CISO’s dragen bij aan de algehele strategie voor risicobeheer

Chantal 't Gilde-0026-2023

CISO’s dragen bij aan de algehele strategie voor risicobeheer   Bedrijven rekenen erop dat betrouwbare en veilige IT hun processen ondersteunt. Hoewel IT lang werd gezien als een operationele kostenpost is het inmiddels onlosmakelijk verbonden met de manier waarop bedrijven werken. “Met zoveel nadruk op technologie en zoveel te verliezen als het misgaat, is het geen verrassing dat CISO’s in de belangstelling staan van het bestuur”, zegt Chantal ’t Gilde, managing director Benelux & Nordics van Qualys.

Directies en Raden van Bestuur willen weten welke cyberrisico's de organisatie lopen, wat de potentiële zakelijke impact daarvan is en hoe ze worden beheerd of beperkt. Die antwoorden moeten van de CISO komen, stelt ’t Gilde. “En wat nog belangrijker is, nu er zoveel budget beschikbaar wordt gesteld voor IT-beveiliging, willen besturen weten welke specifieke acties er vandaag al, en niet in de toekomst, worden ondernomen om de blootstelling aan risico's te beperken.”  

Prioriteiten stellen

Met dit alles in het achterhoofd is het essentieel dat organisaties een langetermijnvisie hebben voor IT-beveiliging. “Dat is cruciaal als zij een kans willen maken om cybercriminelen voor te blijven”, zegt ‘t Gilde. “Dat CISO’s nu eindelijk de benodigde steun vanuit het management krijgen is een stap in de goede richting, maar dat moet niet het einddoel zijn. Zodra die steun is verkregen, moet de aandacht worden gericht op resultaten die in lijn zijn met de bedrijfsdoelstellingen.”

Volgens ’t Gilde begint dat met het stellen van prioriteiten. “Dis is geen sinecure, want niet alle problemen gelijk zijn voor alle organisaties. Wat voor de ene organisatie een ernstig of bedrijfskritiek risico is, is dat voor een ander bedrijf misschien helemaal niet. Bovendien veranderen bedrijfsrisico's in de loop der tijd van ernst door interne en externe factoren. Een beveiligingslek dat aanvankelijk geen reden tot zorg was, kan een ernstig bedrijfsrisico vormen als het onderdeel wordt van een geautomatiseerde aanvalsketen met andere kwetsbaarheden.”

Dat maakt het lastig om in te schatten welke inspanningen van IT-beveiligingsteams de meeste impact hebben. “Prioritering van beveiligingsvraagstukken biedt de grootste kans om cyberrisico's bij de bron aan te pakken”, zegt ‘t Gilde. “Een prioriteit kan bijvoorbeeld zijn om de configuratie-instellingen op orde te krijgen. In ons TotalCloud Security Insights 2023-rapport zien we bijvoorbeeld dat die bij veel organisaties nog te wensen over laten. Het volgen van best practices op dit gebied kan bedreigingen voorkomen. Dat vraagt weliswaar om tijd en middelen, maar het is die aandacht meer dan waard.”  

Patchmanagement

Updates en patches voor kwetsbaarheden verdienen dezelfde mate van aandacht en kunnen dus ook een prioriteit zijn. ’t Gilde: “Voor ons TruRisk Research Report voor 2023 ontdekten we dat er in twaalf maanden tijd 25.228 bekende kwetsbaarheden waren ontdekt. Dit is een enorm aantal. Toch werden slechts 93 daarvan daadwerkelijk misbruikt door malware. Zelfs kwetsbaarheden uit het verleden, waarvoor vaak al lang patches beschikbaar zijn, worden nog door cybercriminelen uitgebuit. Dat is het geval met 539 problemen uit voorgaande jaren en 118 daarvan waren zelfs meer dan drie jaar oud.”   CISO’s moeten alle gegevens over kwetsbaarheden en aanvallen samenvoegen, deze in de juiste context plaatsen en er prioriteiten aan toekennen. “Dan kunnen zij hun organisaties helpen bij het bepalen van de strategie voor beveiliging, herstel en beperking”, zegt ‘t Gilde. “Automatisering speelt daar ook een essentiële rol in. Het bestuur wil weten hoe efficiënt het team van de CISO is in het voorkomen van cyberrisico’s en automatisering draagt daar een grote steen aan bij.”  

Informatie verstrekken, waarde bewijzen

Naast patching en herstel, bij voorkeur met behulp van automatisering, moeten CISO’s ook kijken naar de manier waarop zij met de organisatie communiceren. “Het is niet genoeg om de juiste dingen te doen op het gebied van beveiliging, je moet ook aantonen dat het werk na verloop van tijd een waardevol verschil maakt”, weet ’t Gilde. “De rapportage hiervan is echter een moeilijke opgave. Als je te gedetailleerd bent, raak je je publiek kwijt of ga je onnodig op een zijspoor zitten. Te weinig, en het bestuur kan missen hoeveel moeite er wordt gedaan om de organisatie efficiënt en effectief te laten draaien. Het belangrijkste is dat de presentatie het bestuur helpt begrijpen wat hun beslissingen over risico's in de praktijk betekenen.”  

Het langetermijndoel rond risico's

Volgens ’t Gilde is het werk voor IT-beveiliging nooit klaar. “Er zullen altijd meer risico's zijn, meer kwetsbaarheden ontdekt worden en nieuwe aanvallen komen. Omdat zo veel van alle bedrijfsactiviteiten tegenwoordig afhankelijk zijn van technologie, zal IT-beveiliging een grotere rol gaan spelen op het gebied van risicobeheer om de boel draaiende te houden, ongeacht de continue dreiging van cybercriminelen. De uitdaging voor CISO's is hoe ze de doelstellingen van de organisatie op de lange termijn kunnen ondersteunen en risico's efficiënter en effectiever kunnen beheren.”

Meer over
Lees ook
T-Systems simuleert cyberaanvallen bij bedrijven

T-Systems simuleert cyberaanvallen bij bedrijven

T-Systems introduceert een cyber incident-simulatie. Met deze nieuwe managementtool kunnen bedrijven hun weerbaarheid tegen cyberaanvallen toetsen. T-Systems wil hierdoor directies bewuster maken van de impact die cybercriminaliteit heeft op de bedrijfsvoering. Security experts van T-Systems hebben de tool ontwikkeld, dat met realistische en bedri1

Grootste Europese cybersecurity-oefening ooit gaat van start

Grootste Europese cybersecurity-oefening ooit gaat van start

Europa is vandaag begonnen met haar grootste cybersecurity-oefening ooit. Ruim 200 Europese organisaties en 400 Europese security-professionals nemen deel aan Cyber Europe 2014. Cyber Europe 2014 gaat de cyberbeveiliging van Europa op de korrel nemen. De oefening bestaat uit allerlei testen en simulaties om dit te kunnen testen. Zo worden bestaand1

Nederlandse ambassade helpt Nederlandse securitybedrijven op weg in België

Nederlandse ambassade helpt Nederlandse securitybedrijven op weg in België

De Belgische markt biedt kansen voor Nederlandse leveranciers van IT-beveiligingsoplossingen. De Nederlandse ambassade in Brussel gaat daarom samen met Nederland ICT bedrijven helpen uit te breiden naar België. De ambassade organiseert een evenement om bedrijven hierbij te helpen. op Dit event worden Nederlandse leveranciers van cybersecurityprodu1