Door reactief te handelen, lopen beveiligingsexperts nu vooral achter de feiten aan. Beveiligingsfirma WithSecure pleit voor een nieuwe benadering waarbij het resultaat het proces bepaalt. Moet jouw bedrijf ook inzetten op resultaatgerichte beveiliging?
Christine Bejerasco trapt tijdens een online keynote meteen een open deur in: “Het cybersecuritylandschap is vandaag de dag complexer dan ooit.” Het punt dat de CISO van WithSecure, de B2B-afsplitsing van F-Secure, wil maken is dat we over zo veel technologieën beschikken, dat het bijna onbegonnen werk is die nog allemaal veilig te houden. Kijk alleen al maar naar communicatie: we videobellen met Teams of Zoom, chatten met collega’s via Slack, sturen berichten met WhatsApp, en voor de ‘digitale dinosaurussen’ is er nog de klassieke e-mail en sms.
Elk stukje technologie is een potentiële toegangspoort voor cybercriminelen. Beveiligingsexperten staan dan ook onder permanente druk om hun werkgevers en collega’s veilig te houden. Volgens WithSecure is het broodnodig om de huidige werkwijze van cybersecurity in vraag te stellen. De oplossing voor de complexe beveiligingspuzzel ligt bij ‘outcome based security’, vrij vertaald naar resultaatgerichte beveiliging.
Brandweerlui
De rol van de hedendaagse beveiligingsexpert is te vergelijken met een brandweerman, illustreert Bejerasco. Hij of zij staat in permanente stand-by-modus om zo snel mogelijk uit te rukken als er ergens in de IT-omgeving van de organisatie een digitaal brandje uitbreekt. Die werkwijze botst stilaan op zijn limiet: het aantal beveiligingsrisico’s waar de doorsnee organisatie mee te maken krijgt is zodanig uit de pan geswingd dat het haast onmogelijk is om overal op tijd bij te zijn. Met als gevolg dat het aantal cyberaanvallen jaar op jaar aan het toenemen is.
Niets dat je argument meer kracht bij zet dan een studie door een erkend onderzoeksinstituut en dus zette WithSecure Forrester aan het werk. De resultaten van dat onderzoek maakte de beveiligingsexpert onlangs bekend. Uit een rondvraag bij meer dan 400 bedrijven uit acht landen, België en Nederland waren geen onderdeel van die steekproef, blijkt dat zes op de tien bedrijven reactief te werk gaat met cybersecurity.
Ongeacht de sector vindt de overgrote meerderheid van de respondenten dat de reactieve aanpak problematisch is voor hun organisaties. Negentig procent van hen zei te worstelen met uitdagingen wanneer zij alleen maar reageren op cyberbeveiligingsproblemen. Het grootste probleem met die reactieve aanpak is onvoldoende zichtbaarheid op de risico’s, ook een tekort aan personeel en vaardigheden om snel en adequaat te reageren is een schoentje dat hoe langer hoe meer knelt.
Beveiligingsexperten zijn als brandweermannen. Ze moeten permanent stand-by staan om uit te rukken als er ergens een brand uitbreekt.
Christina Bejerasco, CISO WithSecure
Van reageren naar strategisch denken
De cybersecuritywereld heeft natuurlijk niet stil gezeten en zoekt voortdurend naar strategieën om die toenemende complexiteit de baas te kunnen. De voorbije jaren hebben we dan ook verschillende benaderingen de kop zien opsteken. Threat management ging over in asset management, waarbij apparaten centraal staan in de beveiliging, en risk management, dat stelt dat ernstige gevaren prioriteit moeten krijgen om de beschikbare middelen zo efficiënt mogelijk in te zetten.
Hoewel elk van deze visies beweert baanbrekend te zijn, kan beveiliging enkel effectief zijn als beveiligingsteams en het C-level de neuzen in dezelfde richting hebben staan. Laat de studie van WithSecure nu net aan het licht brengen dat dat eerder de uitzondering dan de regel is. Slechts één op de vijf organisaties beweerde dat de prioriteiten op het gebied van cyberbeveiliging en de bedrijfsresultaten volledig op elkaar waren afgestemd. Met als gevolg dat zeven op de tien jaarlijks de investeringen in beveiliging verhoogt zonder daar de vruchten van te plukken.
Resultaatgerichte beveiliging is de volgende stap in die evolutie, meent WithSecure. Bejerasco verduidelijkt tijdens de persconferentie dat het bedrijf niet het warm water opnieuw wil uitvinden of alle voorgaande benaderingen overboord gooit. De achterliggende gedachte is dat cybersecurity een fundamenteel onderdeel wordt van de bedrijfsstrategie.
Die aanpak moet bedrijfsleiders in staat stellen cybersecurity te vereenvoudigen door alleen die mogelijkheden te benutten die meetbaar de gewenste resultaten opleveren. Dat moet een positief effect hebben op de weerbaarheid, het concurrentievermogen en de productiviteit van de organisatie. Tot zover het marketingpraatje van WithSecure.
“Deze visie is eigenlijk een erkenning dat de cybersecuritymarkt faalt om de veiligheid van bedrijven te garanderen”, zegt Paul Brucciani. “Er zijn vandaag honderden bedrijven die beveiligingsoplossingen verkopen. Klanten hebben nauwelijks informatie ter beschikking om de kwaliteit van die oplossingen te vergelijken. Het hoofddoel van veel securityleveranciers is om producten snel op de markt te brengen, en niet noodzakelijk de beveiliging van wie het product koopt.”
In zes stappen naar een resultaatgerichte aanpak
Op papier klinkt dat logisch, en elke bedrijfsleider zal beweren dat hij/zij altijd resultaatgericht denkt. Waarom vindt dit gedachtegoed dan nu pas zijn weg naar de cybersecurity? Er zijn tal van obstakels die de inspanningen om cyberbeveiliging af te stemmen op bedrijfsresultaten bemoeilijken, blijkt eveneens uit het onderzoek.
We geven een opsomming van enkele problemen die de studie aan de oppervlakte brengt. 42 procent gaf aan onvoldoende inzicht te hebben in de huidige en beoogde maturiteit waaraan de beveiligingswaarde moet worden getoetst, 37 procent heeft moeite met het meten van de maturiteit. Ook het vertalen van cyberbeveiligingscijfers naar relevante inzichten voor de hele organisatie blijkt een lastige horde te zijn.
De implementatie van een resultaatgerichte beveiligingsstrategie verloopt in zes stappen. Brucciani: “Eerst en vooral moet je weten waar je de organisatie tegen moet verdedigen; het is onbegonnen werk om jezelf tegen elk potentieel risico te beschermen. Van daaruit kan je een strategie gaan bepalen en duidelijke parameters opstellen om die aan te toetsen. Dan kan je bekijken welke oplossingen in die strategie passen. Met die kennis kan je de contracten met je beveiligingsleveranciers herbekijken en overtollige technologieën wegwerken. Tenslotte is het van belang om te meten of je je doelstellingen haalt, en hierover te rapporteren.”
De cybersecurity-industrie faalt om de veiligheid van bedrijven te garanderen. Er zijn honderden bedrijven die oplossingen verkopen. Klanten hebben nauwelijks informatie ter beschikking om de kwaliteit te vergelijken.
Paul Brucciani, Head of Product Marketing WithSecure
In de spiegel kijken
De vraag naar een meer resultaatgerichte aanpak zal alle spelers uit de beveiligingsindustrie verplichten om in de spiegel te kijken, gaat Brucciani verder. “Dit is de kans om de securitymarkt eerlijker te maken. Een studie uit 2020 maakte al duidelijk dat klanten nood hebben aan meer duidelijkheid. Het maakt klanten niet uit hoe je hen beschermt, zolang je het maar doet. Beveiliging zou niet moeten draaien rond producten of diensten, maar om het halen van resultaten.”
Het aanbod op de cybersecuritymarkt zal er over enkele jaren dus helemaal anders uit kunnen zien. Daar is Brucciani rotsvast van overtuigd: “Uit ons onderzoek blijkt dat bedrijven bereid zijn om tot zes procent of meer van hun operationele winst te besteden aan cybersecurity als dit hen de gewenste resultaten oplevert. Klanten willen resultaten kopen, geen producten. Beveiligingsleveranciers zullen hun producten hierop moeten afstemmen. Nieuwe regelgeving komt eraan die de aansprakelijkheid voor cyberbeveiligingsfouten veel meer bij de leverancier zal leggen.”
De visie van WithSecure klinkt zeer relevant in het kader van de Europese Cyber Resilience Act. Die legt hogere standaarden op voor leveranciers van hardware en software en verplicht hen ook om onafhankelijke veiligheidstests te laten uitvoeren en hier ook transparant over te communiceren. Mogelijk beukt Europa zo mee de poort open naar een nieuw tijdperk voor cybersecurity, waar technologie in dienst staat van het resultaat en niet omgekeerd.