CISO’s dragen bij aan de algehele strategie voor risicobeheer

CISO’s dragen bij aan de algehele strategie voor risicobeheer   Bedrijven rekenen erop dat betrouwbare en veilige IT hun processen ondersteunt. Hoewel IT lang werd gezien als een operationele kostenpost is het inmiddels onlosmakelijk verbonden met de manier waarop bedrijven werken. “Met zoveel nadruk op technologie en zoveel te verliezen als het misgaat, is het geen verrassing dat CISO’s in de belangstelling staan van het bestuur”, zegt Chantal ’t Gilde, managing director Benelux & Nordics van Qualys.

Directies en Raden van Bestuur willen weten welke cyberrisico's de organisatie lopen, wat de potentiële zakelijke impact daarvan is en hoe ze worden beheerd of beperkt. Die antwoorden moeten van de CISO komen, stelt ’t Gilde. “En wat nog belangrijker is, nu er zoveel budget beschikbaar wordt gesteld voor IT-beveiliging, willen besturen weten welke specifieke acties er vandaag al, en niet in de toekomst, worden ondernomen om de blootstelling aan risico's te beperken.”  

Prioriteiten stellen

Met dit alles in het achterhoofd is het essentieel dat organisaties een langetermijnvisie hebben voor IT-beveiliging. “Dat is cruciaal als zij een kans willen maken om cybercriminelen voor te blijven”, zegt ‘t Gilde. “Dat CISO’s nu eindelijk de benodigde steun vanuit het management krijgen is een stap in de goede richting, maar dat moet niet het einddoel zijn. Zodra die steun is verkregen, moet de aandacht worden gericht op resultaten die in lijn zijn met de bedrijfsdoelstellingen.”

Volgens ’t Gilde begint dat met het stellen van prioriteiten. “Dis is geen sinecure, want niet alle problemen gelijk zijn voor alle organisaties. Wat voor de ene organisatie een ernstig of bedrijfskritiek risico is, is dat voor een ander bedrijf misschien helemaal niet. Bovendien veranderen bedrijfsrisico's in de loop der tijd van ernst door interne en externe factoren. Een beveiligingslek dat aanvankelijk geen reden tot zorg was, kan een ernstig bedrijfsrisico vormen als het onderdeel wordt van een geautomatiseerde aanvalsketen met andere kwetsbaarheden.”

Dat maakt het lastig om in te schatten welke inspanningen van IT-beveiligingsteams de meeste impact hebben. “Prioritering van beveiligingsvraagstukken biedt de grootste kans om cyberrisico's bij de bron aan te pakken”, zegt ‘t Gilde. “Een prioriteit kan bijvoorbeeld zijn om de configuratie-instellingen op orde te krijgen. In ons TotalCloud Security Insights 2023-rapport zien we bijvoorbeeld dat die bij veel organisaties nog te wensen over laten. Het volgen van best practices op dit gebied kan bedreigingen voorkomen. Dat vraagt weliswaar om tijd en middelen, maar het is die aandacht meer dan waard.”  

Patchmanagement

Updates en patches voor kwetsbaarheden verdienen dezelfde mate van aandacht en kunnen dus ook een prioriteit zijn. ’t Gilde: “Voor ons TruRisk Research Report voor 2023 ontdekten we dat er in twaalf maanden tijd 25.228 bekende kwetsbaarheden waren ontdekt. Dit is een enorm aantal. Toch werden slechts 93 daarvan daadwerkelijk misbruikt door malware. Zelfs kwetsbaarheden uit het verleden, waarvoor vaak al lang patches beschikbaar zijn, worden nog door cybercriminelen uitgebuit. Dat is het geval met 539 problemen uit voorgaande jaren en 118 daarvan waren zelfs meer dan drie jaar oud.”   CISO’s moeten alle gegevens over kwetsbaarheden en aanvallen samenvoegen, deze in de juiste context plaatsen en er prioriteiten aan toekennen. “Dan kunnen zij hun organisaties helpen bij het bepalen van de strategie voor beveiliging, herstel en beperking”, zegt ‘t Gilde. “Automatisering speelt daar ook een essentiële rol in. Het bestuur wil weten hoe efficiënt het team van de CISO is in het voorkomen van cyberrisico’s en automatisering draagt daar een grote steen aan bij.”  

Informatie verstrekken, waarde bewijzen

Naast patching en herstel, bij voorkeur met behulp van automatisering, moeten CISO’s ook kijken naar de manier waarop zij met de organisatie communiceren. “Het is niet genoeg om de juiste dingen te doen op het gebied van beveiliging, je moet ook aantonen dat het werk na verloop van tijd een waardevol verschil maakt”, weet ’t Gilde. “De rapportage hiervan is echter een moeilijke opgave. Als je te gedetailleerd bent, raak je je publiek kwijt of ga je onnodig op een zijspoor zitten. Te weinig, en het bestuur kan missen hoeveel moeite er wordt gedaan om de organisatie efficiënt en effectief te laten draaien. Het belangrijkste is dat de presentatie het bestuur helpt begrijpen wat hun beslissingen over risico's in de praktijk betekenen.”  

Het langetermijndoel rond risico's

Volgens ’t Gilde is het werk voor IT-beveiliging nooit klaar. “Er zullen altijd meer risico's zijn, meer kwetsbaarheden ontdekt worden en nieuwe aanvallen komen. Omdat zo veel van alle bedrijfsactiviteiten tegenwoordig afhankelijk zijn van technologie, zal IT-beveiliging een grotere rol gaan spelen op het gebied van risicobeheer om de boel draaiende te houden, ongeacht de continue dreiging van cybercriminelen. De uitdaging voor CISO's is hoe ze de doelstellingen van de organisatie op de lange termijn kunnen ondersteunen en risico's efficiënter en effectiever kunnen beheren.”