De fundamenten van veerkracht ontwikkelen

Professionals op het gebied van beveiliging en risicobeheer (SRM) staan in de frontlinie als het gaat om het verdedigen van organisaties tegen cyberdreigingen, en velen begrijpen dat het een kwestie is van wanneer, en niet óf, hun bedrijf het doelwit wordt. Het Global Risks Report 2024 van het World Economic Forum rangschikt cyberonveiligheid als het op drie na grootste risico voor organisaties, een stijging ten opzichte van de achtste plaats het jaar ervoor.

Dit vraagt om een andere aanpak dan traditioneel door IT-teams werd gehanteerd; een aanpak waarbij organisaties ernaar streven om echt veerkrachtig te worden, in staat om zichzelf zoveel mogelijk te beschermen tegen het risico van cyberaanvallen, maar ook om te herstellen mocht er een plaatsvinden.

"Veerkracht draait om het holistisch bekijken van de uitdaging," zegt Marc Lueck, CISO in Residence bij het cloudgebaseerde cyberbeveiligingsplatform Zscaler. "Het vereist dat we dit als een filosofische uitdaging beschouwen, in plaats van een technische, zodat bedrijven ervoor kunnen zorgen dat ze voorbereid zijn en snel kunnen reageren op elke aanval. We moeten afstappen van het ouderwetse denken over controles als geïsoleerde maatregelen die op een bedrijf worden toegepast en kijken hoe we algehele veerkracht kunnen bereiken."

Onderzoek van Gartner suggereert echter dat veel SRM-professionals onzeker zijn over hoe veerkracht kan helpen hun beveiligingsprogramma te versterken, en in plaats daarvan vertrouwen op verouderde, gefragmenteerde benaderingen op operationeel niveau in plaats van als onderdeel van een breder, bedrijfsbreed initiatief.

In plaats van alleen technische problemen aan te pakken en te reageren op gebeurtenissen die plaatsvinden, moeten organisaties een "resilient by design"-aanpak implementeren, zegt Lueck. Dit betekent een stap terug doen om ervoor te zorgen dat de bedrijfsarchitectuur is opgezet om onderbrekingen te voorkomen en zichzelf kan beschermen tegen bedreigingen, met een IT-infrastructuur die is ontworpen om risico's te verminderen, en waar een sterke focus ligt – geleid door IT – op het bouwen van teams en culturen die van nature veerkrachtig zijn.

"Het vermogen om een aanval te voorkomen, een aanval te weerstaan terwijl deze gaande is en te herstellen van een aanval nadat deze heeft plaatsgevonden, is niet iets dat kan worden gedaan door één groep of één technologie in één deel van het bedrijf," legt Lueck uit. "Bedrijven moeten holistisch naar hun organisatie kijken en ervoor zorgen dat ze dit diepe vermogen hebben om deze aanvallen te voorkomen, te weerstaan en ervan te herstellen."

Dit betekent ervoor zorgen dat veerkracht wordt meegenomen in elk besluitvormingsproces, inclusief het bouwen en uitbreiden van bedrijfscapaciteiten, voordat deze al is vastgesteld. "Het kan de flexibiliteit van het bedrijf vergroten, omdat veranderingen in de architectuur de zaken daadwerkelijk kunnen versnellen," zegt Lueck. "Het gaat erom na te denken over de uitdaging voordat je zakelijke veranderingen doorvoert."

Hij gebruikt de analogie van het voorbereiden op een storm, met behulp van een combinatie van het monitoren van voorspellingen, het inzetten van hulpmiddelen zoals paraplu's en het aanbrengen van verbeteringen aan gebouwen om de impact te helpen beperken, en vervolgens ervoor zorgen dat essentiële diensten zoals wegen en ambulances beschikbaar zijn om eventuele schade op te vangen. "De storm is een perfect voorbeeld," zegt hij.

"Door je externe aanvalsoppervlak te beheren en te kijken naar het consumeren van dreigingsinformatie, begin je de storm te voorspellen. Door ervoor te zorgen dat je passende controles en connectiviteit hebt, begin je uit te werken hoe je achteraf kunt opruimen." Het uitvoeren van tests door middel van tabletop-oefeningen is hier een belangrijk onderdeel van, voegt hij eraan toe, zodat bedrijven kunnen voorspellen wat er zou kunnen gebeuren in tijden van crisis.

Het is echter essentieel dat dit niet volledig wordt overgelaten aan SRM-professionals. "We hebben bestuursleden nodig die pleiten voor veerkracht, en daarom is veerkracht zo'n handige titel, omdat het niet verstrikt is in het jargon van cyberbeveiliging," zegt hij. Dezelfde aanpak kan worden toegepast op andere risico's waarmee organisaties worden geconfronteerd, voegt hij eraan toe, zoals het omgaan met verstoringen als gevolg van wereldwijde conflicten. Hierdoor kunnen bedrijfsleiders ook hun eigen persoonlijke veerkracht verbeteren, waardoor ze betere leiders worden.

Organisaties die een 'resilient-by-design'-aanpak kunnen hanteren, kunnen aanzienlijke concurrentievoordelen verwachten en zijn beter bestand tegen incidenten. Gartner's onderzoek suggereert dat organisaties die de principes van veerkracht adopteren, beter presteren dan hun minder veerkrachtige concurrenten, sterkere, meer aanpasbare cyberbeveiligingsprogramma's bouwen en een duidelijk plan hebben voor wanneer er iets misgaat.

"Aanvallen komen steeds vaker voor en als we dit allemaal in een of andere vorm gaan meemaken, kan veerkracht het concurrentievoordeel zijn om je bedrijf sneller op gang te krijgen, met meer winst of gewoon om je bedrijf überhaupt draaiende te houden," zegt Lueck. "Investeren in veerkracht kan een bedrijf niet alleen beschermen, maar er ook voor zorgen dat het succesvol is. Dat is een primeur voor beveiliging, en het is pas in de afgelopen jaren de enabler geworden waarvan we altijd droomden dat het zou kunnen zijn."