3 minute read
Risk-based cybersecurity bespaart tijd en geld
‘Risk-based
cybersecurity bespaart tijd en geld’
Advertisement
‘Risk-based security’ is een term die steeds vaker wordt gebruikt. Maar even zo vaak wordt er niet duidelijk uitgelegd wat een risk-based aanpak van cybersecurity nu precies inhoudt. Zonder deze kennis is het slechts een buzzword en komen de voordelen van deze aanpak niet goed tot uiting.
Een riskbased cybersecurityaanpak betekent dat bedrijven bij het maken van securitybeslissingen risico als belangrijkste factor beschouwen. Een riskbased aanpak wordt vaak neergezet als het tegenovergestelde van een compliancegedreven aanpak. Riskbased securityteams richten zich vooral op het verminderen van de daadwerkelijke blootstelling aan cyberaanvallen en datalekken. En zijn niet zozeer bezig met afvinklijsten en het behalen van audits hoewel dit belangrijk blijft.
Een aanpak die gebaseerd is op risico’s is proactief. In plaats van zich te richten op incident response, investeert een CIO nu vooral veel in testen, threat intelligence en preventie. Tevens is deze aanpak realistischer. Het doel is namelijk om risico’s te reduceren, niet om 100% security te realiseren. Dit houdt in dat CIO’s, CISO’s en directieleden pragmatisch kunnen beslissen over budget en resources. Bij 100% security worden er geen kosten bespaard, ook niet wanneer investeringen minder opleveren.
Een securityprogramma dat uitgaat van een riskbased aanpak kent een aantal onderscheidende elementen.
Continue monitoring
Deze aanpak draait om gedegen kennis van risico’s. Risico inschatting moet worden gebaseerd op feiten in plaats van meningen, trends en krantenkoppen. En daarbij komt: in de wereld van ITsecurity moet data ook actueel zijn. Continue monitoring is hierbij essentieel.
Blinde vlekken zijn funest binnen deze aanpak, dus moeten kwetsbaarheidsbeoordelingen en penetratietesten, die normaal twee keer per jaar plaatsvinden, worden aangevuld met andere soorten beoordelingen.
Securityratings zijn een populaire optie voor het continu monitoren van beveiligingsrisico’s. Ratings bieden inzicht in gecompromitteerde systemen, configuratieprocessen, gebruikersgedrag en andere factoren die bijdragen aan risico’s. Deze inzichten worden gebundeld in beoordelingen voor individuele risicovectoren en uiteindelijk samengevat in één cijfer dat dagelijks wordt geüpdatet.
Prioriteren
Riskbased cybersecurity bevat een systeem dat securitybehoeften prioriteert op basis van hun blootstelling aan risico’s. Effectieve prioritering bestaat uit twee zaken: kennis van de dreiging en kennis van het target. Dat betekent dat de ITprofessional altijd op de hoogte moet zijn van de nieuwste en belangrijkste cyberdreigingen voor zijn organisatie, sector en regio. Daarnaast moet hij weten welke systemen en data kwetsbaar zijn voor deze dreigingen.
Op basis van deze kennis kan een securityprofessional op elk moment bepalen welke projecten de meeste resources vereisen. Zo kan hij bijvoorbeeld met zekerheid zeggen dat het pauzeren van de implementatie van software voor geautomatiseerd incidentenbeheer ten behoeve van het updaten van gebruikersgegevens het risico op blootstelling van de organisatie verkleint.
Prioriteren moet ook dynamisch zijn, en gebaseerd op korte cycli, in plaats van maandelijks of driemaandelijks. Daarom zijn tools voor continue monitoring, zoals security ratings, van groot belang voor het bepalen van prioriteiten.
Benchmarks
Om cyberrisico’s echt te begrijpen, moet er niet alleen naar de eigen organisatie worden gekeken. Risico is relatief en kan alleen worden begrepen in de context van historische prestaties en de prestaties van collega’s, concurrenten en sectoren.
Security ratings worden gebaseerd op openbare informatie. Dat houdt in dat elk bedrijf kan worden beoordeeld en dus niet alleen de eigen organisatie. Veel organisaties gebruiken security ratings om inzicht te krijgen in de securityprestaties van hun concurrenten, van bovengemiddeld presterende organisaties in hun sector en de algemene stand van zaken in de sector. Deze manier van cybersecurity benchmarking geeft securityprofessionals de benodigde context om te bepalen hoe zij ervoor staan. Daarnaast is het mogelijk om te kijken naar een specifieke organisatie, om zo een beeld te krijgen welke securityonderdelen de meeste aandacht krijgen.
Tijd en geld besparen
Vergeleken met compliancegedreven organisaties bespaart een organisatie met een riskbased aanpak veel tijd en geld. Deze aanpak helpt een organisatie met het bepalen van de ROI op haar cybersecurityprojecten en zorgt ervoor dat er geen geld meer wordt uitgegeven aan tools en systemen die niets opleveren. Veel organisaties hebben miljoenen uitgegeven aan de beste software, om vervolgens te worden blootgesteld aan een dreiging door een gebruikersfout of een fout bij een third party. Een riskbased aanpak helpt een bedrijf om deze scenario’s te vermijden.
Daarnaast vermindert deze riskbased aanpak de noodzaak voor dure securityconsultants en grootschalige assessments. Door tools te gebruiken die helpen bij prestatiebeheer, kan een organisatie vaardigheden ontwikkelen voor het prioriteren en beoordelen van haar eigen securityprogramma.
Het belangrijkste is echter dat deze aanpak de kans op een datalek vermindert. Een datalek kostte in 2018 gemiddeld 3,86 miljoen dollar. Dit kan het verschil maken tussen overleven en een faillissement.
LENNART PIKAART is Sales Director Benelux bij BitSight
