Het risico van het meten van risico
Geautomatiseerde meting van de effectiviteit van controles is conceptueel een uitstekend idee. Wanneer je controlgaten combineert met relevante dreigingsinformatie, krijg je een helder beeld van de daadwerkelijke technische cyberrisico’s waarmee je organisatie te maken heeft. Als het goed wordt uitgevoerd, biedt het een end-to-end overzicht van wat er binnen je organisatie gebeurt.
Helaas kunnen organisaties niet met zekerheid zeggen dat hun controles overal zijn ingezet waar dat verwacht wordt. Zoals je weet, is hopen geen strategie. In veel organisaties zijn de inventarisaties van assets en diensten (en ook API’s) niet volledig of actueel. Bruikbare inventarissen vereisen continue triangulatie en afstemming tussen diverse databronnen om te waarborgen dat organisaties een accurate en volledige controle-effectiviteit hebben.
De weg naar risicobeperking: meten van de dekking van beveiligingscontroles
Daarom heeft het meten van risico’s en het vertrouwen op de resultaten alleen zin als je een goed inzicht hebt in de dekking van je beveiligingscontroles. Anders neem je beslissingen op basis van foutieve risicoinformatie. De dekking van beveiligingscontroles laat zien hoe breed je controles zijn ingezet binnen je omgeving. Dit inzicht is essentieel voor het succes van je totale cyberrisicomeetprogramma.
De enige manier om echt vertrouwen te hebben in je totale beveiligingsprogramma is niet alleen de operationele effectiviteit van je controles te meten, maar ook de dekking ervan. Als security professional wil en moet ik weten waar ik beveiligingsgaten heb. Het zijn juist de dingen waarvan je niet op de hoogte bent die je in de problemen brengen.
Compromitteringen vinden doorgaans plaats bij het ontbreken van een controle, of wanneer een controle faalt. We leven allemaal in een zeer dynamische wereld en de voortdurende digitale transformatie blijft de status quo verstoren. Deze veranderingen kunnen ook je controles beïnvloeden; sommige worden niet uitgerold, sommige worden verwijderd, of sommige falen. Elke beveiligingsorganisatie moet deze tekortkomingen zo snel mogelijk kunnen vastleggen.
“Als security professional wil en moet ik weten waar ik beveiligingsgaten heb. Het zijn juist de dingen waarvan je niet op de hoogte bent die je in de problemen brengen.”
Een goed inzicht in de dekking van controles kan nog meer waarde opleveren. De dekking van controles is een essentieel datapunt bij risicokwantificatie. Methodologieën zoals FAIR (Factual Analysis of Information Risk) en CyberVaR (Cyber Value at Risk) stellen organisaties in staat risico’s te kwantificeren.
CyberVaR is met name sterk datagedreven. Het kijkt naar een breed scala aan aspecten van beveiliging, risico’s en controles, waaronder het externe dreigingslandschap, interne gebeurtenissen, dreigingsscenario’s, beveiligingscapaciteiten, dekking van beveiligingscontroles en je totale beveiligingsstatus. Het brengt al deze factoren samen om een beeld te geven van het totale restrisico dat vervolgens kan worden gekwantificeerd tot een waarde die betekenisvol is voor het bedrijf.
Om een hoog vertrouwen te hebben in je totale beveiligingsstatus, moet je weten:
- dat je controles effectief werken, en
- dat je 100% dekking hebt, zoals gedefinieerd in je beleid.
Je moet begrijpen waar je beveiligingsgaten zitten om deze te kunnen aanpakken en herstellen. Als je niet weet waar de gaten zitten, is dat precies waar de compromitteringen waarschijnlijk zullen plaatsvinden.
Jouw sleutel tot succes: automatisering
De route naar succes is hier automatisering. Wanneer een proces geautomatiseerd is, krijg je keer op keer nauwkeurige resultaten. Je hoeft niet te twijfelen aan de data of de geldigheid van de uitkomsten.
Automatisering stelt je ook in staat je operationele kosten te verlagen. Of je het nu wilt of niet, elke beveiligingsfunctie moet manieren vinden om de operationele kosten te verminderen en de productiviteit te maximaliseren. Door niet alleen de dekking van je controles, maar al je beveiligingsmetingen te automatiseren, verlaag je je operationele kosten en schaal je sneller op.
Branche-benchmarkstudies tonen aan dat securityteams vaak 36% van hun tijd besteden aan rapportages. Door dit proces te automatiseren kunnen beveiligingsmedewerkers zich meer richten op daadwerkelijke beveiliging in plaats van op rapporteren.
“Door niet alleen de dekking van je controles, maar al je beveiligingsmetingen te automatiseren, verlaag je je operationele kosten en schaal je sneller op.”
Als automatisering geen optie is, ben je genoodzaakt om handmatig kwaliteitsmetingen van de dekking van controles te maken. Je zult elk hulpmiddel afzonderlijk moeten raadplegen, alle data moeten verzamelen, vervolgens opschonen, samenvoegen, normaliseren, verwijderen van duplicaten en alle gescheiden data correleren. En tegen de tijd dat je dat allemaal hebt gedaan en klaar bent om de data te gebruiken, is deze mogelijk al verouderd. Hierdoor ontstaan er vragen over de integriteit van de data en verwateren discussies over risicobeperking.
Vergeet niet je controles te communiceren
Er zijn diverse stakeholders binnen een organisatie die je beveiligingsmetingen moeten zien, tot aan het bestuursniveau. Dit geldt in het bijzonder voor de dekking van je controles.
De primaire doelgroep zijn de controle-eigenaren, of ze nu binnen de beveiligingsfunctie, het infrastructuurteam, applicatieontwikkeling of het frontlinieteam zitten. Het is belangrijk dat de controle-eigenaar inzicht heeft in de dekking van de controles en weet hoe deze presteren, zodat eventuele tekortkomingen of risico’s kunnen worden aangepakt. Dit is vooral belangrijk voor het frontlinieteam, omdat zij verantwoordelijk zijn voor risicobeheer en actie moeten ondernemen bij eventuele gaten.
Andere belangrijke stakeholders zijn mensen binnen compliance, audit en regelgevende functies. Deze belanghebbenden moeten kunnen vertrouwen op de controlegegevens om weloverwogen beslissingen te nemen, naleving van beleid te meten en eventuele gaten of risico’s in die omgeving te identificeren. Met volledige en accurate data kunnen deze mensen risicogestuurde gesprekken voeren en waar nodig actie ondernemen.
Tot slot komt er een terugkerend thema naar voren: vertrouwen in de data. Wanneer iedereen dezelfde dataset gebruikt, begrijpen we waar en hoe deze is verkregen en hebben we veel vertrouwen in de nauwkeurigheid ervan omdat het geautomatiseerd is. Als iedereen dezelfde data gebruikt en erop vertrouwt, gaan discussies over risico en de juiste afwegingen en prioriteiten, niet over de juistheid van de rapportage.
Veelgestelde vragen
Risicobeheer cyberbeveiliging is een strategische aanpak die organisaties gebruiken om potentiële bedreigingen voor hun digitale bezittingen te identificeren, beoordelen en prioriteren, zoals hardware, systemen, klantgegevens en intellectueel eigendom. Het omvat het uitvoeren van een risicobeoordeling om de belangrijkste bedreigingen te identificeren en een plan op te stellen om deze aan te pakken, wat preventieve maatregelen kan omvatten zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe dreigingen en veranderingen binnen de organisatie. Het uiteindelijke doel van Risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waardoor het een cruciaal onderdeel is van de algemene risicobeheerstrategie van elke organisatie.
De belangrijkste onderdelen van een Risicobeheer cyberbeveiligingsprogramma zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cyberbeveiligingsbeleid, het implementeren van beveiligingscontroles en het uitvoeren van regelmatige audits en evaluaties.
Organisaties kunnen cyberbeveiligingsrisico’s beperken via diverse strategieën. Denk aan het implementeren van sterke toegangscontroles zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het trainen van medewerkers om potentiële dreigingen te herkennen. Het gebruik van beveiligingssoftware, zoals antivirus- en anti-malwareprogramma’s, helpt bij het detecteren en elimineren van bedreigingen, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Een incident response plan minimaliseert de schade tijdens een cyberincident en regelmatige risicobeoordelingen helpen kwetsbaarheden te identificeren en aan te pakken. Tot slot kan naleving van industriestandaarden en regelgeving, zoals de Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST) standaarden, organisaties verder helpen bij het beperken van cyberbeveiligingsrisico’s.
Een risicobeoordeling is een cruciaal onderdeel van Risicobeheer cyberbeveiliging. Het omvat het identificeren van potentiële bedreigingen en kwetsbaarheden, het beoordelen van de potentiële impact en waarschijnlijkheid van deze risico’s, en het prioriteren ervan op basis van hun ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.
Continue monitoring is een essentieel onderdeel van Risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt onmiddellijke dreigingsdetectie en respons mogelijk, waardoor schade kan worden voorkomen of beperkt. Het waarborgt ook naleving van cyberbeveiligingsnormen en regelgeving, zodat organisaties snel eventuele non-conformiteit kunnen aanpakken. Door systeemprestaties te volgen, helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data besluitvorming ondersteunt over resource-allocatie, risicobeheerstrategieën en beveiligingscontroles.