Houd de data van je klanten veilig en je naam uit de krant. Zorg dat je concurrenten – of de Russen! – niet met gevoelige informatie aan de haal gaan. En nog belangrijker: zorg dat partners en klanten je genoeg vertrouwen om mee in zee te gaan. Oh en zorg er ook voor dat je CEO niet voor de rechtbank moet komen vanwege een groot datalek. De lijst wordt zo wel lang hè? Nu we allemaal grotendeels thuiswerken lijkt de CSO soms het grip op de cyberveiligheid kwijt. We hebben de zes grootste prioriteiten voor een CISO en CSO in het nieuwe normaal voor je op een rijtje gezet.
Overal dreigingen
De Chief Security Officer (CSO) of Chief Information Security Officer (CISO) zijn is vandaag de dag geen gemakkelijke taak. Dreigingen zijn overal, met dank aan zowel externe factoren (zoals hackers) als interne factoren (zoals onoplettende werknemers). Vertrouwelijke gegevens, inclusief financiële- en klantinformatie, worden opgeslagen in datacenters, laptops, mobiele apparaten en clouddiensten, waardoor het handhaven van een goede beveiliging op al deze apparaten niet heel erg gemakkelijk is. Je raakt het overzicht namelijk makkelijk kwijt.
De regelgeving en restricties van zowel de overheid als de industrie op zich worden steeds strenger en kwaadwillenden vinden steeds meer nieuwe manieren om in te breken in netwerken, in het Internet of Things of je schade toe te brengen via phishing of malware. Ondertussen moet jij je klanten en collega’s ervan overtuigen dat je hun data goed beveiligt, want klantinteracties zijn steeds meer afhankelijk van het hebben van goede gegevens.
Voor een CISO betekent dat je een flink scala aan prioriteiten hebt, zoals dus het vertrouwen winnen van je klanten en de naam van je bedrijf uit de media houden. Om zulke grote uitdagingen aan te gaan zijn er een aantal essentiële zaken waar security officers hun tijd, energie en geld in moeten steken.
1. Verhoog de zichtbaarheid van dreigingen op alle platforms
Wat je niet ziet, kun je niet beveiligen. Daarom is het belangrijkste doel van een CISO om zichtbaarheid te creëren in de cloud, mobiele apparaten en on-premise apparaten en zo direct te zien wanneer er een dreiging of incident is. Data die is verspreid over meerdere lagen van applicaties en cloudservices (die soms ongeautoriseerd zijn) heeft een grote invloed op het vermogen van een CISO om een uniforme zichtbaarheid te verkrijgen. “Tussen alle beveiligingsgegevens in bedrijven kun je kleine aanwijzingen vinden die een teken zijn van een (aankomende) aanval”, vertelt Greg Jensen, senior principal director van cloudbeveiliging bij Oracle aan Forbes. “Maar het probleem is dat slechts 16% van de CISO’s meer dan 75% van zijn beveiligingstelemetrie kan verzamelen, analyseren en erop kan reageren.” In februari publiceert hij samen met KPMG een onderzoek dat dat onderstreept. CISO’s zijn het overzicht kwijt in apparaten en data.
Vaak wordt er als het mis gaat bij bedrijven een data-compromis gesloten: het management wordt verantwoordelijk gehouden en er wordt een klap geld tegenaan gegooid om te voorkomen dat het weer gebeurt. Volgens Jensen is het vergroten van de zichtbaarheid voor het beveiligingsteam het belangrijkste dat je als bedrijf kunt doen. Als dat niet goed zit, ben je nooit waterdicht.
2. Begrijp dat de grens is verlegd
Dankzij cloud computing, mobiele apparaten zoals smartphones en het IoT is de klassieke bedrijfsperimeter een verouderd begrip. Dit betekent dat operations – zowel beveiliging als IT – hun aannames over veilig verkeer, vertrouwde gebruikers en het idee dat er één enkel demarcatiepunt tussen public en provide clouds is, moeten veranderen. “De nieuwe perimeter is in de cloud geduwd en in de handen van elke individuele gebruiker, het maakt deel uit van hun identiteit,” zegt Jensen.
CISO’s worstelen nu met nieuwe manieren om deze grenzen te beheren. Die opties kunnen “next-generation” -firewalls in de cloud zijn, nieuwe identiteitsbeheersystemen die identiteiten over de hele onderneming en in de cloud consolideren en aanvalsdetectie- en analysesystemen die geavanceerde hybride aanvallen kunnen herkennen.
3. Investeer in een veiligheidscultuur
“Veiligheid is in de eerste plaats een culturele norm”, zegt Mary Ann Davidszon, Chief Security Officer van Oracle tegen Forbes. “Als je er geen culturele norm van maakt, ga je verliezen.” Dit geldt met name voor aanbieders van cloudservices, software en hardware, zoals Oracle. Als je er een cultuur van wilt maken, zul je compliance-procedures van de industriestandaard voor softwareontwikkeling, gegevensbescherming en toegangsbeheer moeten volgen. Davidson is bijvoorbeeld betrokken bij het nastreven van coderingsnormen en ze reageert op kwetsbaarheidsrapporten van de organisatie.
Maar cultuur moet altijd hand in hand gaan met het beleid en operaties. Als het bijvoorbeeld gaat om het ontwikkelen van veilige software “is elke afzonderlijke ontwikkelaar persoonlijk verantwoordelijk voor de code die hij of zij schrijft”, zegt Davidson. “Beveiliging is niet de taak van de kwaliteitsbewaking, de whitehat-hackers of van de beveiligingsmensen. Elke persoon heeft zelf de verantwoordelijkheid voor de veiligheid.”
Davidson benadrukt dat het populaire streven naar snelle ontwikkeling met behulp van cloudtechnologieën, Agile-ontwikkelingstechnieken en continue integratie/implementatie het ontwikkelen van veilige software kan aanmoedigen, zolang er geen druk is om de snelste route te pakken of af te snijden. Als het goed is, is beveiliging standaard ingebouwd in al deze benaderingen.
4. Lijn beveiligingsactiviteiten uit met IT-activiteiten
Het doel van het beveiligingsoperatieteam (onder de CISO) en het doel van IT-operatieteam (onder de CIO of CTO) lijken op gespannen voet te staan. Simpel gezegd: de eerste taak van het beveiligingsteam is om gegevens veilig te houden (duh) en dat betekent dat ze vaak ‘nee’ zullen moeten zeggen. Daar tegenover staat dat het de eerste taak van het IT-team is om nieuwe projecten te starten, kansen te grijpen en het bedrijf omzet te laten genereren. En dat betekent dat zij vaker ‘ja’ zullen zeggen. “CISO’s kijken vaak niet door dezelfde lens als hun CIO-tegenhangers”, zegt Jensen.
CISO’s vinden het oplossen van de scheeftrekking tussen beveiliging en IT vaak een last, terwijl het gehele IT-team vaak niet zo de druk voelt om compromissen te sluiten. 89% van de CIO’s zegt dat hun organisaties soms een patch uitstellen en 99% van de CISO’s beweert dat hun organisaties soms vertraging oplopen. “CISO’s zijn wat agressiever als het om patchbeheer gaat”, zegt Jensen. Een reden waarom bedrijven zich tot cloudgebaseerde services wenden, is dat in sommige gevallen die patching en upgrading wordt afgehandeld door de cloudprovider.
CISO’s nemen een denkrichting met zich mee: je moet bewijzen dat je te vertrouwen bent. Terug naar die cultuurvraag: IT-teams zouden er in het algemeen goed aan doen meer van die visie over te nemen, vooral met het risico van onbeschermde assets op cloudservers, databases en mobiele apparaten.
5. Beheers de risico’s aan de binnenkant van de firewall
Medewerkers vormen een bedreiging – soms opzettelijk, soms niet. Misschien wil een ontevreden werknemer wel bedrijfsgegevens stelen en vrijgeven, of op een andere manier ellende veroorzaken. Of misschien klikt een tevreden, maar ietwat onhandige medewerker op een phishing-link en geeft hij een belangrijk wachtwoord vrij of installeert hij malware die een hacker toegang tot je infrastructuur geeft. In elk van deze gevallen wordt een aanval niet gestart via de perimeter, maar vanuit het netwerk of vanuit een geautoriseerd apparaat.
Dit brengt de vraag omtrent encryptie naar voren: of vertrouwelijke gegevens nu worden opgeslagen in een datacenter, op apparaten van eindgebruikers of in de cloud: CISO’s moeten beoordelen of ze moeten worden versleuteld en hoe (het liefst met sterk sleutelbeheer). Dat geldt ook voor service providers: CISO’s moeten SaaS, cloudopslag en andere leveranciers beoordelen op coderingsmogelijkheden en -praktijken om ervoor te zorgen dat de klantinformatie op gepaste wijze wordt beschermd. In sommige gevallen kan dat zelfs betekenen dat de werknemers van de leverancier – die mogelijk dezelfde toegangsrechten hebben als de werknemers van de klant – het niet kunnen zien.
Beveiligingstraining was een van de grootste beveiligingsinvesteringen in 2018, zo bleek uit het Oracle/KPMG-onderzoek, grotendeels om het insider-risico te verkleinen. Met deze trainingen wordt ervoor gezorgd dat alle medewerkers zich bewust zijn van de risico’s voor gegevensbeveiliging en compliance-eisen, die elk jaar strenger worden, met e-mail nog steeds als grootste veroorzaker van ellende. Uit onderzoek van het beveiligingsbedrijf FireEye bleek dat 91% van de aanvallen begint met een phishing-e-mailaanval.. Een andere veel voorkomende aanval komt van misbruik van bevoorrechte accounts door werknemers. Dat is wanneer een werknemer geleende, gestolen of gehackte beheerdersreferenties gebruikt om een functie uit te voeren of toegang te krijgen tot gegevens die hij of zij niet hoort te gebruiken.
De behoefte aan meer training en opleiding gaat niet alleen over algemene werknemers, maar ook over het opbouwen van beveiligingsvaardigheden bij IT- en cyberveiligheidsteams, die voortdurend moeten worden opgeleid om opgewassen te zijn tegen de bedreigingen van morgen. Beveiligingstalent is niet gemakkelijk of goedkoop om te huren en te behouden.
6. Manage je veiligheid in de cloud
Schaduw IT is een grote zorg voor CISO’s. Medewerkers vinden het handig om vertrouwelijke bedrijfsinformatie op te slaan en te delen op gratis platforms voor het delen van bestanden zoals Google Drive, Microsoft OneDrive of Dropbox, of in samenwerkingsservices als Slack en Evernote. Ontwikkelaars kunnen gratis of goedkope accounts draaien voor het delen van codes op platforms zoals GitHub of SourceForge. Ontwikkelteams kunnen zelfs complete apps ontwikkelen, compleet met klantgegevens, met behulp van cloudresources die nooit op een IT-budget verschijnen.
“Organisaties hebben te maken met een groot raadsel rond schaduw-IT en het gebruik van niet-beheerde cloud-apps door werknemers”, zegt Jensen. “Het wordt een prioriteit voor de CISO om ervoor te zorgen dat werknemers geen vertrouwelijke gegevens op services plaatsen zonder toestemming.”
De beveiligingsproblemen zitten niet alleen in gratis of goedkope diensten. “Stel dat een vertrouwde medewerker uit New York plotseling toegang krijgt tot cloud-based Enterprise Resource Management van het bedrijf vanuit het buitenland, binnen een tijdspanne buiten de norm, en financiële transacties die tien keer hoger dan normaal zijn verwerkt,” zegt Jensen. CISO’s moeten investeren in systemen die dat soort rode vlaggen kunnen herkennen en moeten echt stappen ondernemen, zoals het gebruik van multi-factor authenticatie.