Brandpreventie is in iedere organisatie ingeburgerd. Bedrijven weten wat ze moeten doen om de schade na een brand in te dammen. Helaas zijn ze minder alert wanneer het gaat over digitale bedreigingen die een veel grotere impact hebben dan fysieke incidenten zoals een brand. Veel bedrijven staken jarenlang hun kop in het zand, zich niet bewust (willen) zijn van de potentiële gevolgen van een ransomware-aanval.
De globale impact van ransomware is vaak veel groter dan de financiële som die organisaties betalen om de sleutel naar hun data terug in handen te krijgen. De grootste kosten zitten in het heropstarten van alle processen en in het terugwinnen van het vertrouwen van mensen. Enerzijds bij medewerkers die zich na een incident vaak schuldig voelen of elkaar met de vinger wijzen – het psychologische aspect van een cyberaanval wordt meestal onderschat -. Anderzijds ook bij partners en klanten die hun vertrouwen in het getroffen bedrijf verliezen.
In de praktijk zien we dat de impact minder groot is wanneer organisaties eerlijk communiceren over een aanval en uitleggen wat ze doen om de ‘brand’ te bestrijden. Ze gaan van complete chaos (niet weten waar ze mee bezig zijn) naar gecontroleerde chaos. Dit is enkel mogelijk voor bedrijven met een zekere maturiteit op het gebied van cyber weerbaarheid en bijgevolg klaar om te reageren na een cyberaanval. Want dat die aanval er komt, is een zekerheid. De twee vragen die resten zijn ‘Wanneer?’ en, in het slechtste geval, ‘Hoe vaak?’.
Van bescherming naar cyberweerbaarheid
In het verleden lag de IT focus in bedrijven voornamelijk op cyberbescherming. Hoe bescherm je de assets in je organisatie? Bescherming is een belangrijk onderdeel van de volgende stap die ieder bedrijf vandaag op z’n minst moet nastreven: cyberweerbaar zijn. Net zoals een brandverzekering ervoor zorgt dat je organisatie er na een brand niet alleen voor staat, is het ook in cybersecurity belangrijk om de juiste mensen en processen in te schakelen, zodat je de schade van een incident beperkt. Helaas zien we nog al te vaak dat de volledige verantwoordelijkheid in de schuif van één persoon belandt: de CISO.
In een bedrijf dat niet cyberweerbaar is, kan de job van zo’n CISO behoorlijk stresserend zijn. Het hoeft dus niet te verwonderen dat we steeds meer burn-outs zien opduiken bij securityexperts. Terwijl een CEO ervoor zorgt dat een bedrijf over de juiste strategie en visie beschikt om de business te laten draaien, moet de CISO garanderen dat de organisatie veilig kan opereren in een digitale wereld. Maar waar die CEO zich laat omringen door mensen met elk hun eigen expertise, zou voor de CISO eigenlijk hetzelfde principe moeten gelden. Een CISO moet in de eerste plaats richting geven en ervoor zorgen dat de basis aanwezig is om cyberweerbaar te zijn.
Het takenpakket van een CISO
Hoe verhoog je dan de cyberweerbaarheid van je organisatie? In de eerste plaats moet security een verantwoordelijkheid zijn van iedere medewerker in het bedrijf. Bewustzijn creëren is daarom een van de kerntaken van een CISO, zodat elke collega in om het even welke business afdeling deel uitmaakt van het algehele securityteam. Daarvoor is uiteraard ook training nodig. Wat als je op een verkeerde link klikt? Wat moet je doen om een grotere brand te vermijden? En wie moet je verwittigen om het vuur te blussen? Zodra mensen een situatie herkennen, zullen ze veel meer geneigd zijn tot actie.
Daarnaast moet de CISO ook zorgen voor een ‘incident response plan’. Dat plan maakt duidelijk welke processen voor de business belangrijk zijn en na een aanval dus eerst moeten worden heropgestart. Om die reden is het essentieel dat een CISO niet uit een operationele omgeving komt, maar ook kennis heeft van strategische factoren. Hij/zij moet kunnen meepraten over de koers die de organisatie wil varen, over wat ervoor nodig is om die doelen te bereiken en welke dreigingen deze in de weg staan. Vervolgens vertaalt de CISO alles naar de mensen en tools die hiervoor nodig zijn. En tot slot draagt de CISO de uitvoering over aan een operationeel team.
Een goede CISO speelt dus een sleutelrol, maar verdeelt het werk over verschillende mensen. Als zich dan toch een incident voordoet, is het natuurlijk wel cruciaal dat één persoon de touwtjes in handen krijgt. Meestal is dat een crisismanager. Hij hakt de moeilijke knopen door. Om geen tijd te verliezen, implementeert de CISO ook dat vooraf in het incident response plan.
Leren uit het verleden
Tot slot is cyber weerbaarheid een groeipad dat je als organisatie bewandelt. Onder meer door de boodschap voldoende te herhalen, maar ook door na een incident de tijd te nemen grondig te evalueren wat er gebeurd is en hoe het is kunnen gebeuren. Weerbaarheid is meer dan enkel de veerkracht om snel rechtop te springen na een aanval. Het is ook de veerkracht om een sprong voorwaarts te maken en te leren uit het verleden, zodat je organisatie een steeds hogere maturiteit bereikt op het gebied van cybersecurity.
Moraal van het verhaal: processen en technologie zijn belangrijk, maar in een cyberweerbare organisatie blijft de mens altijd centraal staan. Vergelijk het met AI: die technologie kan in principe alles doen, maar enkel mensen zorgen ervoor dat AI doet wat het moet doen. En net als bij AI mag ook cybersecurity geen verantwoordelijkheid zijn die in de schoenen van één persoon belandt. Het moet een opdracht zijn die door security, IT teams en bij uitbreiding de hele organisatie gedragen wordt. Hoe beter je daarin slaagt, des te hoger de cyberweerbaarheid van je bedrijf en des te lager het risico op stress en burn-out bij de CISO en andere (security)medewerkers.
Dit is een ingezonden bijdrage van Edwin Weijdema, Field CTO EMEA & Lead Cybersecurity Technologist bij Veeam Software. Tijdens Cybersec Europe 2024, 29 en 30 mei as., spreekt hij over “Calculated risks: Where probability and luck collide in cybersecurity.”