Hoe continuïteit en veiligheid verbindt op C-Level

"Hoe manage jij als CEO de bedrijfs continuiteit?"

Het managen van de verwachtingen binnen een organisatie is een gigantische taak die vandaag de dag de gelijkenis kent met een act in "Circus Du Soleil". Als CEO ben je continu bezig met de organisatie te richten en te sturen, daar je tegelijkertijd ook bezig bent met het vinden van efficiënte manieren en middelen om de veiligheid in de hele organisatie te waarborgen.

Als leidinggevende is het daarom uitermate belangrijk om actief deel te nemen bij het samenstellen van de bedrijfs-beveiligingsstrategie. Vanuit je rol dien je namelijk duiding te geven over de risicobereidheid van de organisatie om daarop de juiste keuzes te maken mede ten aanzien van de investeringen. Daarbij is het belangrijk dat je de huidige en bestaande risico’s begrijpt maar ook de trends, juist om de initiatieven beter af te stemmen en prioriteren.

"Beheren we risico's volgens ons risicoprofiel?"

Het bedrijfsrisico profiel is dynamisch en onderhevig aan verandering je ontwikkeld je immers als bedrijf en daaromheen natuurlijk ook de wereld. Je dient hierbij rekening te houden met het beoordelen van hoe de verschillende cyberbeveiligingsinitiatieven en -projecten daadwerkelijk het risico en aanvalsoppervlak verkleinen voor de organisatie. Je informatie- en technologie- gebaseerde risicobeheer stem je daarmee af op het algemeen bedrijfsrisico profiel.

Als CEO wil je dat alle gerelateerde programma’s en initiatieven gebaseerd zijn op een bedrijfsgericht model, dat effectiviteit en bekwaamheid demonstreert. Waarin progressie de groei naar een volwassen risicobeheer vertoond, en daarmee gezien wordt als investering en niet koud als kosten.

Door het totale bedrijfsrisico te begrijpen dat aan een cyberaanval is verbonden ben je als CEO beter in staat om de totale kosten van een mogelijke inbreuk te overzien. Alles, van een verstoring van het bedrijf of het verlies van klanten tot de daaruit voortvloeiende juridische kosten en herstel, kan de zorgen dat de rekening sneller oploopt dan je, je wellicht nu kan beseffen

Als CEO vraag je, je wellicht ook af wanneer er een eind komt aan het spenderen van geld, aan zaken die op het eerste oog niet bijdragen aan de directe bedrijfsdoelstellingen.  Neem berusting in het feit dat de hiermee gepaard gaande investeringen nagenoeg parallel lopen aan de door de organisaties gestelde ambities.

"In de toekomst lopen we geen risico meer, tenzij we de stekker uit het internet halen.”

Door het gebruiken van een raamwerk, kan je als CEO snel en overzichtelijk een beeld vormen en zien waar de hiaten zitten. Bijvoorbeeld; "We zijn erg goed in toegangscontrole of identiteitsbeheer, maar we hebben een aantal grote hiaten in endpoint-apparaten die we nog niet hebben aangepakt. Daar zijn we (erg) onvolwassen in en we moeten dat blijven aanpakken."

Op deze manier krijg je niet alleen grip op je beveiligingsvolwassenheid, maar wordt het ook transparant waar de focus dient te liggen en wordt het een verantwoorde investering, die ook meetbaar wordt. Hiermee zal je meer op je gemak zijn omdat je daadwerkelijk ziet waar het geld naartoe gaat en dus ook begrijpen waarom het daar naartoe gaat. Stel je daarom als eindverantwoordelijke een duidelijke maatstaf voor wat betreft de beveiligingsprestaties voor het bedrijf.

1.      De eerste factor betreft productiviteit: “Goede beveiligingsoplossingen verhogen de productiviteit en verhogen tegelijkertijd ook het beveiligingsvolwassenheid niveau.”

2.      De tweede factor betreft herstelcapaciteiten: Elke organisatie krijgt te maken met een soort computerbeveiligingsincident. Er zijn geen uitzonderingen. De hersteltijd voor deze beveiligingsincidenten is sterk afhankelijk van de genomen beveiligingsmaatregelen, de partner of een andere externe kracht. Goed geïntegreerde, goed geoperationaliseerde organisaties herstellen snel, niet alleen vanuit een productiviteitsperspectief maar ook vanuit algeheel bedrijfsperspectief.

Is dit echt de investering waard?

Als CEO wil je graag zien dat er meerdere opties worden uitgewerkt ten aanzien van een investering, en kijk hierin niet alleen naar de daadwerkelijke totale kosten van een oplossing zoals; "initiële aanschaf, bijkomende investeringen, implementatie tijd, benodigde kennis, beheer intensiviteit etc". Weeg parallel hierin mee wat de kosten zijn van een daadwerkelijke inbreuk als een kwetsbaarheid wordt misbruikt.

Neem daarbij ook in ogenschouw wat de impact is op de zakelijke keten waar u zich in begeeft. Dit laatste wordt nogal eens onderschat, maar biedt meer mogelijkheden en kansen, dan je op het oog zou vermoeden. Versterk samen met je directe partners de totale keten en deel hierin de mogelijke investering.

“Als er zich een beveiligingsincident voordoet, wat moet ik dan doen?”

Zorg dat je als CEO een intern team samenstelt dat weet wat het moet doen als een incident zich voordoet.  Stel uit verschillende operationele groepen binnen je organisatie een team samen, waaronder medewerkers van de IT-afdeling, personeelszaken, juridische zaken en public relations. Deze personen kunnen verantwoordelijk zijn voor de eerste triage, het vaststellen van streefdoelen, het personeel, communicatie en het bereiken van de doelen.

Een deel van de moeilijkheid om op een veiligheidsincident te reageren, is het ontbreken van een duidelijk gedefinieerd en beschikbare procedure. Het team moet begrijpen hoe de meeste incidenten plaatsvinden en waar de storingen doorgaans optreden, dit kan dan een rol spelen bij het ontwikkelen van een processtroom met de bijbehorende documentatie.

De algemene theorie om simpelweg de stekker uit het stopcontact te halen en het dan over te dragen aan het forensisch team, is er een die direct is af te raden. Hierdoor gaan vaak alle bruikbare gegevens verloren die absoluut cruciaal zijn om goed te kunnen reageren op incidenten en daarmee het herstel.

“Is er een inventaris van alle IT-middelen?”

Wat heb je nu echt aan IT-middelen binnen je organisatie, is een vraag waar menig IT-manager en laat staan CEO naar moet gissen. De hoofd applicaties en IT-middelen zoals Exchange, Adobe, ERP of CRM staan wel op het netvlies, maar vergen al gigantisch veel tijd qua beheer. Het updaten en het doorvoeren van zogeheten patches van de kern applicaties is een ware dagtaak met een hoge prioriteit. Want juist in het intensieve gebruik, schuilt het gevaar dat een kwaadwillende zonder pardon weet te misbruiken. De gemiddelde tijd dat een organisatie nodig heeft om een kwetsbaarheid in de software te dichten is 67 dagen, en dat is voldoende tijd voor iemand met verkeerde bedoelingen om misbruik van te maken. De kwetsbaarheden worden door een cybercrimineel op vernuftige wijze opgespoord via het internet. Dus ze zijn niet op zoek naar jou, maar naar je kwetsbaarheid! Zorg dus dat er systemen beschikbaar zijn binnen je organisatie of via derden die continu zoeken naar deze kwetsbaarheden en deze zichtbaar maken. Zodat je deze snel en adequaat kan adresseren en het misbruik ervan minimaliseert.

Dus van de directiekamer tot aan de keukentafel wees als CEO of iedere andere eindverantwoordelijke binnen een organisatie, betrokken, ondersteunend maar vooral niet blind. Betrek je interne en externe sleutelfiguren op strategisch, tactisch maar ook op operationeel niveau bij het in kaart brengen en bewaken van de risico’s. Ja, bepaal als CEO budgetten gebaseerd vanuit holistisch perspectief en gedegen inzicht.

"Besef Security doe je er vandaag de dag niet zomaar even bij!"

Geschreven door Rik Schoonis | Country Manager Benelux | Heimdal Security