Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Risicomanagement maakt IT-security effectief

 

Computable Expert

Henk van der Heijden
Head of Cybersecurity & Risk Services Continental Europe, Wipro ltd. Expert van Computable voor de topics Development, Infrastructuur en Security.

Veel bedrijven reageren op de toename van cybercriminaliteit door almaar meer te investeren in security tools. Dat is een heilloze weg. Deze veelal geautomatiseerde hulpmiddelen leveren namelijk enorme hoeveelheden log-data op die vaak grotendeels handmatig moet worden gefilterd en geanalyseerd. Dat is nauwelijks nog te doen.

We mogen momenteel al blij zijn als we zelfs maar in de gaten hebben dat we slachtoffer van een aanval of inbraak zijn, laat staan dat we op die manier een aanval kunnen afweren. Andere organisaties kijken als aanvulling op ‘security point solutions’ naar de mogelijkheden van compliance. Via bijvoorbeeld certificering hopen zij meer grip op security-incidenten en hun oplossing te krijgen. Anders gezegd: de nadruk ligt dan vaak op het procesmatig vaststellen en oplossen van de effecten van een aanval of inbraak. Veel compliance-tools zijn echter te weinig flexibel - het zijn vaak nauwelijks meer dan checklisten en invulformulieren - om de snelle ontwikkeling van cyber-bedreigingen bij te houden. 

De enige oplossing die daadwerkelijk leidt tot effectieve resultaten is het in kaart brengen en beheren van de risico’s. Vervolgens kan men op basis hiervan het security operations-plan uitrollen.

Meer dan techniek nodig

Hét grote probleem is dat de focus bij security veel te veel op technologische oplossingen ligt. Anders gezegd: veel it-afdelingen proberen de cybercriminelen buiten de deur te houden. Hoe relevant hun inspanningen ook mogen zijn, dat is niet waar het werkelijk om gaat. Uiteindelijk is de directie van de organisatie vooral geïnteresseerd in de vraag in hoeverre de business-processen van de organisatie negatief door een aanval worden beïnvloed en dan met name die processen waarmee de organisatie zijn geld verdient of die een groot risico vormen voor bijvoorbeeld de merknaam. 

Het is dus van cruciaal belang dat we een goed en actueel beeld hebben van de vraag welke zakelijke risico’s de organisatie per werkproces mag of wil lopen. Maar hoe doen we dat als we net vastgesteld hebben dat veel compliance-tools niet voldoen? De oplossing zit ‘m naar mijn mening in het uitbreiden van compliance met een goede inschatting van de risico’s. Daarmee bedoel ik dit:

  • identificeer de security-bedreigingen, kwetsbaarheden en risico’s.
  • stel vast waar ruimte zit tussen de diverse security-silo’s die door de point-oplossingen worden gevormd.
  • maak een inschatting van de risico’s die hierdoor voor de business ontstaan.
  • definieer acties om deze risico’s terug te brengen.
  • stel prioriteiten welke risico’s als eerste aangepakt moeten worden op basis van de daarmee samenhangende kosten en zakelijke impact.

EESA-framework

Het interessante van deze manier van werken is dat er zelfs een framework bestaat dat deze aanpak ondersteunt: End to End Security Risk Assessment (kortweg EESA). Dit framework is ontwikkeld door een aantal Israëlische onderzoekers en wordt ondersteund door onder andere het Center for European Policy Studies (CEPS) en het European Network and Information Security Agency (ENISA). Het grote voordeel van dit framework is dat dit tevens een basis biedt voor software om dit risicobeheer grotendeels te automatiseren. Bedrijven als WCK doen dit zelfs op een manier waardoor grafische dashboards kunnen worden gebruikt om snel inzicht te krijgen in de risico’s die de organisatie uit zakelijk oogpunt loopt. 

Van de inzet van it-security - denk aan firewalls, identity management-tools en dergelijke - kan pas sprake zijn als we op basis van een EESA-framework de risico’s die de organisatie mag en wil lopen in kaart hebben gebracht. Het grote voordeel van deze aanpak is bovendien dat we dan heel gericht kunnen investeren. Het is dan immers exact duidelijk waar de organisatie bepaalde zakelijke risico’s loopt. Die risico’s kunnen dan heel gericht met security-tools worden ingeperkt cq verholpen.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/4952901). © Jaarbeurs IT Media.

?

 

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.