Risk-based cybersecurity bespaart tijd en geld

Lennart Pikaart, Sales Director Benelux, BitSight

‘Risk-based security’ is een term die steeds vaker wordt gebruikt. Maar even zo vaak wordt er niet duidelijk uitgelegd wat een risk-based aanpak van cybersecurity nu precies inhoudt. Zonder deze kennis is het slechts een buzzword en komen de voordelen van deze aanpak niet goed tot uiting.

Risk-based cybersecurity; een uitleg

Een risk-based cybersecurity-aanpak betekent dat bedrijven bij het maken van security-beslissingen risico als belangrijkste factor beschouwen. Een risk-based aanpak wordt vaak neergezet als het tegenovergestelde van een compliance-gedreven aanpak. Risk-based security-teams richten zich vooral op het verminderen van de daadwerkelijke blootstelling aan cyberaanvallen en datalekken, en zijn niet zozeer bezig met afvinklijsten en het behalen van audits (hoewel dit belangrijk blijft).

Een risk-based aanpak is proactief. In plaats van zich te richten op incident response, investeert een CIO die deze aanpak hanteert veel in testen, threat intelligence en preventie. Tevens is deze aanpak realistischer; het doel is namelijk om risico’s te reduceren, niet om 100% security te realiseren. Dit houdt in dat CIO’s, CISO’s en directieleden pragmatisch kunnen beslissen over budget en resources. Bij 100% security worden er geen kosten bespaard, ook niet wanneer investeringen minder opleveren.

Een security-programma dat uitgaat van een risk-based aanpak kent een aantal onderscheidende elementen.

Continue monitoring

Deze aanpak draait om gedegen kennis van risico’s. Risico inschatting moet worden gebaseerd op feiten in plaats van meningen, trends en krantenkoppen. En daarbij komt: in de wereld van IT-security moet data ook actueel zijn. Continue monitoring is hierbij essentieel.

Blinde vlekken zijn funest binnen deze aanpak, dus moeten kwetsbaarheidsbeoordelingen en penetratietesten, die normaal twee keer per jaar plaatsvinden, worden aangevuld met andere soorten beoordelingen.

Security-ratings zijn een populaire optie voor het continu monitoren van beveiligingsrisico’s. Ratings bieden inzicht in gecompromitteerde systemen, configuratie-processen, gebruikersgedrag en andere factoren die bijdragen aan risico’s. Deze inzichten worden gebundeld in beoordelingen voor individuele risico-vectoren en uiteindelijk samengevat in één cijfer dat dagelijks wordt geüpdatet.

Prioriteren

Risk-based cybersecurity bevat een systeem dat security-behoeften prioriteert op basis van hun blootstelling aan risico’s. Effectieve prioritering bestaat uit twee zaken: kennis van de dreiging en kennis van het target. Dat betekent dat de IT-professional altijd op de hoogte moet zijn van de nieuwste en belangrijkste cyberdreigingen voor zijn organisatie, sector en regio. Daarnaast moet hij weten welke systemen en data kwetsbaar zijn voor deze dreigingen.

Op basis van deze kennis kan een security-professional op elk moment bepalen welke projecten de meeste resources vereisen. Zo kan hij bijvoorbeeld met zekerheid zeggen dat het pauzeren van de implementatie van software voor geautomatiseerd incidentenbeheer ten behoeve van het updaten van gebruikersgegevens het risico op blootstelling van de organisatie verkleint.

Prioriteren moet ook dynamisch zijn,  en gebaseerd op korte cycli, in plaats van maandelijks of driemaandelijks. Daarom zijn tools voor continue monitoring, zoals security ratings, van groot belang voor het bepalen van prioriteiten.

Benchmarks

Om cyberrisico’s echt te begrijpen, moet er niet alleen naar de eigen organisatie worden gekeken. Risico is relatief en kan alleen worden begrepen in de context van historische prestaties en de prestaties van collega’s, concurrenten en sectoren.

Security ratings worden gebaseerd op openbare informatie. Dat houdt in dat elk bedrijf kan worden beoordeeld en dus niet alleen de eigen organisatie. Veel organisaties gebruiken security ratings om inzicht te krijgen in de security-prestaties van hun concurrenten, van bovengemiddeld presterende organisaties in hun sector en de algemene stand van zaken in de sector. Deze manier van cybersecurity benchmarking geeft security-professionals de benodigde context om te bepalen hoe zij ervoor staan. Daarnaast is het mogelijk om te kijken naar een specifieke organisatie, om zo een beeld te krijgen welke security-onderdelen de meeste aandacht krijgen.

Hoe bespaart een risk-based aanpak tijd en geld?

Vergeleken met compliance-gedreven organisaties bespaart een organisatie met een risk-based aanpak veel tijd en geld. Deze aanpak helpt een organisatie met het bepalen van de ROI op haar cybersecurity-projecten en zorgt ervoor dat er geen geld meer wordt uitgegeven aan tools en systemen die niets opleveren. Veel organisaties hebben miljoenen uitgegeven aan de beste software, om vervolgens te worden blootgesteld aan een dreiging door een gebruikersfout of een fout bij een third party. Een risk-based aanpak helpt een bedrijf om deze scenario’s te vermijden.

Daarnaast vermindert deze risk-based aanpak de noodzaak voor dure security-consultants en grootschalige assessments. Door tools te gebruiken die helpen bij prestatiebeheer kan een organisatie vaardigheden ontwikkelen voor het prioriteren en beoordelen van haar eigen security-programma.

Het belangrijkste is echter dat deze aanpak de kans op een datalek vermindert. Een datalek kostte in 2018 gemiddeld 3,86 miljoen dollar. Dit kan het verschil maken tussen overleven en een faillissement.