Cybersecurity is een containerbegrip geworden. Van computervirus tot DDoS-aanvallen en van ransomware tot cyberspionage door ‘statelijke actoren’. Alles wordt al snel op één securityhoop gegooid. Wie een securityspecialist wil inschakelen staat daarom voor de vraag: specialist waarin precies?
Wie een belastingprobleem heeft schakelt geen ‘financieel specialist in, maar een fiscalist, wie een overname wil doen raadpleegt een M&A-expert. Wie niet bij de juiste securityexpert aanklopt, loopt risico’s: veel te hoge kosten en, erger nog, schijnveiligheid. De continuïteit van de onderneming blijft dus gevaar lopen. En dat is zeker een zaak voor de CFO.
Een groot misverstand is dat cybersecurity een IT-kwestie is. Techniek – hardware en software – is slechts een element. Naast technologie draait het om processen binnen de organisatie en om het gedrag van mensen. In de praktijk zien we de gevolgen van dit misverstand. De IT-afdeling wordt geacht de security te regelen en doet dat vanuit IT-perspectief, door het installeren van de nodige hardware en software. Ook zijn er tientallen IT-dienstverleners die op deze manier security ‘erbij doen’.
Het gevolg is dat in security-land nu talloze ‘eenogige’ experts rondlopen. Waar zijn deze experts precies expert in? Hoe kom je daar achter? Om te beginnen moet een onderneming security vanuit een risico-perspectief bekijken: wie zou de onderneming willen hacken, welke informatie is er te halen en welke consequenties heeft het als die informatie in verkeerde handen valt?
Payment providers beschikken bijvoorbeeld over grote hoeveelheden creditcard-gegevens. Die zijn geld waard en we zien dan ook dat deze bedrijven het doelwit zijn van hackersgroepen die gespecialiseerd zijn in het stelen van creditcard-gegevens. Weten welke groepen dat zijn en welke methoden zij gebruiken, is nodig om tegenmaatregelen hier optimaal op af te stemmen. Dit voorbeeld maakt meteen duidelijk wat een payment provider van een securityexpert mag eisen: iemand met ruime kennis en ervaring over creditcard hacks in de praktijk door onderzoek opgedaan, plus de nodige ervaring met de beveiliging hiertegen.
Vanuit het perspectief van risicomanagement moet de CFO kunnen controleren en ook meten waar de onderneming staat. Dat lukt alleen als hij of zij weet waar de risico’s zitten. Er moet een nulmeting worden uitgevoerd, er moeten penetratietests worden uitgevoerd en het dreigingslandschap moet in kaart gebracht worden. Daarnaast is monitoring noodzakelijk, want 100 procent preventie bestaat niet. Kan de beoogde securityspecialist dit allemaal, heeft hij daar ook ervaring mee? Dan zijn er nog de vragen die je aan een specialist op elk gebied zou moeten stellen. Hoelang is de specialist actief op zijn vakgebied, welke resultaten zijn geboekt, hoe houdt hij zijn kennis up-to-date?
Hoe cruciaal expertise is blijkt wel uit onze onderzoeken na grote hacks. Die laten zien dat er meestal genoeg signalen waren dat er iets aan de hand was. Maar die signalen werden niet opgepikt of verkeerd beoordeeld, gewoon door gebrek aan expertise. Doe, als het om security gaat, hetzelfde als voor andere zaken waar een expert voor nodig is: stel vragen aan een echte expert en verifieer!
Deze bijdrage is geschreven door Frank Groenewegen, Chief Security Expert bij Fox-IT en verscheen eerder op https://cfo.nl/artikel/cybersecurity-in-land-der-blinden-is-eenoog-koning.