CIO, zo behoud jij balans tussen innovatie en security

Het is een fascinerend gezicht: topschaatsers die hun lichaam perfect in balans houden. En dat op hoge snelheid, onder al net zo’n hoge druk. Op rechte stukken is iedere slag ‘raak’ en vormt het lijf een gebalanceerde machine die vooral vooruit wil. In het bochtenwerk vormt het lichaam een perfect tegenwicht tegen de krachten die het bovenlijf richting het ijs willen drukken, om zo een uitglijder te voorkomen.

Welbeschouwd doet een schaatser op het ijs wat jij als CIO dagelijks op de werkvloer laat zien. Onder grote druk moet jij balanceren tussen de vraag naar continue innovaties en het bewaken van het belangrijkste ingrediënt dat deze vernieuwingen mogelijk maakt: data. Dat vraagt net als bij schaatsen om de juiste houding, en goed materiaal. Wij geven daarvoor drie belangrijke tips:

1. Houd grip op kwetsbaarheden

Als CIO ben je direct verantwoordelijk voor de veiligheid en integriteit van je bedrijfsdata. Een van de belangrijkste bedreigingen daarvoor zijn kwetsbaarheden in de infrastructuur. Cybercriminelen kunnen via die kwetsbaarheden aan de haal gaan met persoons- en bedrijfsgegevens.

Zeker nog onbekende kwetsbaarheden vormen een groot risico. Hackers misbruiken deze in zogeheten ‘zeroday-aanvallen’, een verschijnsel dat momenteel toeneemt. Dat vraagt om een permanente staat van waakzaamheid.

Onze adviezen:

• Monitor de gehele supplychain
  Een hack bij een businesspartner verderop in de keten kan bij jouw organisatie desastreus uitpakken. Dat betekent ook dat jij steeds afhankelijker bent van die partners voor een goede security. Beperk securitymonitoring dan ook niet tot je eigen organisatie, maar betrek de gehele keten erbij.
   
• Houd grip op kwetsbaarheden
  Innoverende organisaties hebben een IT-infrastructuur waar vaak vernieuwingen plaatsvinden. Daardoor krijg je ook vaker te maken met nieuwe kwetsbaarheden. Die ontdek je alleen tijdig als je een scherp oog houdt op dat veranderende landschap. Anderzijds is het belangrijk dat je dat landschap regelmatig doorlicht op zwakke plekken via bijvoorbeeld pentests. Met deze regelmatige checks vergroot je niet alleen de veiligheid van je eigen organisatie, maar ook die van anderen. Uit pentests kunnen namelijk nog onbekende kwetsbaarheden aan het licht komen. Tegelijkertijd is het verstandig te investeren in vulnerability intelligence. Zo weet je op ieder moment welke risico’s voor jouw organisatie gelden.
   
• Prioriteer je responsactiviteiten
  Als CIO heb je meer dan genoeg op je bord. Daarom is het belangrijk scherp te hebben welke security-issues prioriteit hebben. Nieuwe informatie rondom gevoelige assets verdienen voorrang als het gaat om respons.

2. Wees voorbereid op nieuwe dreigingen

De werkplek ziet er anno nu behoorlijk anders uit dan enkele jaren geleden. Denk aan de hele beweging richting cloud, hybride werken, en het gebruik van technieken als chatbots, AI en data-analyse. Aanvallers gaan in die veranderingen mee en zoeken continu naar nieuwe ingangen en aanvalstactieken. Oude securitystrategieën met een basis in back-up en herstel zijn niet meer voldoende. De nieuwe realiteit vraagt om een stevigere aanpak. Een waarin relatief nieuwe securitymethoden als monitoring, Zero Trust en vulnerability management een steeds belangrijkere rol spelen.

Het is bovendien goed om scherp te hebben welke risico’s specifiek voor jouw branche gelden. Wist je dat in veel sectoren de meeste risico’s van binnenuit komen?

Onze adviezen:

• Hanteer Zero Trust
  Moderne IT-infrastructuur bestaat steeds vaker uit een lappendeken van applicaties. Dat zorgt voor forse risico’s op bijvoorbeeld gegevensverlies. Die risico’s ontstaan niet alleen van buiten de organisatie, maar ook van binnenuit. De aloude benadering van de hoog ommuurde organisatie waarbij iedereen binnen de poorten vrij spel heeft, past niet meer. In plaats daarvan pleiten wij voor Zero Trust. Daarbij is alles en iedereen standaard verdacht totdat het tegendeel bewezen is. Zowel vanuit intern als extern.
   
• Investeer in netwerksegmentatie
  Daarbij deel je het netwerk op in kleinere stukken. Het voordeel van netwerksegmentatie is dat je het verkeer tussen de verschillende segmenten kunt regelen en beperken. Zo kun je ongewenste toegang of aanvallen voorkomen en de schade bij een eventuele aanval beperken.
   
• Zorg voor permanente netwerkmonitoring
  Je CISO kan hulp in de vorm van permanente netwerkmonitoring goed gebruiken. Het tijdig opmerken van verdachte bewegingen kan veel ellende voorkomen.

3. Ga slim om met talenttekort

Wist je dat securityteams iedere maand gemiddeld 34 ‘true positive’ en 83 ‘false positive’ meldingen te verwerken krijgen? Dat zijn maandelijks 117 incidenten die om een kritische blik van een securityexpert vragen. Ofwel: iedere 82 minuten een melding. Een klus die toch al snel een uur in beslag neemt. Dan hebben we het nog niet over de mogelijke respons.

Lastig, want de mensen hiervoor zijn volgens de cijfers dun gezaaid. Volgens onderzoek van ISC2 vraagt de markt momenteel om 3,4 miljoen securityprofessionals. 59% van de boardroomleden en 64% van de IT-managers noemt talentrecruitment en retentie als belangrijkste uitdagingen om de cyberweerstand op peil te houden.

Onze adviezen:

• Besteed verstandig uit
  Je ontkomt vrijwel niet aan het (deels) uitbesteden van je security. Daarbij is het belangrijk dat je externe securitypartners zorgvuldig uitkiest. Zo’n partner moet zowel verstand hebben van jouw business als van actuele wereldwijde securitydreigingen.
   
• Let op certificeringen
  Securitypartners moeten minstens voldoen aan de hoogste internationale securitystandaarden. Voldoet een partner niet aan onderstaande eisen? Ga simpelweg niet met hen in zee.
  • ISO-, en IEC-securitystandaarden ISO 27001, ISO 9001, ISO 14001 en ISO 20000
  • SOC 2 Type I voor on-site datamanagement, privacy en vertrouwelijkheid
  • Vendorspecifieke certificeringen (bv. Azure, AWS) voor security- en penetratietesten