Hoe kijken mensen die werkzaam zijn als Chief Information Security Officer (CISO) of een equivalent ervan aan tegen cyberveiligheid? Welke problemen ondervinden zij? Om deze vragen te kunnen beantwoorden ondervroeg Kaspersky Lab 250 security-directeuren over de hele wereld. Hun meningen zijn zeer interessant, hoewel ik niet kan zeggen dat ik het met al mijn collega\u2019s eens ben.<\/p>\n
Laten we kijken naar de vraag over het meten van de key performance indicatoren voor een CISO. Het is geen verrassing dat de meeste respondenten zeiden dat hun belangrijkste criterium de kwaliteit en snelheid van respons op een incident. In moderne bedrijven worden cyberincidenten niet meer beschouwd als een tekortkoming in veiligheid. Het is goed om te realiseren dat deskundigen beginnen te begrijpen dat incidenten onvermijdelijk, of zelfs normaal zijn. Vandaag de dag gaat cyberveiligheid voornamelijk over het in standhouden van het bedrijf.<\/p>\n
Met in standhouden bedoel ik het handhaven van een beschermingsniveau dat kan garanderen dat in het geval van een geavanceerde en hardnekkige aanval<\/a>, een datalek of een grootschalige DDoS, een bedrijf zich kan herstellen zonder al te veel schade. In andere woorden, CISO\u2019s van nu focussen zich op incidentrespons.<\/p>\n Aan de ene kant werkt dit uitstekend. Slechts een aantal jaar geleden was er nog sprake van een nul-incidentenuitgangspunt en bedrijven dachten dat CISO\u2019s in staat moesten zijn om infrastructuren volledig te kunnen beschermen. Maar aan de andere kant is de focus op slechts responstechnologie\u00ebn niet veel beter. In mijn ogen zouden CISO\u2019s een balans moeten vinden. Alle kenmerken van aanpasbare veiligheidsarchitectuur<\/a> zijn belangrijk: voorkomen, opsporen, reageren en voorspellen.<\/p>\n De meeste CISO\u2019s zijn het erover eens dat de grootste consequentie voor een onderneming na een lek reputatieschade is. Daar ben ik het volledig mee eens. Ik zou op dezelfde manier reageren. Reputatieschade is de basis van alle andere incidentschade \u2013 dalende aandelen, vertrouwen, verkoopcijfers, etc.<\/p>\n Reputatie is de echte reden waarom we niets horen over de meerderheid van veiligheidsincidenten. Als een bedrijf een cyberincident geheim kan blijven, dan gebeurt dat \u2013 hoewel de wetgeving in sommige landen bedrijven dwingt om informatie over veiligheidsincidenten te communiceren naar aandeelhouders of klanten.<\/p>\n Blijkbaar kunnen CISO\u2019s de verschillende doelen onderscheiden die cybercriminelen hebben en daarmee kunnen ze aanvallen die gesubsidieerd worden door de staat en aanvallen met een winstdoeleinde van elkaar onderscheiden.\u00a0 Maar ik zou aanvallen van insiders bovenaan het lijstje plaatsen. Wat betreft schade zijn deze het gevaarlijkst \u2013 en ervaring leert dat een oneerlijke werknemer veel meer schade kan toebrengen dan externe boosdoeners.<\/p>\n Het was interessant om te zien hoe veiligheidsmanagers betrokken worden bij bedrijfskeuzes. Ik was verbaasd dat velen zichzelf niet betrokken genoeg vonden. Maar wat begrijpen zij onder de term \u2018genoeg\u2019?<\/p>\n In feite zijn er twee strategie\u00ebn. Veiligheid heeft zeggenschap over alle beslissingen van een onderneming, waarbij iedere stap die gezet wordt, moet worden goedgekeurd. Een andere optie is dat het de functie heeft van consultant, waarbij het bedrijf vraagt om goedkeuring.<\/p>\n Op het eerste gezicht lijkt volledige controle het meest effectief \u2013 en dat klinkt logisch, in het geval cyberveiligheid op zichzelf een doel zou zijn. Maar in werkelijkheid vereist dit meer personeel, en het vertraagt de ontwikkeling van een bedrijf. Dat kan nogal uitdagend zijn voor vernieuwende bedrijven die bedrijfsprocedures hanteren die nog niet de beste resultaten opleveren op het gebied van veiligheid.<\/p>\n De antwoorden op de vraag \u2018Hoe kun je je budget verantwoorden zonder een duidelijke ROI?\u2019 verontrusten mij. Het lijkt erop dat de populairste verantwoording angst is \u2013 raming van de schade en verslagen bij voorgaande cyberveiligheidsschending. Dat werkt inderdaad, de eerste keer, en misschien ook de tweede keer. Maar bij de derde keer zal het antwoord eerder lijken op \u2018OK, dat was eng. Hoe lossen anderen de zaken op?\u2019<\/p>\n Het is relevanter voor bedrijven om te leren van ervaringen van andere bedrijven. Helaas staat de categorie \u2018Sectorbenchmarks en beste praktijken\u2019 slechts op de zevende plaats in de argumentenlijst, hoewel deze informatie openbaar is. We hebben bijvoorbeeld de handige tool: onze IT-veiligheid Calculator<\/a>.<\/p>\nOver risico\u2019s gesproken<\/h2>\n
Invloed op bedrijfskeuzes<\/h2>\n
Budgetverantwoording<\/h2>\n