Home Security Slapeloosheid bij de CISO: wat houdt hem wakker?

Slapeloosheid bij de CISO: wat houdt hem wakker?

82

De job van Chief Information Security Officer – of CISO – is zwaarder dan ooit. Nieuwe wetgevingen in de EU hebben geleid tot de introductie van steeds strengere controles op hoe bedrijven hun klantengegevens moeten beheren. En elk bedrijf dat met een datalek geconfronteerd wordt, zal onderworpen worden aan een veel grotere financiële sanctie dan vroeger – iets waar geen enkele CISO verantwoordelijk voor wil zijn.

Wat de druk op CISO’s nog vergroot, is dat de mensen die data proberen stelen van bedrijven steeds gesofisticeerder te werk gaan en steeds beter georganiseerd zijn. Klantengegevens beschermen tegen criminele hackers is een wapenrace zonder einde. Bovendien zijn CISO’s, met hun onvermijdelijk beperkte budgetten, hiervoor slecht uitgerust.

Dit alles bezorgt menig CISO slapeloze nachten. Maar door de bedreigingen waarmee ze geconfronteerd worden te begrijpen, kunnen CISO’s wel vaststellen op welke manier hun organisaties een risico lopen, en de juiste processen en tegenmaatregelen in werking stellen.

Nieuwe regels, nieuwe bezorgdheden

De EU Raad en het Parlement hebben de nieuwe General Data Protection Regulation (GDPR) ingevoerd, die het beleid rond gegevensbescherming in Europa harmoniseert. De GDPR introduceert nieuwe regelgevingen omtrent hoe organisaties de persoonlijke gegevens van hun klanten moeten beheren, met inbegrip van de scheiding, afscherming en encryptie van data.

De implementatie van technische controles en het beheer van de processen die de GDPR oplegt, valt uiteindelijk onder de verantwoordelijkheid van de CISO. De druk om alles tijdig op orde te krijgen is enorm, gezien de sancties die opgelegd kunnen worden. De GDPR heeft boetes vastgelegd van 4% van de inkomsten van een organisatie, per datalek. Met boetes die zo kunnen oplopen tot in de miljoenen, of zelfs miljarden euro’s voor een enkele hack, zullen vele CISO’s dus slapeloze nachten beleven in hun poging om de juiste veiligheidsmaatregelen te installeren.

De slechteriken gaan sneller dan de verdediging

CISO’s moeten ook omgaan met het feit dat cybermisdadigers die westerse instellingen aanvallen altijd een stap voor lijken te zijn. Het aantal door de staat ondersteunde hackers uit China, Noord-Korea en Iran is de laatste jaren toegenomen, en hun aanvallen worden steeds gesofisticeerder. Buitenlandse overheden hebben zwaar geïnvesteerd in het opleiden van mensen met geavanceerde hacking-technieken en in het onderzoeken van zwakke punten.

En alsof het zo nog niet moeilijk genoeg was, is er recent ook sprake van een verspreiding van wat met een eufemistische term “LEGO for Malware” wordt genoemd – eenvoudige programma’s die aan mensen met een beperkte kennis van hacking de bouwstenen geven om kwaadaardige software te creëren. De malware die op deze manier gecreëerd wordt, verschilt voldoende van de eerdere varianten die gekend zijn door de huidige antivirussoftware om die software te omzeilen. Elke dag zullen er nieuwe en ongekende dreigingen opduiken waartegen men zich moet beschermen.

Het is moeilijk om aan de “C-Suite” uit te leggen dat de beveiliging van de organisatie erop achteruit gaan omdat de schurken beter worden. Maar CISO’s moeten bij het bestuur aankloppen voor extra budget om deze bedreigingen te bestrijden – geen gemakkelijke taak aangezien geen enkele organisatie een onbeperkt budget heeft voor data security.

Het is niet allemaal kommer en kwel

Dit alles klinkt misschien als onoverkomelijke obstakels, en sommige CISO’s hebben zich er misschien al bij neergelegd dat ze eindeloos veel slapeloze nachten tegemoet gaan. Maar er is wel degelijk hoop. Bepaalde maatregelen kunnen genomen worden waarmee zowat elke dreiging kan worden bevochten.

De eerste stap die genomen moet worden is een zogeheten ‘security strategy process’ doorlopen om te begrijpen welke systemen, processen en data absoluut essentieel zijn om de winstgevendheid van het bedrijf te garanderen. Elke organisatie zal een ander risicoprofiel hebben, afhankelijk van wie ze zijn, wat ze doen en waar ze zich bevinden. De tegenmaatregelen die ze moeten nemen, zullen afhangen van de bedrijfskritieke data en processen die ze moeten beschermen.

Eén maatregel die aan populariteit wint bij security architecten is micro-segmentatie. Sommige cloud providers bieden standaard reeds micro-segmentatie aan. Hiermee kunnen bedrijven veilig hun data opslaan – waardoor verschillende andere controles niet noodzakelijk meer zijn. Dit wil echter niet zeggen dat CISO’s hun firewalls nu al moeten weggooien. Het betekent enkel dat er verschillende technologische oplossingen zijn die bestaande veiligheidsmaatregelen gevoelig kunnen versterken.

CISO’s kunnen de noodzakelijke maar moeilijke gesprekken met de raad enkel houden indien ze het risicoprofiel van het bedrijf kunnen inschatten, een veiligheidsstrategie kunnen bepalen en de oplossingen kunnen aanreiken. In de volgende fase wordt het een commerciële beslissing: is de raad bereid om data te verliezen of onbeschikbaarheid van systemen te riskeren door niet te investeren in de nodige veiligheidsmaatregelen?

Het goede nieuws is dat, dankzij de GDPR en de toenemende algemene bewustwording van de cybergevaren, ook topmanagers buiten de IT-afdeling de dreiging serieus beginnen nemen. CISO’s zouden dus al wat beter moeten kunnen slapen ’s nachts, in de wetenschap dat hun zorgen op zijn minst gedeeld worden.

Rudolf De Schipper

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in