De vraag of we veilig zijn, slaat iedere chief information security officer om het hart. Waarna meestal de reactie volgt dat het een gecompliceerde vraag betreft. Dat het ingewikkeld is, is omdat beveiliging nooit echt klaar is.
Voor softwareontwikkelaars is het antwoord op genoemde vraag ingewikkeld, omdat je moet definiëren wat ‘klaar’ betekent. Voor beveiliging is het zelfs zo dat als je een grens vaststelt die aangeeft wanneer de beveiliging ‘klaar’ is, dat die grens blijft bewegen omdat hackers altijd nieuwe manieren bedenken om in te breken en waarop moet worden gereageerd. Voor de meeste securityexperts grenst ‘klaar’ aan een vals gevoel van (gevaarlijke) veiligheid.
Hoe, met dit in je achterhoofd, reageer je dan op de vraag of we veilig zijn? Waarbij je niet de indruk wilt wekken dat je er nog nooit over hebt nagedacht.
Proces
De meeste topmanagers realiseren zich dat veiligheid een proces is waarbij je moet voldoen aan een reeks normen. Veel leidinggevenden zijn zich er ook van bewust dat deze normen in de loop van de tijd veranderen – waarbij voortdurend aanpassingen nodig zijn, problemen aangepakt moeten worden en incidenten onderzoek verdienen. Daarom is het meestal prima om te reageren met een iets complexer antwoord dan ja of nee.
Als ik dé vraag krijg, heb ik het graag over de verbeteringen. Voor mij komen de drie grote indicatoren van de algehele gezondheid van een securityprogramma neer op: risicobeheer, incidentbeheer en beheer van kwetsbaarheden.
Beheer
- Risicobeheer
Heeft de organisatie de belangrijkste cyberveiligheidsrisico’s adequaat geïdentificeerd? Is de organisatie actief bezig met het beheer van deze risico’s? Bestaat er een actieve pijplijn van risicobeheersingsplannen en -activiteiten die in de komende zes tot achttien maanden worden voltooid om het algehele risicobeheerprofiel te verbeteren?
Voor mij definiëren deze vragen, mits bevestigend beantwoord, een risicoprogramma dat onder controle is.
- Incidentbeheer
Hebben we een IR-team (incident response) dat alle grote afdelingen binnen de organisatie omvat? Hebben we een responseplan voor incidenten dat duidelijk is en werkt? Reageert het IR-team op incidenten? Heeft het IR-team ervaring met incidenten uit de ‘echte’ wereld? Kunnen we het team vertrouwen als of wanneer er een groot incident plaatsvindt?
Dit zijn de belangrijkste indicatoren voor een effectief incidentresponsprogramma dat actie kan faciliteren wanneer het moment daar is.
- Beheer van kwetsbaarheden
Hebben we een nauwkeurige hardware- en software-inventaris? Voeren we vulnerability scans/assessments uit op onze server- en workstationdomeinen? Patchen we actief servers en workstations? Stellen we actief configuraties bij om rekening te houden met veranderingen? Zijn er serviceniveauvereisten voor het aanpakken van tekortkomingen in de kwetsbaarheidsscan?
Dit zijn de sleutels tot een functioneel programma voor kwetsbaarheidsmanagement.
Progressie, in plaats van perfectie
Het zal je opvallen dat deze programma’s geen indicatie van perfectie in de organisatie zijn. Ze geven aan dat de organisatie een traject van continue verbetering doorloopt. Er is en zal altijd een risico zijn, maar deze metrics zijn gericht op hoe de organisatie is georiënteerd.
Op de vraag of we veilig zijn, kun je dankzij deze metrics zeggen: ‘We hebben de juiste processen geïmplementeerd, zodat we ook in de toekomst zullen blijven verbeteren. Dat is een veel bevredigender antwoord.
