Hoe een betrokken C-suite de basis kan vormen voor security by design
Ontwerp producten of diensten die fundamenteel veilig zijn en je loopt minder kans op dure reparaties of reputatieschade na een incident. Wacht tot na het in productie brengen om security problemen aan te pakken en de kosten en risico’s voor de reputatie vermenigvuldigen zich. Dit is het idee achter security by design. Simpel toch? Helaas is het implementeren van dit concept nog steeds niet de norm.
Nieuw onderzoek van Trend Micro laat de omvang van deze uitdaging zien, maar geeft ook hoop op een toekomst waarin security by design wel de basis is voor een security-strategie. En dat start allemaal met het verbeteren van de betrokkenheid tussen IT-leiders en de C-suite.
Een nieuw tijdperk
Cyberrisico's bestaan al bijna net zolang als IT-systemen bestaan. Maar nu technologie steeds meer verweven is met de organisatie en de samenleving, is het aantal dreigingen en de potentiële impact alleen maar verder toegenomen. Software nam de wereld jaren geleden al over, maar vandaag de dag realiseren veel organisatie zich pas hoe belangrijk hun IT-infrastructuur is en dat deze extreem goed beveiligd moet worden.
Sinds de pandemie hebben organisaties miljarden geïnvesteerd in alleen al public cloudservices, om nog maar te zwijgen van de machine learning, IoT, edge en mobiele ecosystemen die daar bovenop draaien. Ondanks dat organisaties dit in het begin vooral deden als reactie op de pandemie, is het hek inmiddels van de dam. Voor de meeste organisaties is digitale transformatie de nieuwe norm en is er geen weg meer terug.
Meer digitaal betekent meer risico
Er ligt echter ook gevaar op de loer: hoe meer geld de C-suite investeert in digitale transformatie-initiatieven, hoe groter het aanvalsoppervlak wordt. Met zo’n enorm oppervlak om te beschermen en zoveel potentiële ingangen voor aanvallers, wordt de omgeving al gauw onbeheersbaar. Intelligente, geautomatiseerde platforms die oplossingen consolideren kunnen een oplossing zijn voor al drukke security-teams. In een security by design organisatie zouden dergelijke controles vanaf dag één al ingebouwd zijn omdat security-experts vanaf de ontwerpfase betrokken worden.
Helaas is dit nog altijd niet de manier waarop de dingen gaan. Waarom? Omdat de C-suite in veel gevallen gewoonweg niet betrokken is bij securityzaken. En zelfs als ze cyber-savvy zijn, kan het enorme tempo van de veranderingen in het dreigingslandschap elke poging om te begrijpen hoe risico's zich ontwikkelen, overweldigen.
Waarom is dit een probleem?
Het gebrek aan afstemming tussen IT-leiders en de C-suite wordt onderstreept in het nieuwste onderzoek van Trend Micro. Hierin geeft slechts de helft (50%) van de wereldwijde IT-besluitvormers aan dat zij geloven dat de C-suite cyberrisico’s volledig begrijpt. Onbegrip of gebrek aan kennis kan echter leiden tot verwarrende besluitvorming: meer dan de helft (51%) van de respondenten van het onderzoek zegt namelijk dat de attitude richting cyberrisico’s inconsistent is en vaak incident gedreven. Dit kan tot gevolg hebben dat geld reactief tegen problemen wordt gesmeten, in plaats van dat er wordt nagedacht over strategische manieren om deze problemen te voorkomen.
Verder claimt 41% van de respondenten dat hun organisatie het meeste geld uitgeeft aan het aanpakken van cyberaanvallen - meer dan zij investeren in digitale initiatieven (36%) of werkplek-transformatie (27%). En toch gelooft iets minder dan de helft van de respondenten dat concepten zoals ‘cyber risk management’ uitgebreid bekend zijn in de organisatie.
Security by design
Ondanks dat de helft van de IT-leiders denkt dat de C-suite cyberrisico’s volledig begrijpt, geeft 90% van de IT- en zakelijke leiders toe dat hun organisatie bereid zou zijn om compromissen te sluiten op het gebied van cybersecurity ten gunste van digitale transformatie, productiviteit of andere doelen. Dit is het tegenovergestelde van security by design-denken. Security by design-denken stelt dat alleen met een goede beveiliging die vanaf het begin is ingebouwd, zakelijke doelen met succes kunnen worden gerealiseerd. Dus hoe nu verder?
Ten eerste moeten IT- en zakelijke leiders vaker met elkaar om de tafel en eerlijker tegen elkaar zijn. Het onderzoek vond dat slechts de helft van de organisaties regelmatig IT/C-suite meetings houdt. Een groot deel van de IT-leiders (82%) voelt daarbij druk om zichzelf te censureren, waarbij ze de ernst van een cyberrisico soms bagatelliseren. Dit is een gevaarlijk precedent om te scheppen. In plaats daarvan zouden deze groepen elkaar regelmatig moeten spreken en updates moeten delen op een manier die begrijpelijk is voor de C-suite. Door de C-suite betrokken en bewust te houden ten opzichte van de dreiging die cyberrisico’s vormen voor de organisatie, kunnen IT-leiders de steun krijgen die zij nodig hebben voor het implementeren van security by design.
Een positieve ontwikkeling en een lichtpuntje aan de horizon is dat de meeste respondenten uit het onderzoek aangeven dat zij meer mensen willen betrekken bij en (eind)verantwoordelijk willen stellen voor het beheren en verkleinen van cyberrisico’s, waaronder de CEO, CFO en CMO. Dat is een goed begin. Maar totdat iedereen van de C-suite betrokken is en security ‘snapt’, zal bedrijfsbrede verandering lastig zijn.
Door: Pieter Molen (foto), Technical Director bij Trend Micro
