Cybersecurity: denk in risico's, niet in maatregelen

Veel organisaties zijn ervan overtuigd dat hun data veilig zijn. Er staat toch een goede verdediging? Een grote denkfout.

Het is bijna een gewoonte dat organisaties eerst denken aan wat men allemaal kan doen om te beschermen, in plaats van wat er mis kan gaan. Het gevolg is dat de maatregelen (en de daarmee samenhangende kosten) zich opstapelen, zonder dat men weet wat de grootste bedreigingen zijn.

Auteur Björn Roskott is Senior Manager IT Advisory bij Grant Thornton
Lees ook: “Maak business verantwoordelijk voor data”
Download whitepaper: Wat is de waarde van uw data?

Mismatch met grote gevolgen

De gevolgen van een cyberaanval kunnen ingrijpend zijn, zo bleek zomer 2017 in de Rotterdamse haven. Twee grote containerterminals lagen meer dan een week stil door een ransomware-aanval. De kosten liepen de in de honderden miljoenen euro’s.  Beveiliging was vooral gericht op de individuele organisaties. Het grote risico dat de uitwisseling van informatie tussen de verschillende partijen met zich meebrengt bleef buiten beeld; een mismatch tussen maatregel en risico. Een kwetsbaarheid bij één organisatie kon zo de werking van de gehele keten plat leggen.  

Dat dit geen voorbeeld op zich is, blijkt uit de gesprekken die wij met organisaties voeren over databescherming. Vaak stuiten we binnen tien minuten al op een serieus beveiligingsprobleem, tot ontsteltenis van onze gesprekspartners. De beveiligingsmaatregelen lijken op orde, maar de risico’s blijken een blind spot. Denk aan cruciale salesdata die ook onbeveiligd op een ander systeem staan. Patiëntgegevens die gemaild worden via een onbeschermd netwerk. Of een systeem dat goedbedoeld de opbrengst van de zonnepanelen rapporteert, maar onbedoeld toegang tot het gehele netwerk blootstelt.

Draai het om

Zet dus een stap terug en stel de vraag: welke data moeten perse beschermd worden? Welke data zijn van minder belang en kunnen met minder bescherming af? Waar zitten de grootste risico’s? Pas als die antwoorden duidelijk zijn, praat je over middelen en bepaal je hoe je die inzet. Dat is precies het tegenovergestelde van denken vanuit maatregelen. Een robuuste beschermingsmuur is nutteloos als het Paard van Troje zonder obstakels via de stadspoort binnenrolt.

Juist door de focus op risico is dit bij uitstek een onderwerp voor finance. Een financial heeft kennis van risico’s en de beheersing daarvan en kan helpen deze risico’s in kaart te brengen. Een hulpmiddel hierbij kan de CIA-methode zijn (zie kader onder). 

Het kwantificeren van die risico’s helpt bovendien om te bepalen in welke cybermaatregelen een organisatie geld moet steken. Alles beschermen is onmogelijk. Een investering van een miljoen euro, die een potentieel risico met een schade van een paar ton dekt, is geen goed besluit. Dat is basale logica van de business, die vreemd genoeg zelden wordt toegepast binnen het cybersecuritydomein.

Hoe?

Begin door cybersecurity uit het abstracte te halen. Praat niet over data, maar over wat voor de betreffende afdeling belangrijk is. Creëer awareness door te wijzen op de impact op de business. Als mensen niet bewust zijn van wat er mis kan gaan, voelen ze ook niet de intrinsieke behoefte om problemen op te lossen. Door die bewustwording, maar ook door de verantwoordelijkheid te verplaatsen naar de business, komt een organisatie in beweging. Een verandering naar denken vanuit risico’s is de grootste slag die organisaties op dit gebied kunnen maken. 
 

Wat zijn uw belangrijkste data?

Hoe vindt u uw kroonjuwelen; uw belangrijkste en meest gevoelige data tussen al die bytes? Wat maakt data een hoog, laag of gemiddeld risico? En welke bedreigingen – van door overheden gesponsorde hackers aan het ene uiterste tot ontstemde tieners aan het andere, en daartussenin georganiseerde misdaad, ontevreden medewerkers en ‘hacktivisten’ – moeten prioriteit krijgen?

Om dat te bepalen heeft GrantThornton het CIA-model ontwikkeld. Bjorn Roskott: “Als ik het heb over informatiebeveiliging en cybersecurity, heb ik het over CIA; confidentiality, integrity, availability. Vertrouwelijkheid, integriteit en beschikbaarheid. Data kunnen gestolen worden, gewijzigd worden en niet beschikbaar gemaakt worden. Het CIA-model kan door organisaties gebruikt worden om hun data te classificeren.

Voorbeelden:

Confidentiality:
-Een farmaceut waarvan de researchdata van een nieuw medicijn op straat komen te liggen.
-Een afdeling van defensie waarvan de locatie van strategische middelen gecompromitteerd is.

Integrity:
-Een beurshandelaar waarvan de koersen, op basis waarvan strategische investeringen worden gedaan, niet betrouwbaar zijn.
-Een zorginstelling waarbij medische gegevens niet meer kloppen met verkeerde diagnoses, ingrepen en behandelingen tot gevolg.

Availability:
-Een handelsonderneming die geen inzicht heeft in zijn voorraadstanden en bestellingen.
-De luchtverkeerstoren die geen overzicht heeft van binnenkomende vluchten.


Meer lezen: Download de whitepaper "Wat is de waarde van uw data?"