Beveiliging is niet het meest geliefde topic op managementmeetings. De vraag is meestal: kunnen we gezien de meest recente risicobeoordeling het beperkte budget voor beveiligingsinvesteringen rechtvaardigen? Maar wat als ik u zou vertellen dat die beoordelingen meestal gebaseerd zijn op volledig verkeerde veronderstellingen en onjuiste gegevens?
Een tijdje geleden schreef ik over de noodzaak om beveiliging grondig opnieuw uit te vinden. De belangrijkste conclusie van dat stuk kan misschien in het verkeerde keelgat schieten bij het management. Ik impliceer dat een proactieve benadering de reactieve niet zou mogen vervangen, maar een aanvulling moet zijn. Dit vraagt uiteraard extra budget, een vraag die meestal niet zo gewenst is, zeker als die van de beveiligingsafdeling komt.
Wanneer het budget gemaakt wordt, wordt er zelden eerst geld opzij gezet voor informatiebeveiliging. Dat komt meestal pas tegen het einde, als alle andere verzoeken ingewilligd zijn en één slimmerik in de kamer erop wijst dat ze beveiliging niet mogen vergeten. Daarna volgt een nieuwe uitdaging: net genoeg geld uitgeven zodat iedereen zich goed voelt over de staat van de beveiliging, niet meer, niet minder. Een nogal bedrieglijk gevoel in de meeste gevallen, maar de pijnlijke waarheid voor veel organisaties.
Toegegeven: in veel bestuurskamers heeft beveiliging ondertussen eindelijk de lijst met topprioriteiten bereikt, maar helaas nog niet de lijst van prioritaire investeringen. Heel vaak is dat te wijten aan een volledig verkeerde risicobeoordeling, die op lange termijn tot tragedies kan leiden.
Risicobeoordeling
Het management begrijpt de risico’s tot op zekere hoogte. Bij nieuwe projecten is het namelijk gebruikelijk om een risicobeoordeling te doen. Het grootste probleem is echter dat die beoordelingen gebaseerd zijn op onjuiste gegevens. Laat ons ervan uitgaan dat alle bekende inbreuken bij andere bedrijven en de daarbij horende gevolgen worden meegenomen in de berekening van het risico. Dan vergeten we het voor de hand liggende nog altijd: veel bedrijven delen niet dat ze iets hebben meegemaakt, of minimaliseren de schade.
Bij nieuwe projecten is het gebruikelijk om een risicobeoordeling te doen.
Bijgevolg is de conclusie maar al te vaak: het risico is te laag om enorme investeringen te rechtvaardigen. Een conclusie die niet alleen verkeerd is omdat ze gebaseerd is op verkeerde informatie. Ze begint ook met de verkeerde veronderstelling. De vraag moet namelijk niet zijn hoe waarschijnlijk het is dat er iets gebeurt. De vraag moet zijn: ‘Hoelang duurt het vooraleer er iets gebeurt?’.
Bovendien kijken bedrijven vaak naar individuele risico’s, in een wereld waar alles geconnecteerd is. Eén individueel risico dat klein lijkt, zou de volgende doos van Pandora kunnen worden als het een echte aanval wordt.
Natuurlijk kan je niet elke aanval voorkomen. En natuurlijk kan geen enkele organisatie het zich veroorloven om enorme percentages van hun budget uit te geven om de infrastructuur volledig risicobestendig te maken. Maar ik heb het heus niet over geavanceerde gerichte aanvallen of hyper-ingewikkelde scenario’s die af en toe gebeuren.
Bedrijven zouden op zijn minst kunnen beginnen met het voor de hand liggende, zoals het op tijd uitvoeren van patches. Als er één ding is wat WannaCry ons heeft geleerd, is het wel dat. Geen enkel bedrijf had moeten lijden door die ransomware, als ze de beschikbare patches tijdig hadden toegepast. Op de een of de andere manier zijn bedrijven erin geslaagd die updates te blokkeren. Ik vraag me af hoe zo’n manier van werken een kwalitatieve of kwantitatieve risicobeoordeling heeft doorstaan: de kosten van patches zijn laag in vergelijking met de ravage die een succesvolle aanval kan veroorzaken.
WannaCry en GDPR
De queeste naar een veiligere ict-omgeving is inderdaad bijna net zo moeilijk als die naar de Heilige Graal. Maar dat betekent niet dat we het moeten opgeven of onze inspanningen moeten verminderen. Bij elk nieuw serieus veiligheidsincident, met WannaCry als meest recente voor de hand liggende voorbeeld, kan de beveiligingsmedewerker boze blikken krijgen. Maar als u het goed speelt, kan dit incident ook in uw voordeel spelen bij de volgende risicobeoordeling.
De door GDPR afgedwongen meldingsplicht kan ook een bondgenoot zijn bij het vragen van de broodnodige managementondersteuning voor beveiligingsinvesteringen. Hoe meer incidenten worden blootgelegd, hoe meer organisaties zullen begrijpen dat het risico veel hoger is dan dat ze dachten toen ze het vorige beveiligingsbudget maakten.
Deze bijdrage is geschreven door Koen Maris, Cto – Cybersecurity bij ATOS en expert van Computable.be voor het topic Security en verscheen eerder op http://www.computable.be/artikel/opinie/security/6324540/5594140/risicos-beoordelen-met-beperkt-budget-blijft-riskant.html.