Een stap in het dichten van de kloof tussen de IT security en de business
Expertblogs
De digitalisering dendert door en daarmee groeien ook het aanvalsoppervlak en de dreiging. Het is voor IT Security Professionals daarom moeilijk om rustig te blijven en alle risico’s die zij zien niet van de daken te schreeuwen. Dat “van de daken schreeuwen” gebeurt dan ook vaak, maar over het algemeen met weinig structureel effect. Waar zit dit hem toch in? “Waarom zien ze niet wat wij zien………?”
Wat hebben we eigenlijk te beschermen?
Wat opvalt is dat we vaak focussen op de dreiging. Dit is niet gek als je bedenkt dat cybersecurityspecialisten constant zorgelijke ontwikkelingen zien aan de kant van dreigingen vanuit onder andere criminelen en APT’s. Daarnaast worden we bijna dagelijks geconfronteerd met nieuwe kwetsbaarheden in software (zei er iemand Log4j??) die voor tal van risico’s kunnen zorgen.
“Wat hebben we nu eigenlijk te beschermen?” Dit is een nuttige vraag om te stellen. Met het stellen van deze vraag kunnen we de koppeling maken tussen de vele dreigingen die we zien en de risico’s voor de organisatie en haar doelen. Dit lijkt op het eerste oog misschien een makkelijke vraag, maar het antwoord dat je geeft is sterk afhankelijk van de focus die je als persoon hebt en welke rol je vervult binnen de organisatie (zie afbeelding 1):
- Ben je een techneut dan denk je misschien in termen van: beschikbaarheid van infrastructuur, vertrouwelijkheid van data, en integriteit van configuraties, enz. (Cyber assets)
- Heb je een beleidsachtergrond? Dan zoek je het antwoord waarschijnlijk meer op proces- en informatieniveau. Bijvoorbeeld tijdige informatievoorziening of de mogelijkheid om aanvragen in te dienen. (Information assets & Operational tasks)
- Bestuurders en strategisch adviseurs denken misschien aan zaken die gerelateerd zijn aan de organisatiedoelstelling zoals de relatie met strategische partners, de reputatie van de organisatie of het vertrouwen van klanten in de organisatie. (Mission objectives)
Een sterkere boodschap
Zie je de verschillende doelen in de zojuist genoemde voorbeelden? Je hebt als IT security professional een sterkere boodschap als je de koppeling weet te maken tussen de dreiging en deze verschillende doelen. Door bijvoorbeeld in een dialoog met de directie niet de cyberdreiging als uitgangspunt voor het gesprek te nemen maar in plaats daarvan de belangen en doelstellingen van de organisatie (de mission objectives) stem je af op de “frequentie” van de ontvanger van jouw boodschap.
Dus niet: “We moeten nu iets doen aan die nieuwe kwetsbaarheid want dit is een hele grote High High!!”.
Wel: “De vertrouwelijkheid van al onze klantgegevens (information assets) en daarmee de reputatie van onze organisatie (mission objectives) loopt direct gevaar door deze nieuwe kwetsbaarheid”.
Je zou dit kunnen zien als een belangenanalyse waarbij je opzoek gaat naar de koppeling tussen de belangen op verschillende abstractieniveaus. Afbeelding 2 laat dit mooi zien.
- Cyber assets (onderaan in het figuur) gaan over infrastructuren, systemen, configuraties, et cetera. Deze hebben een rol in informatieverwerking (Information Assets) en/of ondersteunen een bedrijfsproces .
- Op het niveau van Information Assets identificeren we relevante/bedrijfskritische informatie verzamelingen en processen, die we vervolgens koppelen aan de organisatietaken (Operational Tasks).
- De Operational tasks koppelen we uiteindelijke aan de Mission Objectives van de organisatie > de reden waarom de organisatie bestaat.
“Het doel van IT security is het onverstoord laten functioneren van de business”.
Dit is een mooi uitgangspunt om te gebruiken als we een brug proberen te slaan tussen IT security en de business- of organisatiedoelen. Beveiliging is essentieel om een organisatie te laten functioneren. Zonder beveiliging zou er al snel zand in de motor komen door bijvoorbeeld ransomware of een van de duizenden andere dreigingen die realiteit kunnen worden…
Maar beveiliging heeft ook een keerzijde. Het kost veel geld en capaciteit. Daarnaast kan het beperkend werken en nieuwe vraagstukken oproepen rondom laagdrempeligheid, privacy (denk aan de discussies rondom Deep Packet Inspection) en flexibiliteit in relatie tot plaats en tijd onafhankelijk werken.
Om als IT sec professionals gehoord te worden moet er moet ruimte zijn voor een dialoog met de business. Daarbij werkt het beter om de boodschap af te stemmen op mensen die de problematiek vanuit een niet cyber invalshoek bekijken en andere doelen nastreven.
Het uitgangspunt voor deze dialoog? Veiligheid is niet het einddoel, IT security moet bijdragen aan de doelen van de organisatie.
Door Ronald van der Zon
Meer weblogberichten
Reactie toevoegen
U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.
Reacties
Er zijn nu geen reacties gepubliceerd.