De meesten van ons die werkzaam zijn in IT en informatiebeveiliging proberen met een beperkt budget onze cyberweerbaarheid te verbeteren en bedrijfsrisico's te beperken. We proberen eerst het grootste risico aan te pakken, het beste resultaat te behalen voor zo weinig mogelijk geld en stapsgewijs verbeteringen aan te brengen. Maar hoe weet je zonder vallen en opstaan of jarenlange ervaring dat je je budget aan de juiste dingen besteedt? In deze blogpost delen we hoe sommige organisaties hun budget voor cyberbeveiliging besteden en hoe ze meten of hun uitgaven effectief zijn of niet.
Beste directeur, mag ik nog wat meer?
In een perfecte wereld zou het budget voor cyberbeveiliging onbeperkt zijn. Degenen die de touwtjes in handen hebben, zouden op zijn minst voldoende budget toewijzen zodat je proportionele actie kunt ondernemen om de organisatie en de data te beveiligen. De klacht is bijna universeel: of de organisatie nu 50, 500 of 5.000 mensen telt, we hebben bijna allemaal het gevoel dat we niet genoeg budget hebben om al onze cyberbeveiligingsdoelen te bereiken. We geven misschien prioriteit aan de meest dringende en urgente, terwijl we de andere uitstellen tot het volgende fiscale jaar. Wat moet jouw budget minimaal dekken voor een klein tot middelgroot bedrijf? Jouw budget voor cyberbeveiliging moet in verhouding staan tot de risico's voor de organisatie. Maar hoe kun je een schatting maken van de risico's die je loopt? Overweeg het volgende:
- De waarde van jouw fysieke activa
- De waarde van de gegevens die je probeert te beschermen, zoals berekend door:
- Potentiële boetes van de Autoriteit Persoongesprekken als je een datalek hebt
- Schadevergoeding aan slachtoffers, als hun persoonlijke gevoelige informatie is blootgelegd
- De kosten van downtime en verstoring van de bedrijfscontinuïteit
Als bovengrens zou jouw cyberbeveiligingsbudget niet hoger moeten zijn dan de waarde van jouw IT-middelen en de verwachte financiële kosten van deze eventualiteiten. Maar hoe bereken je nu de waarde van risico's voor jouw organisatie?
De basis op orde krijgen
Als je nieuw bent in jouw rol, onlangs de verantwoordelijkheid over Cyber Security hebt gekregen of gewoon niet weet waar je moet beginnen, kan de taak ontmoedigend complex zijn. Voordat je gaat beslissen waaraan je jouw budget gaat besteden: hier zijn drie essentiële activiteiten om je op weg te helpen:
- IT-bedrijfsmiddelen in kaart brengen. Je kunt niet beschermen wat je niet weet dat je hebt, en cybercriminelen richten zich graag op bedrijfsmiddelen die (te) weinig worden gebruikt, die worden vergeten en die dus niet zo goed worden beschermd als ze zouden moeten zijn.
- Patchbeheer. Als je eenmaal een duidelijk beeld hebt van waar je bedrijfsmiddelen zich bevinden, zorgt een robuust patchbeheerprogramma ervoor dat bedreigers geen misbruik kunnen maken van zwakke plekken in oudere versies van applicaties en software.
- Tweefactorauthenticatie. Het inschakelen van 2FA voor het inloggen op gebruikersaccounts is een gemakkelijke overwinning. Dit zal jouw beveiligingscontroles rond het beheer van identiteitstoegang enorm verbeteren. Het is essentieel dat je 2FA inschakelt voor alle diensten waarop aanvallers zich waarschijnlijk zullen richten.
Als je over de juiste vaardigheden en middelen beschikt, kunnen sommige van deze activiteiten intern worden uitgevoerd. Voor degenen die dat niet kunnen, kun je overwegen contact op te nemen met een managed security service provider om je te helpen. Nu is het tijd om de spaarpot open te breken en de catalogi tevoorschijn te halen. Waar ga je jouw spaarpot aan uitgeven?
1. Beoordeling van beveiligingsrisico's
Wat zijn de grootste bedreigingen voor jouw organisatie? Waar liggen jouw potentiële zwakke punten op het gebied van beveiliging? Hoe moet je budget toewijzen om ervoor te zorgen dat je de grootste risico's het eerst aanpakt? Een Security Risk Assessment is een consultancy-oefening die is ontworpen om informatie te verzamelen zodat je een beter inzicht krijgt in de relatieve waarde van jouw IT-middelen en de informatie die ze opslaan, jouw potentiële zwakke punten in de beveiliging en de waarschijnlijkheid van de huidige en toekomstige beveiligingsrisico's van jouw organisatie, gesorteerd op de waarschijnlijkheid dat ze zich voordoen. Een Security Risk Assessment zal je helpen de risico's voor jouw organisatie te evalueren, jouw optimale cyberbeveiligingsbudget te voorspellen én te blijven voldoen aan de wettelijke vereisten. Tijdens de beoordeling verzamelen consultants informatie door middel van interviews en analyse van documentatie om een beter inzicht te krijgen in kwetsbaarheden en de waarschijnlijkheid en algehele impact van bedreigingen. Vervolgens brengen ze de bestaande beveiligingsmaatregelen in kaart en evalueren ze deze, inclusief beleid, processen en de bijbehorende documentatie. Tot slot stellen ze een rapport op met alle potentiële risico's voor de organisatie, inclusief beveiligingsaanbevelingen om die risico's te beperken, waarbij elke bevinding een score krijgt op basis van het risico voor de organisatie. Daarna kun je de scores op jouw risico-index gebruiken om te beslissen hoe je jouw beperkte budget het beste kunt toewijzen, of je kunt samenwerken met een beveiligingsconsultant die je kan helpen bij het opstellen van een uitgebalanceerd plan om jouw beveiliging te versterken. Dit kan bestaan uit een combinatie van relevante offensieve beveiligingstests die realistisch nabootsen hoe een aanvaller jouw organisatie zou aanvallen en defensieve beveiligingsmaatregelen zoals detectie- en responstechnologie.
2. Kwetsbaarheden scannen en penetratietesten
Voor dit gedeelte hebben we twee afzonderlijke maar aangrenzende services gecombineerd. Kwetsbaarheden scannen en pen(etratie)testen voeden elkaar. Kwetsbaarhedenscanners inspecteren netwerken, apparaten en toepassingen op bekende kwetsbaarheden en geven ze vervolgens een score. Ze kunnen problemen identificeren, maar niet onderzoeken. Op dezelfde manier is het doel van een pentest om alle mogelijke kwetsbaarheden te identificeren die bestaan in een specifieke applicatie, systeem of bereik; deze te begrijpen in een organisatorische context; te rapporteren over het risico dat ze introduceren; en geschikte oplossingen te definiëren op een enkel moment in de tijd. Maar pentesters moeten aantonen dat een cyberaanvaller misbruik kan maken van die kwetsbaarheid. Laten we fictief budget pakken van ongeveer € 10.000,- . Wat kun je scannen en testen voor dit budget?
- Een jaar lang continu scannen op kwetsbaarheden voor 200 interne IP's
- Projectmatige pentest voor twee webapplicaties van gemiddelde grootte
- Continu scannen en testen van één complexe en twee basale webapplicaties gedurende één jaar (met Claranet Continuous Security Testing).
Hoe je beslist wat je gaat testen, hangt af van de aard van jouw bedrijf en jouw IT-afdeling. Als je bijvoorbeeld een retailbedrijf bent, dan is jouw online winkel (of andere e-commerce webapplicaties) cruciaal voor jouw bedrijf. We weten echter dat er wekelijks nieuwe aanvalstechnieken voor webapplicaties opduiken en dat ontwikkelteams onder druk staan om nieuwe functies uit te brengen en te debuggen, waardoor beveiligingslekken maandenlang onontdekt kunnen blijven. Als dit op jou van toepassing is, dan zult je waarschijnlijk baat hebben bij het gebruik van Continuous Security Testing om kwetsbaarheden in jouw webapplicaties aan het licht te brengen en te verhelpen zodra ze zich voordoen.
3. Upgrade jouw endpoint bescherming
Veel organisaties worden geconfronteerd met een gebrek aan investeringen én deskundig personeel om zich te verdedigen tegen nieuwe bedreigingen; moderne malware en ransomware kunnen ouderwetse anti-virus ontwijken en zich snel verspreiden. De nieuwste generatie Endpointbescherming maakt gebruik van gedrags-AI om de nieuwste aanvallen te herkennen en snel in te dammen, maar menselijke inbreng en snelle reactietijden zijn nog steeds vereist om een potentiële inbreuk te voorkomen. Deze generatie anti-virus ondersteunt oplossingen zoals Endpoint Detection and Response. Omdat dit een combinatie van mensen en technologische middelen vereist, ligt de mogelijkheid om een aanval te voorkomen of te herstellen nog steeds buiten het bereik van de meeste organisaties, die een beroep doen op Managed Security Service Providers om de expertise van diens SOC in te zetten bij het beheer van deze tools. Endpoint Detection and Response helpt je om:
- Cyberaanvallen 24x7x365 te detecteren
- Lopende aanvallen te voorkomen of in te dammen
- Bedreigingsactoren, malware en ransomware uit te roeien
Endpoint Detection and Response zoekt naar verdachte activiteiten om compromitterende indicatoren te detecteren. Maar om de technologie effectief te laten zijn, moet deze worden ondersteund door bekwame analisten die in real-time reageren op beveiligingswaarschuwingen die door endpoints in jouw netwerk worden gegenereerd, waarbij vals-positieven van echte bedreigingen worden gescheiden. In het geval van een cyberaanval moeten ze je ondersteunen met een strijdplan op maat van jouw organisatie. Buiten cyberaanvallen om moeten ze ook voortdurend op zoek gaan naar bedreigingen om ervoor te zorgen dat je beschermd bent tegen de nieuwste aanvallen. De kosten van endpointbeveiliging zijn afhankelijk van het aantal endpoints dat je wil beschermen en van het EDR-platform dat je kiest. Zoals we elders hebben geschreven, kan het samenwerken met een M(S)SP voor deze taak helpen om jouw kosten voor het opbouwen van uw detectiecapaciteit voor bedreigingen te verlagen.
4. Ontwikkel jouw eigen plan om op incidenten te reageren
De organisaties die het best in staat zijn om de storm van een cyberaanval te doorstaan, zijn de organisaties met een gedetailleerd plan om op incidenten te reageren. Het beste Incident Response Plan is er een dat ver van tevoren is voorbereid en regelmatig wordt getest. Een goed incident response plan moet het volgende bevatten:
- Met wie binnen jouw organisatie moet als eerste contact worden opgenomen en waarom?
- De rollen en verantwoordelijkheden van iedereen die betrokken is bij het Incident Response Plan
- Procedures voor het onderzoeken van de omvang van de schade. Welke gegevens zijn gecompromitteerd?
- Procedures om de aanvaller in quarantaine te plaatsen en van de omgeving of netwerk te verwijderen
- Procedures voor kennisgeving aan de Autoriteit Persoonsgegevens in het geval van een datalek
- PR- en communicatieplan voor klanten, partners en leveranciers
- Digitaal forensisch onderzoek en een plan om de geleerde lessen te verzamelen. Hoe is de aanvaller binnengekomen en welke herstelmaatregelen moeten er worden genomen zodat dit de volgende keer niet gebeurt?
Veel bedrijven werken hiervoor samen met een Cyber Security Incident Response Team (CSIRT), betalen voor een derde partij of krijgen dezelfde service via hun cyberverzekeraar. Er zijn echter ook eenmalige oefeningen, zoals simulaties onder begeleiding van beveiligingsconsultants, die kunnen helpen bij het ontwikkelen van jouw Incident Response Plan. Het doel van simulaties is om de effectiviteit van jouw incidentbestrijdingsplan te testen en verbeteringen en aanvullende opties te identificeren.
6. Security Awareness
Jouw medewerkers vormen de eerste verdedigingslinie, ook wel “de menselijke firewall” genoemd. Het doel van social engineering-simulaties is om vast te stellen en te meten hoe weerbaar de medewerkers daadwerkelijk zijn tegen social engineering-aanvallen, welke gebruikersgroepen het meest vatbaar zijn en waar aanvullende training nodig is. In sommige gevallen kan het resultaat van een dergelijke oefening een phishingcampagne zijn, of het kan deel uitmaken van een gerichte aanvalssimulatie, zoals een pen(etratie)test. Initiële training moet verplicht zijn voor alle medewerkers wanneer ze in dienst treden, en de bewustzijnstraining moet minstens jaarlijks worden uitgevoerd. Opeenvolgende gesimuleerde phishing-campagnes moeten worden geënsceneerd en continu worden uitgevoerd. Er moet specifieke en uitgebreide training zijn voor mensen die omgaan met gevoelige gegevens of financiële transacties verwerken.
7. Train jouw verdedigers
Een van de beste langetermijninvesteringen is het opbouwen van de vaardigheden van je interne Cyber Security team. Trainingen moeten een ‘defensie-per-delict’ methodologie volgen: de teams die belast zijn met het bouwen van adequate beveiligingscontroles om jouw IT-omgeving te verdedigen, moeten weten:
- Hoe een aanvaller denkt
- Op welke bedrijfsmiddelen in jouw organisatie ze zich zullen richten en waarom?
- Welke aanvalstechnieken ze zullen gebruiken om deze bedrijfsmiddelen aan te vallen
- Welke beveiligingsmaatregelen afdoende zijn om zich tegen deze aanvalstechnieken te verdedigen
- Welke beveiligingsmaatregelen geschikt en proportioneel zijn voor jouw IT-omgeving, de gebruikers ervan en de gegevens die je probeert te beschermen.
Bovendien moeten trainingen gericht zijn op het aanleren van praktische, hands-on verdedigingsmaatregelen, niet alleen theorie. Ga op zoek naar aanbieders van trainingen die praktische instructie bieden en mogelijkheden voor deelnemers om hun vaardigheden aan te scherpen na afloop van de training.
Hoe meet je waar voor jouw geld
Bij Cyber Security is het vaak moeilijk om de waarde van jouw inspanningen te meten. Hoewel het gemakkelijk is om bij te houden hoeveel je hebt uitgegeven, is het veel moeilijker om een duidelijk geldbedrag te plakken op de waarde die het oplevert voor de organisatie. Waarom? Eén reden is dat we vaak onjuiste of ontoereikende terminologie gebruiken. Return on Investment is een verkeerde benaming omdat er geen financieel rendement is. Een betere manier om de functie van de beveiliging in de organisatie te zien, is als een vorm van kostenvermijding: een investering die wordt gedaan om toekomstige kosten te voorkomen. Dit kan op andere manieren worden beschreven, zoals preventieve kosten of risicobeperkende kosten, die worden gemaakt om het risico op ongunstige gebeurtenissen te verminderen of te beheren. Hieronder vallen kosten die gericht zijn op het voorkomen van potentiële toekomstige verliezen door het implementeren van controles of beveiligingen. Door te bepalen hoe hoog jouw toekomstige kosten zullen zijn, kunt je ook bepalen in welke beveiligingsmaatregelen je nu moet investeren en hoeveel je na verloop van tijd moet investeren. Maar ook dit is afhankelijk van variabelen, schattingen en voorspellingen. Wil je een schatting maken van de kosten voor het opruimen na een ransomware-aanval? Zoek een bedrijf van vergelijkbare grootte in jouw branche dat slachtoffer is geworden van een ransomware-aanval. Hoeveel bedroeg het losgeld? Hoeveel kostte de reactie op het incident? Hebben ze een boete gekregen?
Dit zijn de totale kosten die u wilt vermijden. Dat beschrijft Don Gasparavicius, Group Information Security Officer bij Claranet:
Dergelijke berekeningen helpen je te bepalen of jouw budget voor cyberbeveiliging groot genoeg is om de risico's waarmee je wordt geconfronteerd te bestrijden, of helpen je te pleiten voor een groter budget. Uiteindelijk betekent werken met een beperkt budget echter dat je redelijke en proportionele maatregelen moet nemen om je systemen en gegevens te beschermen. Boetes die worden opgelegd onder AVG houden hier rekening mee, maar je moet wel kunnen aantonen dat de maatregelen die je hebt genomen inderdaad redelijk en proportioneel zijn.
Don Gasparavicius, Group Information Security Officer Claranet
Ken jezelf
Zoals we eerder hebben geschreven, helpt een risicogebaseerde aanpak bij het implementeren van beveiliging je prioriteiten te stellen voor welke acties je het eerst moet aanpakken en dus hoe je jo uw budget het beste kunt verdelen. Maar het kennen van jouw IT-omgeving, jouw bedreigingsoppervlak en de grootste risico's voor jouw bedrijf kan al een uitdaging op zich zijn. Als je niet weet waar je moet beginnen, zijn hier drie dingen die je als eerste kunt doen:
- Breng jouw IT-middelen in kaart om te begrijpen wat je moet beschermen.
- Stel een risicoregister op met een beschrijving van de IT-bedrijfsmiddelen met de hoogste waarde voor jouw en de bedrijfsmiddelen die het grootste risico voor jouw organisatie vormen als ze worden gecompromitteerd.
- Voer scenarioplanning uit om jouw belangrijkste beveiligingsproblemen vast te stellen. Elk scenario dat een negatieve invloed heeft op de vertrouwelijkheid, integriteit of beschikbaarheid van jouw bedrijfsmiddelen met de hoogste prioriteit moet worden getest.
Als je niet over de expertise beschikt om dit zelf te doen, kan het helpen om samen te werken met een aanbieder van beheerde Cyber Security diensten; als je jouw bedreigingsoppervlak, jouw risicobereidheid en de waarde van de systemen, die je probeert te beschermen, begrijpt, kunnen zij je helpen bij het opstellen van een duidelijke strategie.
Neem contact op voor een vrijblijvend 1:1-gesprek om jouw behoeften en uitdagingen op het gebied van cyberbeveiliging te bespreken, inclusief de besteding van jouw budget. Of het nu gaat om een specifieke oplossing waarover je meer informatie wilt of een vraag waarop je geen antwoord kunt vinden, wij zijn er voor je!