige informatie vrij te geven, of zelfs toegang tot die informatie te verschaffen. Het is dus essentieel dat medewerkers van de organisatie, in allerlei functies en op alle niveaus, zich bewust zijn van de veiligheidsrisico’s en van hun rol bij het beschermen van waardevolle informatie van hun organisatie. Galletly licht toe: ”Het EXIN Information Security Management based on ISO/IEC 27002 programma bevat certificeringen die niet alleen gericht zijn op ict’ers, degenen die informatie beheren, maar op alle gebruikers van informatie. Door álle mensen in je bedrijf bewust te maken van risico’s en van hun eigen handelen, zet je als werkgever al een hele belangrijke stap in de richting van weerbaarheid tegen cybercrime en securityschendingen.”
Sitting Duck
Wél specifiek voor ict’ers werd eind 2014 het examen Secure Programming Foundation gelanceerd. Dit examen heeft betrekking op de principes van het ontwerpen van veilige software. Het certificaat geeft programmeurs de bevestiging dat ze de juiste competenties hebben om software te ontwerpen die, ook al vroeg in de ontwerpfase, minder kwetsbaar is voor cyberaanvallen.
Galletly: “Secure Programming sluit precies aan bij Ethical Hacking. De ontwikkelaar zal bij het programmeren al Security maatregelen inbouwen om op die wijze minder kwetsbare software af te leveren. Zijn collega, de ethical hacker gaat vervolgens testen of dat gelukt is, gebruikmakend van dezelfde methodes als een criminele hacker. Dit is de enige manier om te testen of het echt veilig is! Zo niet, dan kan het programma al gefixt worden voordat het live gaat. Deze aandacht voor de preventie van cyberaanvallen zal ervoor zorgen dat organisaties niet langer ‘a sitting duck’ zijn voor cybercriminelen.”
Tevens zal EXIN dit jaar een Cyber Crime examen ontwikkelen: wat is cybercrime, hoe kan het worden voorkomen en hoe kan de schade na een aanval zoveel mogelijk beperkt worden? Kortom, het complete portfolio op het gebied van (cyber)security en governance kan ervoor zorgen dat binnen een organisatie beveiliging van data de volle aandacht heeft tijdens alle fasen van de ict-lifecycle, op alle niveaus, bij alle medewerkers, ict’ers en niet-ict’ers.
