Meer bewustzijn, maar nog te weinig effectiviteit

Overzicht van technologische trends van verhoogd beveiligingsbewustzijn en gebrek aan effectiviteit. 

De afgelopen twee jaar heeft de bedrijfswereld zich aangepast aan verschillende veranderingen. Ook vandaag de dag is de aanpassing naar het nieuwe normaal in volle gang. Het gaat hierbij om de samenvoeging van virtuele, fysieke en digitale bedrijfsomgevingen. Tot de hoogtepunten van de afgelopen twee jaar behoorden de digitale transitie, de overgang naar de cloud, de invoering van het hybride werken en het zich ontwikkelende en soms tegenstrijdige regelgevingskader. Deze zaken zullen ook de komende drie jaar de krantenkoppen halen, naast de massale automatisering op zakelijk gebied. Elke technologische innovatie wordt razendsnel ingevoerd, om het concurrentievoordeel van de onderneming te verhogen. 

Wat informatiebeveiliging betreft, is het bewustzijn in theorie verhoogd naar het hoogste niveau. Het management beschouwt informatiebeveiliging als een van de belangrijkste onderdelen voor operationele veerkracht. Leidinggevenden bespreken plannen om de cyberweerbaarheid van hun organisatie te verbeteren door weerbaarheid, beleid en processen te versterken om beter om te gaan met derde partijen en deze effectiever te beheren. Ondanks het grote bewustzijn en de verhoogde budgetten voor informatiebeveiliging is de hoeveelheid beveiligingslekken en het aantal kwetsbaarheden exponentieel toegenomen.

Het management staat onder zware druk om topresultaten te boeken. Dit blijkt uit de bedreigingen waarover CEO’s zich het meest zorgen maken en de impact daarvan gedurende de komende 12 maanden op hun bedrijf. Net als vorig jaar zijn CEO’s het meest bezorgd over cyberrisico’s (49%) en de wereldwijde gezondheidssituatie (48%) in de nasleep van de coronapandemie. (Bron: PwC’s 25th Annual Global CEO Survey). 

De Denial of Service (DoS)-actie is de duidelijke koploper, goed voor 46% van alle incidenten. Malware komt op de tweede plaats. Qua inbreuken is er veel meer variatie. Het gebruik van gestolen gegevens, ransomware en phishing staan hierbij in de top vijf. Gesteld wordt dat de belangrijkste wijze waarop een bedrijf aan het internet wordt blootgesteld, ook de belangrijkste manieren zijn waarop een bedrijf aan criminelen wordt blootgesteld. 

Webtoepassingen en e-mail zijn de twee gevoeligste kanalen voor inbreuken. (Bron: Verizon, 2022 Data Breach Investigations Report). Naast de statistische analyse en relevante bevindingen, blijkt in de praktijk dat slechts 40% van de respondenten aangeeft bovengenoemde risico’s volledig te hebben ingeperkt, en dat terwijl de focus ligt op werken op afstand (38%) en de overgang naar de cloud (35%). (Bron: CompTIA State of Cybersecurity 2022).

Het verhaal achter de statistieken en trends

We hebben verder gekeken dan de statistieken en de trends in een poging de belangrijkste oorzaken te achterhalen waarom het vereiste niveau van informatiebeveiliging niet kan worden bereikt. Dat bracht ons tot de conclusie dat deze ineffectiviteit verband houdt met een verkeerd idee over de basis van informatiebeveiliging. Hieronder volgen enkele van de belangrijkste valkuilen en/of misvattingen met betrekking tot de implementatie van de online veiligheidsmaatregelen.

Het management is vaak overmoedig met betrekking tot het niveau van de cyberveiligheid van de organisatie die zij vertegenwoordigen. Dit komt door a) het niet doen van effectiviteitsmetingen, b) een beveiligingslek heeft nog niet plaatsgevonden, en c) te weinig begrip van de ware betekenis van ISMS-certificering.

Bovendien geven veel managers op het gebied van informatiebeveiliging nog steeds aan dat ze niet worden geraadpleegd bij zakelijke beslissingen, die kunnen resulteren het nemen van grotere risico’s en meer beveiligingsproblemen. Deze kloof binnen het management kan bedrijven kwetsbaar maken voor aanvallen als een direct gevolg van matige veiligheidsprioriteiten en gebrekkige handhaving van het vereiste beleid.

Het risicobeheer van derde partijen is nog een ander onderwerp dat veel aandacht krijgt in de zakenwereld. Hierbij heeft men te maken met een grote afhankelijkheid van derden, vooral als het gaat om technologie en communicatie. De meeste organisaties hebben de neiging om hun beveiligingsvereisten alleen toe te passen op de grote en kritieke derde partijen waarmee ze samenwerken, als het gaat om de beveiliging van informatie en digitale infrastructuur met betrekking tot de toeleveringsketen. Kleine en middelgrote ondernemingen (kmo’s) worden gezien als de grootste bedreiging voor toeleveringsketens, partnernetwerken en ecosystemen, omdat ze vanwege beperkte budgetten onvoldoende beveiligingscontroles toepassen.

Een andere misvatting betreft het gebruik van penetratietesten als de enige risicobeoordeling binnen de organisatie. Penetratietesten maken deel uit van een breder raamwerk van risicobeheer en moeten worden uitgevoerd op basis van vooraf vastgestelde scenario’s. Effectief risicobeheer vereist het gebruik van verschillende soorten risicobeoordelingsoefeningen die de effectiviteit en kracht van de geldende technische en beheermaatregelen beoordelen. Red teaming-oefeningen zouden ook vast onderdeel van het jaarlijkse risicobeoordelingsplan moeten worden.

Verder is er een misvatting ontstaan betreffende de toepassing van de Zero Trust-beveiligingsmodel. Over dit concept wordt veel gesproken, vooral door de leveranciers van cybersecurity-oplossingen. Zero trust is geen nieuw concept, het is een van de grondbeginselen van informatiebeveiliging die vereist dat elke gebruiker, elk apparaat en elke verbinding wordt geverifieerd voordat toegang wordt verleend tot het bedrijfsnetwerk en de meest waardevolle activa en gevoelige gegevens. Zero trust is geen product of handeling, het is een filosofie, die zich niet beperkt tot individuele oplossingen en niet gekoppeld is aan een specifiek model.

Ook de begrotingsuitgaven vormen een obstakel, al kan het geen echte misvatting genoemd worden. Het grootste percentage van het cyberbeveiligingsbudget wordt gebruikt voor cyberbeveiligingsoplossingen. Dit is niet per se een slechte zaak, aangezien technologie een middel is om het informatiebeveiligingsbeleid van een organisatie te versterken. Maar technologie zelf lost slechts een deel van het probleem op. Bedrijven moeten cyberbeveiliging zien als een organisatorische noodzaak waarbij technologie deel uitmaakt van een bredere benadering van een bepaald beveiligingsdomein.

De toekomst

Uit de afgelopen jaren kunnen we dus de volgende lessen trekken: a) een gebrek aan effectieve toepassing van de grondbeginselen van informatiebeveiliging heeft geleid tot een inefficiënt beheer van informatiebeveiligingsrisico’s, b) de traditionele structuren voor informatiebeveiliging zijn inefficiënt gebleken, er is behoefte aan integratie van informatiebeveiliging in alle zakelijke en technologische rollen binnen een bedrijf. 

De noodzaak van een doeltreffende toepassing van de basisbeginselen van informatiebeveiliging is duidelijker dan ooit. Tegelijkertijd vereist het samenvoegen van de digitale, fysieke en virtuele bedrijfsomgeving een holistische strategie voor informatiebeveiliging. Elk bedrijf moet een informatiebeveiligingsstrategie ontwikkelen en uitvoeren op basis van het risicoprofiel en de relevante nalevingsvoorschriften. Informatiebeveiligingsrisico’s moeten holistisch worden vastgesteld en er dient rekening te worden gehouden met de verschillende soorten risicobeoordelingen. 

Voor een effectieve werkwijze is van belang dat de informatiebeveiligingsprocessen geïntegreerd worden in de relevante operationele processen en de bredere beheersystemen en -kaders van de onderneming (zoals risicobeheer, wijzigingsbeheer, incidentmanagement, naleving). Voorts is een effectievere reactie gewenst op iedere gebeurtenis die de informatiebeveiliging en de digitale infrastructuur kan aantasten en die leidt tot een lager beschermingsniveau dan vereist. Het gaat hierbij niet alleen om het reageren op incidentmanagement in verband met hackpogingen, maar ook om organisatorische en technologische veranderingen, veranderingen in bedrijfsmodellen en -strategieën, alsmede het reageren op veranderingen in het dreigingslandschap, sociale en culturele veranderingen, die allemaal van invloed kunnen zijn op de veerkracht van bedrijfsinformatie.

Meer