Wilt u weten hoe kwetsbaar uw organisatie is? Doorloop deze drie stappen

Dirk Jan Jannink, F-Secure

06-12-2021
Deel dit artikel:

Wilt u weten hoe kwetsbaar uw organisatie is? Doorloop deze drie stappen

Uit een onderzoek van PWC onder C-level executives, waaronder CISO’s, blijkt dat 75 procent zegt dat hun organisatie te complex is op het gebied van data, technologie en operatie. Het overzicht ontbreekt bij die organisaties, waardoor ze meer risico lopen op een cyberaanval. Daarom stelt Dirk Jan Jannink, Benelux Business Manager MDR bij F-Secure, een assessment voor: ‘In drie stappen kunnen organisaties hun organisatie in kaart brengen en risico’s minimaliseren.’

Het goede nieuws is dat complexiteit bijna inherent is aan groei. Ervaart u complexiteit? Dan gaat het goed met uw bedrijf. Alleen: door de complexiteit verliezen CEO’s de grip op hun organisatie. Daar liggen ze dan ook van wakker, zo blijkt uit het onderzoek van PWC: ze zijn het meest bezorgd over cyber- en privacyrisico’s, die ontstaan uit de complexiteit in een cloudomgeving, het beheer van tech-investeringen en de overgang tussen IT en OT.

Om het overzicht weer terug te krijgen en zo cybersecurityrisico’s te minimaliseren, kunnen organisaties een securityassessment doen. Daarmee brengen ze in drie stappen in kaart hoe hun organisatie zowel qua systemen, mensen en processen is opgebouwd. Ze krijgen zicht op welke risico’s ze lopen en welke financiële schade dit met zich meebrengt. En ze berekenen daarmee de ROI van securityoplossingen.

De drie stappen zijn:

1. Het identificeren van kwetsbaarheden

Het identificeren van kwetsbaarheden doe je op meerdere niveaus. Het draait om de IT-omgeving, maar ook om OT. Om systemen én mensen. Om directe kwetsbaarheden, maar ook om schade die je indirect kunt oplopen. ‘Als ik bijvoorbeeld een productiebedrijf heb’, vertelt Jannink, ‘dan is de grootste vraag: als mijn fabriek geraakt wordt, wat gaat mij dat dan kosten? Maar daarvoor moet ik eerst weten: hoe is mijn organisatie opgebouwd?’

Bij het inventariseren van de organisatie is het ook goed om te weten welke ontwikkelingen spelen in de markt. ’Het aantal incidenten dat door een kwetsbaarheid in een OT-omgeving bijvoorbeeld ontstond, is afgelopen jaar gegroeid met 53 procent ten opzichte van vorig jaar. Dan moet je dus weten welke OT-systemen je hebt draaien, welke kwetsbaarheden daar zichtbaar zijn én hoe die systemen in relatie tot bijvoorbeeld je IT-omgeving staat.’

Daarbij is te zien dat de meeste cybersecurityaanvallen (80,5 procent) extern worden geïnitieerd. Maar aanvallen vinden ook plaats door interne fouten (18 procent) en andere oorzaken (1,5 procent). ‘Denk dus aan updatemanagement en het trainen van je medewerkers. En wat als een ongeautoriseerd persoon een pasje bemachtigt, binnenkomt en de stekker uit de hoofdserver trekt. Hoe minimaliseer je dat risico?’

2. Het ontwikkelen van een methodiek

Stap twee is het ontwikkelen van een methodiek om simulaties te draaien en de daadwerkelijke schade te berekenen. ‘Je ontwikkelt dan allerlei doemscenario’s waarbij alle systemen, afhankelijkheden en kwetsbaarheden worden meegenomen. Hoe kan een securitylek ontstaan? Welke gevolgen heeft dat op de korte en lange termijn? Wat zijn de kosten om weer op te starten én hoeveel kost het om de schade te herstellen?’

‘Naast de doemscenario’s breng je ook in kaart welke stappen je moet ondernemen en wie wat moet doen en waarom. En je bepaalt in het assessment aan welke marktnormen je moet voldoen. Misschien is een ISO-normering onmisbaar. De regelgeving is continu aan verandering onderhevig, dus hoe zorg je dat je bijblijft? En wat is het risico als je de certificering niet op orde hebt?’

3. Het uitvoeren en berekenen van het rendement

Door het uitvoeren van de simulaties op basis van de methodiek, weet je precies welke risico’s je loopt en welke financiële schade je potentieel kunt oplopen. Ook wordt duidelijk waar kennis en oplossingen ontbreken. Je hoeft niet meer in het duister te tasten over welke investeringen het waard zijn. Je berekent daarmee namelijk ook de ROI van securitydiensten, updatemanagement of trainingen van medewerkers.

Wat als blijkt dat de benodigde investering niet opweegt tegen het risico? ‘Neem een productiebedrijf. Daar hebben we tien machinearmen die in onze assessment als risico werd gemarkeerd. Het besturingssysteem is verouderd, maar de armen kosten miljoenen per stuk om te vervangen. Zo’n gigantische investering doet een bedrijf alleen in een hoge uitzondering en als het budget daarvoor beschikbaar is.’

Hoe blijven we voor op de concurrent?

Jannink vertelt: ‘Het identificeren van kwetsbaarheden en het ontwikkelen van methodieken is een taak van het crisismanagementteam. Veel grote, internationale organisaties hebben al zo’n team, waarbij ze methodieken ontwikkelen voor een bredere reeks van crises. Dan gaat het ook over de vraag hoe ze met het juiste beleid een stap voorblijven op de concurrent of relevant blijven voor hun huidige of toekomstige klanten.’

Uiteindelijk dient het assessment om inzicht te geven in kwetsbaarheden en de prioriteit om deze risico’s te minimaliseren. Omdat het assessment niet alleen inzicht geeft in IT, maar ook in OT, het kennisniveau bij medewerkers en risico’s op reputatieschade, is het overigens niet het crisismanagementteam dat eindverantwoordelijk. ‘Als CEO ben je verantwoordelijk voor je hele organisatie. Dit hoort er ook gewoon bij.’

Door: Anne van den berg

Terug naar nieuws overzicht

Tags

Security
Security