Menu
Artikel

Maak de risico's van digitalisering inzichtelijk

Werk samen met de business!

Hoe maak je een plan om de risico's van verdergaande digitalisering van je bedrijf in te schatten en daarbij te beschrijven hoe je denkt de eventuele schade te minimaliseren als een aanval van buitenaf slaagt? En hoe zorg je ervoor dat de directie dat plan ondersteunt?

Laten we eerst eens kijken naar je plan. Dat zou minimaal een half dozijn risico's moeten bevatten die een bedreiging zijn voor de business, en niet per definitie de risico's voor IT. De vraag moet namelijk zijn: Wat zijn de belangrijkste technologie-gerelateerde risico's die de business in gevaar kan brengen? Daar zullen namelijk zowel de business als de directie zich de meeste zorgen over maken.

Je zal als beveiligingsprofessional een balans moeten vinden tussen de noodzaak om de business te beschermen en het toch zo soepeltjes en efficiënt mogelijk laten functioneren. Daarom zal je hierin nauw contact moeten hebben met de business, mede om een fundament te leggen voor als je je plan voorlegt aan de directie.

Je kan drie soorten reacties verwachten in je gesprekken met de business managers: daar hebben we nooit aan gedacht, we maken ons zorgen om zaken die niet op je lijst staan, je lijst bevat zaken waar we ons helemaal geen zorgen om maken.

Al deze reacties zijn bruikbaar, want ze richten zich op jouw plan en wat voor hen belangrijk is. Ze geven een beter inzicht in wat ze bezig houdt.

Vertrouwen is onderdeel van je plan

Een digitaal ingericht bedrijf leunt op een complexe combinatie van machines, technologie, partners en dienstenleveranciers, waarbij een groot deel buiten je directe controle valt. Dus het is belangrijk om enig vertrouwen in te bouwen in je berekeningen. Wordt het bedrijf verantwoordelijk gesteld voor schade die uit een beveiligingsincident voortkomt als het element dat misbruikt werd niet direct onder controle staat van je organisatie?

Het risico op fraude via de digitale diensten van het bedrijf is een van de grootste zorgen, zegt analistenbureau Gartner. Fraude en juridische aansprakelijkheid kunnen worden beschreven in een daadkrachtig vertrouwensbeleid dat moet omschrijven wat te doen bij aanvallen op de business, zegt analist Felix Gaehtgens van Gartner.

De mate van onderling vertrouwen kan variëren van het vertrouwen van alles totdat het tegendeel wordt bewezen tot niets te vertrouwen totdat het zich als betrouwbaar heeft bewezen. Gaehtgens noemt dit een adaptief vertrouwen, dat aangepast wordt totdat de mate van vertrouwen gelijk staat met of groter is dan het risico dat de business loopt. Als dat niet het geval is, moet de business of het vertrouwen of het risico aanpassen, zegt hij.

Context is king

Context is belangrijk in het bepalen van de mate van vertrouwen. De machine die aan het netwerk hangt, wie de gebruiker is, hoe verbindingen worden gelegd, de rol van de gebruiker en waar de data vandaan komt: dat zijn voorbeelden van vertrouwens-indicatoren die mee moeten wegen in je beslissingen. Het niveau van dat vertrouwen kan vervolgens worden vertaald in bijvoorbeeld identiteitsmanagement en toegangsregels.

Dat moet tevens in balans zijn met vraagstukken rond privacy rond persoonlijke en bedrijfsdata. Daarin kan versleuteling een rol spelen met blockchain als onderliggende technologie, zoals ook wordt gedaan met het verifiëren van Bitcoin-transacties.

Verder kunnen tools een rol spelen, zoals betrouwbare hypervisors en het gebruik van containers op niet vertrouwde apparaten, het filteren door security-gateways en het stringente gebruik van versleuteling.

IT moet de kloof overbruggen met software-ontwikkelaars om zo het inbouwen van security tijdens de software development life cycle te bevorderen, zegt Gaehtgens. "We moeten invloed hebben op elke fase in die SDLC", zegt hij, door het gebruik te bevorderen van security-API's in applicaties en ze vervolgens te beschermen met API-gateways.

Toch aanvallers in je netwerk

Ondanks de beste inspanningen zal de beveiliging ongetwijfeld worden doorbroken en moet er een plan zijn voor het ontdekken van en snel reageren op dergelijke inbreuken. Tools om dat te kunnen doen zijn onder meer gedragsanalyse van zowel gebruikers als apparaten door het gebruik van machine learning, zodat je gedragsveranderingen kan opmerken die wijzen op problemen. Misleidingstools kunnen de aanvaller voor de gek houden en hun doelen duidelijk maken.

Bedrijven hebben in hun beveiligingsteam jagers nodig die snel die informatie tot zich kunnen nemen en daardoor snel op incidenten kunnen inspringen. Als er zich wat voordoet moeten direct verdachte apparaten en gebruikers worden geïsoleerd en alle transacties worden stopgezet totdat uit onderzoek blijkt dat het gevaar is geweken.

Je zal ook een crisismanagementteam moeten vormen die bestaat uit mensen vanuit juridische zaken, HR, IT, PR en de businessunits. Train ze en oefen met het team, zodat het snel kan reageren als het om het echie gaat.

Als dat allemaal is gedaan moet het plan 'verkocht' worden aan de directie, waarin je onderstaande template kan gebruiken:

  • Laat de directie zien dat je de zakelijke doelen begrijpt
  • Zet de risico's op een rijtje die je kan beïnvloeden om die zakelijke doelen te bereiken
  • Leg de technische stappen uit waarmee je die risico's aanpakt en de zakelijke doelen zal ondersteunen

11 / 24