Hoe kunnen CISO’s zich beter voorbereiden op de toekomst?

  1. 30 okt 2019
  2. 0 reacties

ExtraHop

CISO’s zijn geen sergeanten maar generaals. Zij moeten niet alleen cyberaanvallen tegenhouden maar ook de oorlog winnen. Toch worden CISO’s nog vaak afgeleid door dagelijkse brandjes, in plaats van te kunnen werken aan het bedenken en plannen van de strategische visie en het beleid voor de informatiebeveiliging. Kortom, in plaats van hun organisatie voor te bereiden op de toekomst, zijn ze vaak druk met de risico’s van nu.

Om door de bomen het bos te kunnen blijven zien, zijn actuele inzichten onontbeerlijk. Allereerst is het belangrijk om te weten waar de organisatie momenteel staat. Wat is goed en wat is minder goed georganiseerd? Welke inzichten heeft u nu wel, wat zijn de blinde vlekken in de IT-infrastructuur en op welke punten is de informatie- en infrastructuur­beveiliging onvoldoende? Maar ook of u de huidige sterkten en zwaktes kunt aantonen en een verbeterplan bedenken?

Ten tweede is het noodzakelijk om het compliancy-niveau te inventariseren. De AVG (Algemene Verordening Gegevensbescherming) is kortgeleden ingevoerd en voor het voldoen daaraan zijn uitgebreide rapportages nodig. Verder bent u bij een datalek verplicht deze binnen 72 uur te melden, anders loopt u het risico een boete te krijgen die tot maximaal € 20 miljoen kan oplopen. Daarom is het verstandig vooraf te onderzoeken en te testen of u alle benodigde informatie voor zo’n melding binnen dat tijdsbestek kunt rapporteren.

Effectiviteit verbeteren

De volgende uitdaging is hoe u de effectiviteit van uw medewerkers kunt verbeteren. Is het bijvoorbeeld mogelijk om met een betere cyberhygiëne of meer gedetailleerde monitoring het securityrisico te verkleinen? Hebben uw medewerkers wel toegang tot de beschikbare data en de benodigde competenties voor het uitvoeren van hun securitytaken? Als daar tekortkomingen zijn, kunt u die dan oplossen of uw team voorzien van intelligentere datasets?

Verder is het belangrijk om routinematige werkzaamheden te identificeren die u kunt automatiseren. Met als doel uw medewerkers te ontlasten met scripts, integraties, orchestratietools, ticketing-systemen en procedure-gestuurde taakuitvoering. Tenslotte is het noodzakelijk om het managementteam en de rest van de organisatie mee te krijgen. Dat kan door belangrijke stakeholders te betrekken bij wat u gaat doen om de organisatie beter te beveiligen, wat de urgentie daarvan is en welk budget u voor de komende jaren nodig heeft.

Kennis is macht

Bovenstaande verbetermogelijkheden zijn echter niet te realiseren zonder een volledig inzicht in alle digitale communicatie van uw organisatie en de interacties daarvan met gebruikers, systemen en applicaties. Externe security-experts kunnen u daarbij helpen, met penetratietesten en het ontdekken van blinde vlekken, om de echte wereld realistischer te simuleren. Dan kunt u bijvoorbeeld ook live ervaren of het mogelijk is om een datalek te rapporteren binnen de 72-uur meldings­periode.

Medewerkers betrekken bij realistische simulaties helpt ze hun kennis, ervaring en bewustzijn voor mogelijke security-issues te vergroten. Maar ook andere afdelingen zijn nodig bij discussies daarover en het creëren van draagvlak voor de lange termijn security-plannen. Andere stakeholders betrekken bij multidisciplinaire interacties binnen de organisaties versterken tevens uw toekomstige steun voor de business cases van uit te voeren projecten.

Assessments met externe experts zijn het beste uit te voeren met intern beschikbare monitoringsystemen en geautomatiseerde analyses. Daarmee voorkomt u namelijk grote consultancy-kosten en kunt u zowel snel als effectief ingrijpen. Tevens helpen die analyses om niet-deskundigen te overtuigen. Of u nu extern of intern valideert, geautoma­tiseerde monitoring- en analysetools helpen veel bedrijven blinde vlekken en bedreigingen te ontdekken die ze anders over het hoofd zien.

Voor het ontdekken van blinde vlekken zijn nieuwe generatie Network Traffic Analysis tools nodig, die in realtime aanvallen, kwetsbaarheden en afwijkend gedrag kunnen detecteren en integreren in SOC-workflows. Elk toekomstplan moet een strategie bevatten om blinde vlekken binnen de IT-omgeving inzichtelijk te maken. Dat is bijvoorbeeld al mogelijk door meer aandacht te besteden aan het lang genegeerde interne Oost-West verkeer. Maar ook met uitgebreide analyses van de cloud services, remote sites en versleuteld verkeer.

Realtime inzicht volledige IT-omgeving

Realtime analyses van al het netwerk­verkeer leveren een beter inzicht op in de volledige IT-omgeving dan periodieke scans, inclusief een inventarisatie van alle gebruikte apparatuur. Dat helpt u te voldoen aan CIS Control 1: Inventory & Control of Hardware Assets. Ook kunt u met realtime analyses de meest kritische assets - zoals databases en werkstations van ontwikkelaars - nauwlettender monitoren op verdacht gedrag en indien nodig sneller reageren.

De mate van nauwkeurigheid waarmee u kunt monitoren beïnvloedt ook een andere uitdaging van elke CISO, namelijk het aantal loze meldingen. Een gemiddeld monitoringplatform genereert zo’n 5.000 waarschuwingen per dag, waardoor het aantal loze meldingen veel tijd kan verspillen van security-teams. Realtime monitoring levert nauwkeu­rigere, gecontextualiseerde en meer relevante analyses op. Daarmee is dus kostbare tijd te besparen en het talent, de ervaring en competenties van security-medewerkers beter te benutten.Realtime monitoringtools helpen ook kostbare externe audits te voorkomen voor het monitoren van de toegang en gebruikte encryptie. Het inzichtelijk maken van kritische accounts, API’s of gevoelige activa, is effectiever te realiseren met realtime monitoring dan met behulp van incidentele of periodieke scans. Verdacht gedrag wordt direct gedetecteerd en in quarantaine geplaatst, om een brand te blussen voordat deze zich kan verspreiden.

Strategische visie en plan

Realtime informatie maakt zowel uw blinde vlekken als prioriteiten inzichtelijker, waardoor de organisatie beter op de toekomst is voor te bereiden. Het helpt security-teams tevens sneller en effectiever actie te ondernemen voor echte bedreigingen, doordat ze minder tijd verliezen aan loze meldingen. Als u zelf minder wordt afgeleid door dagelijkse brandjes, houdt u structureel meer tijd over voor het ontwikkelen van een strategische visie en plan voor de langere termijn.

Het goed beveiligen van de informatie­voorziening voor uw organisatie vereist commitment en aansturing vanuit de top. Technische ontwikkelingen als de migratie naar hybride clouds, artificial intelligence en quantum computing kunt u niet beïnvloeden, wel de wijze waarop u zich daarop voorbereidt en mee omgaat. Tenslotte is het voor uw lange termijn succes belangrijk meer inzicht en begrip te creëren voor de wijze waarop security kan bijdragen aan het realiseren van de businessdoelstellingen.

Mike Campfield

Mike Campfield, VP of Global Security, GM of EMEA van ExtraHop