Cyber Security van Complexe Digitale Ecosystemen: Bekijk Het Van De Juiste Afstand

17 december 2018

Cyber Security van Complexe Digitale Ecosystemen: Bekijk Het Van De Juiste Afstand

Organisaties werken steeds vaker samen in complexe digitale ecosystemen waarin leveranciers direct toegang hebben tot het ERP-systeem en klanten hun eigen gegevens bijhouden via apps en webportals. Hoe beveilig je je eigen digitale organisatie als daar geen duidelijk afgebakend begin en eind meer aan zit?

Hierop ging Sheraz Ali verder in tijdens de Qhuba Speedcamp. Ali maakt onderdeel uit van Qhuba’s Control, Compliance & Security practice en heeft jarenlange ervaring in dit vakgebied. Ali stelt: “91 procent van alle cyberaanvallen begint met een een phishing e-mail. Tegelijkertijd blijkt uit een onderzoek onder CIO’s en CISO’s van top-500 bedrijven dat ze 90 tot 95 procent van hun securitybudget alleen uitgeven aan technologie. Daar zit een geweldige discrepantie. Organisaties zouden dus veel meer moeten investeren in het versterken van de Human Firewall.”

Focus niet alléén op Technologie

6 blind men and elephant

“Die discrepantie wordt vaak veroorzaakt doordat iedereen die bij dit onderwerp betrokken is, alleen zijn eigen kleine deel van de waarheid ziet”, zegt Ali terwijl hij het bekende plaatje van de blinde mannen en olifant laat zien. “De CISO is in de regel erg gefocust op technologie. De CFO wil alleen maar dat het niet teveel kost. En de CEO kijkt vooral naar de toegevoegde waarde voor de aandeelhouders en vaak staat hij ver af van wat er op de operationele laag plaats vindt. Daardoor ziet de CEO het probleem niet scherp, terwijl de CISO te dichtbij staat en het niet in het juiste perspectief plaatst voor de executive boards. De kunst is om met de juiste lens te kijken naar de digitale dreigingen binnen én buiten de organisatie.”

Cyber Security van Digitale Ecosystemen

De Qhuba Control, Compliance & Security practice helpt Executive Boards om vanuit diverse invalshoeken het digitale ecosysteem van een organisatie in kaart te brengen met bijbehorende cyberdreigingen.

Met welke partners in de digitale waardeketen werkt een bedrijf samen? Welke leveranciers, partners of klanten hebben toegang tot welke systemen? Hoe beïnvloeden de verschillende partijen in het ecosysteem elkaar? “Je kunt een business ecosysteem vergelijken met een vijver. Daarin leven verschillende organismen die samen de kwaliteit van de totale leefomgeving bepalen, ze beïnvloeden elkaar.”

Hoe kan een organisatie in zo’n ecosysteem zonder harde grenzen toch zijn eigen omgeving goed bewaken? Door allereerst te identificeren waar de risico’s liggen. En daarna te bepalen hoeveel geld er beschikbaar is om die risico’s te mitigeren. Ali: “Begin eerst eens met een analyse: welke data hebben we allemaal in onze organisatie? Wat is de waarde van die data voor onszelf en hoeveel zou die voor anderen waard kunnen zijn? Wie heeft er toegang tot welke data en op welke manier? Op welke manier beveiligen we onze data op dit moment?” 

Denk in vijf niveaus

Deze vragen kunnen worden afgezet tegen vijf niveaus die relevant zijn:

Niveau 1: de mensen die toegang hebben tot jouw bedrijfsnetwerk en data
hoe nieuwsgierig zijn ze? Wat is hun kennisniveau als het gaat om cyberdreigingen?

Niveau 2: hun cyber persona’s, dus hun digitale identiteit(en)
Welke username en wachtwoord gebruiken zij? Hoe veilig is dat wachtwoord?

Niveau 3: de logische laag
Hoe en welke data wordt verzameld, verwerkt, gedeeld en opgeslagen in jouw organisatie? En hoe is deze beveiligd?

Niveau 4: de fysieke infrastructuur laag
Hoe gaat men om met de integriteit en veiligheid van alle hardware in jouw organisatie?

Niveau 5: de geografische laag
Waar zijn al jouw datacenters en voldoen deze aan eisen gesteld vanuit risk & compliance eisen voor jouw organisatie (GDPR)?

Qhuba brengt de dreigingen op deze vijf niveaus in kaart en geeft een waarschijnlijkheid aan dat een dreiging zich voordoet. Daaruit wordt duidelijk welke capabilities nodig zijn om de risico’s te mitigeren. Ali: “Met capabilities doel ik op techniek, maar ook op organisatorische maatregelen. Want security draait om techniek, mens en proces. Zoals ik al schetste lopen organisaties de grootste risico’s door te weinig stil te staan bij mens en proces.”

Hou regelmatig een security-oefening

Ali adviseert om regelmatig met alle stakeholders een security-oefening te houden, zoals men ook regelmatig een ontruimingsoefening organiseert. “Bij paniek reageren mensen vaak anders op calamiteiten dan volgens het protocol vastgelegd in het draaiboek. De enige manier om te voorkomen dat ze in paniek raken en onverwachte dingen doen, is door regelmatig een cyber security scenario na te spelen. Dan test je meteen of de protocollen die je hebt ontwikkeld in de praktijk goed uitpakken. Bedenk bij die oefeningen ook wat je kunt doen om paniek bij de buitenwereld te beperken. Je moet bij een datalek of ander security-incident immers alle betrokkenen waarschuwen. De toon waarop je dat doet heeft een grote impact op hoe mensen op dat bericht reageren.”

Tot slot adviseert Ali om altijd breed te kijken naar het thema data. “Want dit beperkt zich niet alleen tot digitale risico’s. Er kan ook brand ontstaan in het datacenter. En veel organisaties hebben ook nog altijd papieren dossiers. Cyber Security is dus veel breder dan alleen puur technologie”

Meer weten over dit onderwerp? Neem contact met ons op.