Flexibiliteit is de nieuwe norm in security

– Steven Dondorp – Oprichter en CEO

In het dagelijks leven stuur ik met veel plezier mijn bedrijf Northwave. Om fit te blijven beoefen ik taekwondo en ben ik op het water te vinden in een roeiboot. Twee sporten die niet goed samen gaan. Voor het een moet je goede reflexen hebben, lenig en snel zijn. Bij het ander is juist cadans, eenparige kracht en taai weerstand belangrijk. Voor beide geldt dat je alleen wedstrijden kan winnen als je gehard en strijdbaar bent. Als je in staat bent veerkrachtig op te treden gedurende het wedstrijdverloop. Dat geldt ook voor Information security.

RESILIENCE

In ons vakgebied ontkomen we bijna niet aan de Engelse woorden. Soms zijn het regelrechte leenwoorden en is de vertaling zelfs zeer lastig te maken. Zo is in de Informatiebeveiliging de term ‘Resilience’ aan populairiteit. De letterlijk vertaling van dit woord is weerbaarheid, een term die in het Militaire woordenboek van 1861 wordt omschreven als: ‘In den eigenlijken zin is echter slechts hij weerbaar, die zijne wapens ook kan behandelen.’ Die invalshoek biedt opmerkelijke aanknopingspunten. Het weerspiegelt dat je alleen maar weerbaar bent als je ook daadwerkelijk instrumenten tot je beschikking hebt en deze ook kan hanteren. Er zit haast iets offensiefs in door het woord: ‘wapens’. Dus geen theorie, procedures en beleid alleen, maar daadwerkelijke vaardige handelende mensen met keiharde tools. En er zit iets actiefs in vanuit de beoefenaar: ‘ook kan hanteren’. Dit betekent getraind (de kunst) en geoefend (de situatie) zijn.

CONTINUITEIT IS LOGISCH

Securitymanagement maakt gebruik van risicomanagement. De risicoafwegingen zijn vanzelfsprekend in afweging met de kroonjuwelen en bedrijfsprocessen die de organisatie wil beschermen. Zodoende is de relatie al vrij snel gemaakt met Business Continuity Management. Dat is goed en heeft ook gelijk gevaren in zich vanuit het volgende perspectief. Wanneer we bijvoorbeeld naar ICT kijken was ‘stabiliteit’ en continuïteit van IT heel lang de norm. Maar vandaag is dat volledig verschoven naar ‘flexibiliteit’. Organisaties vinden IT die het doet inmiddels te vanzelfsprekend. Vandaag moet ICT juist een strategisch voordeel bieden bij wat je morgen gaat doen. ICT verandert op dat punt snel, ICT security nog niet. We zijn daar nog vaak bezig met het begin, of een ontwerpherhaling ervan voor de organisatie in eerste aanleg. Het ‘secure maken’, terwijl de praktijk vraagt om een flexibel maar wel ijzersterk fundament.

KOSTEN- EN ONZEKERHEID REMMEN HANDELEN EN EFFECTIVITEIT

De kosten van security rijzen de pan uit, de controle op effectiviteit is vaak ver te zoek en de directie krijgt daar maar weinig grip op. Dat bewustzijn komt echter steeds meer op. Geholpen door wetgevingen en talloze incidenten om ons heen. De bedrijfscontinuïteit staat bij privacy incidenten en digitale hacks bij elke organisatie op het spel. Daarbij is Informatiebeveiliging ook nog eens een zeer complexe materie en zijn de oplossingen soms schrikbarend duur. Als organisaties zich voor alle denkbare cyberbedreigingen zouden moeten wapenen wordt security onbetaalbaar. Daarom stoppen organisaties soms plotseling met beveiligen als het budget wordt overschreden. Zonder zich af te vragen of tot dat punt de beveiliging wel evenwichtig is samengesteld. Vrijwel niemand stuurt op samenhang in security.

ACTIEF ZIEN EN ANTICIPEREN

Om te kunnen anticiperen moet je wel weten wat er op je afkomt. Militairen noemen dat de kunst van ‘kijken’. Ze hebben zelfs specialisten die getraind zijn op alleen ‘kijken’. Organisaties verlaten zich op ‘passieve’ defensie, zoals muren en dijken. Deze firewalls en antivirus zijn goed, maar geven geen inzicht in wat er achter de dijk gebeurt. Zo lang het droog is ben ik veilig is de gedachte. Terwijl het water achter hun dijk bijna over de rand slaat, het hogerop gelegen al weken flink heeft geregend en de sneeuw op de bergtoppen aan het smelten is. Ondertussen sust men zichzelf met de parafrase: Wat valt er bij ons nou te halen? Het grote probleem daarvan? Hackers zijn precies op zoek naar dat antwoord. Het is hun primaire motivatie om in te breken…

TER LAND, TER ZEE, IN LUCHT, -RUIMTE, EN -CYBERSPACE

Een roeiboot is niet effectief op de mat, zoals een taekwondopak zal belemmeren tijdens het roeien. Je bent zo goed als je geëquipeerd bent voor je situatie. Een organisatie krijgt gecombineerde aangevallen te verduren via interne fraude, social engineering, fysieke beveiligingsinbreuken en digitale aanvallen. Allemaal nog met verschillende aard, in diverse situaties en omstandigheden. Al deze kennis, disciplines en vooral vaardigheden in huis hebben, is geen doen. Maar niet weerbaar zijn, is ook geen optie.

CONTINUITEIT BIEDEN EN FLEXIBEL ZIJN

De oplossing zit hem in security integraal aanpakken. Daar zijn ogen voor nodig en een interdisciplinaire aanpak. Sla een hard fundament met een wederkerig security management framework. Die continu de afwegingen maakt waar je flexibel je maatregelen efficiënt kan inzetten. Ook een procescertificering (ISO27001) zal daarbij helpen. Dat houdt je flexibel in welke maatregelen je waar (tijdelijk) in wil zetten en waarom. Voor verschillende situaties zijn verschillende vaardigheden benodigd. Die vindt men onmogelijk op een IT-security afdeling alleen. Capaciteit, geld en kwaliteit moet flexibel ingezet kunnen worden daar waar het (tijdelijk) het hardste nodig is. Met getrainde multidisciplinaire mensen. Die hun tools daadwerkelijk weten te hanteren. Om al die mensen zelf in dienst te hebben, hen chronisch getraind te houden om de complexe tools en systemen zelf vaardig te kunnen hanteren, is niet te doen. Zeker niet als je betaalbaar flexibel bezig wil zijn.

Als je inlichtingen hebt en weet wat de situatie is, dan kan je met het framework flexibel jezelf aanpassen om weerbaar te zijn. Als je ogen hebt buiten en in je organisatie kan je op tijd anticiperen. Door security-ogen in de organisatie kunnen we zaken, of andere kennis (intelligence) met elkaar in verband brengen en anticiperen. We besluiten zaken aan te passen. Deze tools kunnen geautomatiseerd het leeuwendeel voor je uit handen nemen. Naast deze tools is ook flexibiliteit nodig. En die flexibiliteit biedt vervolgens weer flexibiliteit in mogelijke tegenmaatregelen door tijdwinst. Misschien is dan een nog hogere dijk niet eens de oplossing, maar bijvoorbeeld een uiterwaarde creëren als je nog tijd hebt.

SECURITY UITBESTEDEN DAAR WAAR HET MOET

Gespecialiseerde integrale securitybedrijven zoals Northwave zijn in staat om voor je vast te leggen wat er feitelijk gebeurt in uw organisatie. Met Security monitoring en sensortechnologieën kunnen we uitzien wat er op je afkomt. Maar het zijn zeer complexe systemen die zo goed zijn als je ze daadwerkelijk kan hanteren en interpreteren. We implementeren en beheren de ogen in jouw organisatie en rapporteren die zaken waarop je beslissingen kan nemen. Dit biedt de organisatie flexibiliteit om zich aan te passen op realistische gebeurtenissen, de veranderende omgeving. En niet onbelangrijk: Je bent basaal weerbaar ook bij nieuwe bedrijfsactiviteiten die worden uitgerold. Je besteedt je securitybudget zo op een evenwichtige manier. Cyberintelligence, securityanalyses, incident response & digitaal forensische onderzoek vraagt een hoge kennis en vooral courante vaardigheid. Deze verschillende disciplines hebben organisaties doorgaans niet in huis.

Vanuit het Northwave Security Operations Center maken we dit soort diensten bereikbaar en beschikbaar voor organisaties die zich dit tot op heden niet kunnen veroorloven. Op die manier kan je een slimme security operations opzetten met alleen die zaken die je echt nodig hebt. Zo kun je nog betere besluiten nemen wat je technisch nodig hebt, of hoe je gaat handelen. Anders kies je gevaarlijke, omslachtige of veel te dure oplossingen. We vullen flexibel aan waar nodig. Maar wel snel, soepel en krachtig voor diverse situaties.

OEFENEN EN TRAINEN BEWIJST WAT JE WAARD BENT

Een sporter weet dat hij specialist is in zijn sport. Elke sporter weet ook dat hij niet kan verdedigen en wedstrijden winnen zonder trainen. Het zou een idioot idee zijn als Messi niet zou meetrainen, ook al is hij de beste voetballer ter wereld. Doe daarom ook vooral een echte oefening en richt monitoring als ogen in voor je organisatie. Oefen hoe de maatregelen daadwerkelijk gehanteerd kunnen worden in je organisatie en meet hoe dat lukt in de praktijk? Hoe effectief zijn dan je securitymaatregelen en hoe hard lekt het dan daadwerkelijk voor je het kan stoppen? En welke boete, of schade zou dat bijvoorbeeld opleveren? Wees niet bang voor het tastbaar maken van resultaat voor jezelf of organisatie, maar juist blij met het inzicht. Op een positieve manier. Gelukkig kan je ‘Reslience’ oefenen van te voren, zodat je nog maatregelen kan nemen.

 

Een vraag? Vraag het ons!

Stuur ons een e-mail of bel meteen met + 31 30 303 1240 en vraag naar ons client services team.

1 + 3 = ?

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.