Organisaties die nog helemaal niet met beveiliging bezig zijn, komen na de AVG niet zoveel meer voor. Op z'n minst proberen bedrijven aan compliance te voldoen, vertelt beveiligingsdeskundige Ashish Khanna van Verizon. De Europese wetgeving stelt voorwaarden op waar bedrijven aan moeten voldoen om data en privacy van klanten te beschermen. Hoe je dat precies doet, is aan de organisatie zelf, maar duidelijk is dát je bepaalde procedures hebt lopen.
Ashish Khanna, Head of Security Consulting & Architecture bij Verizon
In een security maturity-model dat IT-beveiligingsbedrijven vaak hanteren om te bepalen wat de beveiligingshouding van de organisatie is, staat zulke compliancegebaseerde beveiliging tegenwoordig op de eerste plaats, 'stage 1'. Bedrijven die geen processen hebben, niet weten waar ze staan en niet weten waar ze zouden moeten beginnen zijn tegenwoordig 'stage 0' - om maar eens aan te geven hoe achterhaald dat is in een post-AVG-wereld.
Er zijn verschillende modellen voor de 'beveiligingsreis' van een organisatie, bijvoorbeeld die van NIST, de C2M2 van de Amerikaanse overheid en specifieke modellen van verschillende beveiligingsbedrijven, maar als we op een hoger niveau kijken naar de overeenkomsten, hebben ze ongeveer dezelfde vier á vijf fases.
Globaal beeld van een security maturity-model:
Fase 0: Geen beveiligingsbeleid.
Fase 1: Vooral compliance-gerichte security.
Fase 2: Voornamelijk procedure-gedreven security (ITIL).
Fase 3: Processen en dedicated personeel en tooling.
Fase 4: Doorlopende meting en herijken.
Reageren op incidenten
De meeste professionele IT'ers zijn een stap verder dan die eerste compliance-fase en zijn zich bewust van beveiliging. "Deze organisaties zijn zich bewust van beveiliging, maar niet per se van risico", legt Khanna uit. Wat hij daarmee bedoelt, is dat ze weten hoe ze moeten reageren op een beveiligingsincident en dat daar enkele standaardprocessen en procedures voor zijn. Zo hebben organisaties in fase 2 bijvoorbeeld een plan vanaf de eerstelijns melding naar escalatie van incident naar probleem met hoge prioriteit. Er is dus zicht op de incidentsrespons. Maar er is geen zicht op het daadwerkelijke risico voor een organisatie die te maken krijgt met een beveiligingsincident, bijvoorbeeld wat er precies gebeurt tijdens de aanval en hoeveel tijd het duurt tot herstel.
"Je kunt dat vergelijken met mensen die in principe weten hoe ze ziekte moeten vermijden. Ze eten gezond en slikken vitaminen, maar hoe ze weer snel beter worden als ze eenmaal ziek zijn, is minder duidelijk." Hij vindt dat bedrijven in deze fase van de beveiligingsreis aan 'checkbox security' doen. "Dit is heel erg reactief." Bovendien zijn dit soort organisaties vaak afhankelijk van specifieke IT'ers en sleutelfiguren en vertrouwen ze minder op processen en procedures. Dat betekent dat bij vakantie of verzuim de organisatie direct een stuk kwetsbaarder is. Dat zal een organisatorische structuur zijn die menig IT'er bekend voorkomt.
Vastberaden aanvallers en een SoC
Veel organisaties hebben deze stappen gelukkig inmiddels doorlopen en zijn aanbeland bij een volwassen security-organisatie die zich bewust is van risico's, impact en bijvoorbeeld de gemiddelde tijd tot recovery. "Dit zijn behoorlijk volwassen organisaties, met processen en zicht op risico's. Ze weten wat ze doen." Maar als het daar stopt, is de beveiliging voor organisaties die onder vuur liggen van vastberaden aanvallers toch nog niet hoog genoeg.
Natuurlijk zijn er voorbeelden van bedrijven die gehackt zijn, terwijl ze een dedicated SoC hadden en terwijl ze op de hoogte waren van de kwetsbaarheid waardoor aanvallers uiteindelijk binnen kwamen. In één geval kwam er al vier maanden voor de hack een prioriteitswaarschuwing binnen en er werd zelfs een beveiligingsscan uitgevoerd om te zien of systemen kwetsbaar waren. Die scan merkte het probleem niet op en patch werd pas toegepast nádat de hack was uitgevoerd.
Organisaties in de derde fase zijn zich bewust van de risico's en voeren doorlopende verbetering uit. Waar ging het dan toch mis? Wellicht op hetzelfde punt als bij de hack op een winkelketen. Daar was Point of Sales-malware in het werkgeheugen van kassasystemen bijvoorbeeld wel al opgemerkt door de beveiligingssoftware, maar de melding daarover was verdwenen in een oceaan van waarschuwingen.
Meten is weten
Dat brengt ons naar het ultieme doel van een organisatie die met IT-beveiliging bezig is: een holistische aanpak met zowel de juiste mensen als processen en technologie, legt Khanna uit. In de vierde en laatste fase van verschillende maturity-modellen vinden we dezelfde elementen terug: organisaties hebben dedicated personeel, maar daarbij ook visibility. Bovendien worden de risico's doorlopend gemeten.
Kijk naar een voorbeeld als het incident bij de winkelketen: De organisatie zat, te oordelen aan de hack en de mitigatie ervan, ergens rond fase 2 of 3 van het security maturity-model dat we net bespraken. De organisatie uit het andere voorbeeld verkeerde wel stevig in fase 3 met een dedicated SoC en beleidsprocessen. Maar het is duidelijk dat het beschermen van een complexe infrastructuur tegen een cyberaanval geen vanzelfsprekendheid is. Er zijn te weinig vaardige beveiligers en tools spuwen meer data uit dan analisten kunnen reviewen. Vendoren voegen ook nog complexiteit toe aan de interoperabiliteit, terwijl de aanvallers continu zoeken naar nieuwe manieren om binnen te komen.
Daarom moeten organisaties de effectiviteit van hun huidige aanpak doorlopend analyseren en tweaken. Meten is weten - en dat geldt zeker voor IT-beveiliging.
Reageer
Preview