Op welke manier kan security zich verbinden aan het primaire proces?
Het is geen vraag meer óf organisaties digitale aanvallen zullen ondervinden, maar wanneer. Toch lijken afdelingen in het primaire proces soms nog lastig te overtuigen om voldoende maatregelen te nemen. De businesscase voor security moet dus worden versterkt door inzichtelijk te maken wat de business value van beveiliging is. Hoe?
Van ‘businesscase’ naar ‘business value’
Security lijkt veel overeenkomsten te hebben met een verzekering: zolang incidenten uitblijven, lijken alle investeringen in beveiliging voor niets. Maar als organisaties na een aanval onvoldoende veilig blijken, zijn de kosten van een incident vele malen hoger dan een initiële beveiligingsinvestering zou zijn geweest. Het gebrek aan harde openbaar toegankelijke data van directe en indirecte schade door beveiligingsincidenten versterkt dit, omdat dit het kwantificeren van de toegevoegde waarde van security compliceert. Hoewel voor ingewijden duidelijk is dat het geen vraag is óf organisaties worden aangevallen, maar wannéér, lijken de afdelingen in het primaire proces soms nog lastig te overtuigen om voldoende maatregelen te nemen. Dit geldt zeker voor kostbare beveiligingsmaatregelen, zoals een Security Operations Center (SOC), die moet worden bemenst door schaarse medewerkers met dure expertise. De businesscase die wordt opgesteld door security-medewerkers dient derhalve zo sterk mogelijk te zijn om organisaties te behoeden voor incidenten die gaan komen. Een bekende zwakte van veel businesscases voor security ligt in de moeilijkheid om de ‘business value’ inzichtelijk te maken. Een belangrijke oorzaak hiervoor ligt in de gebrekkige verbinding tussen de security-afdelingen en de afdelingen in het primaire proces.
Wat betekent dat voor onze organisatie?
Organisaties willen vooral dat de primaire, kritische processen van hun organisatie normaal blijven opereren. Om de voordelen van een SOC en andere beveiliginginvesteringen te formuleren, is het essentieel om de waarde van de beveiliging voor deze primaire, kritische processen zo scherp mogelijk te beschrijven. Vooral als er een concrete dreiging of aanval is. Voor het primaire proces krijgt een security-dreiging of aanval alleen betekenis als het terug te brengen is naar de KPI’s van een organisatie. Welke KPI’s dit zijn, verschilt per organisatie: dit kan (duurzame) winst, beschikbaarheid van diensten en/of bescherming van data zijn. De security-afdeling van een organisatie dient bij een aanval niet alleen inzichtelijk te maken wat er precies is gebeurd, en welke data is verloren, maar dient ook een vertaling te maken naar de potentiële schade in termen van de relevante KPI’s van een organisatie.
Hiervoor is een gemeenschappelijk kader tussen de securityafdeling en de afdelingen in het primaire proces nodig. In dit ‘gemeenschappelijk framework’ wordt onder meer dezelfde taal gesproken, worden dezelfde definities gebruikt en wordt uitgegaan van dezelfde vooraf bepaalde kritische data van de organisatie. Het framework wordt opgebouwd door het op orde en onder controle krijgen van de basis van de beveiliging. Nadat de basis op orde is, dienen vernieuwing en de innovaties vanuit de het primaire proces te worden vertaald naar beveiliging. De statische eerste stap ontwikkelt zich naar een dynamischere omgeving: als het primaire proces verandert, verandert de beveiliging mee. In stap 3 en 4 nemen de integraliteit en de dynamiek toe met real-time potentie.
1. Basis op orde
In de praktijk zien we dat veel organisaties moeite hebben om de basis van beveiliging op orde te krijgen. In het oogspringende beveiligingsmaatregelen zoals fysieke beveiliging, screening van personeel, identity and access management, patch management en point-solutions voor netwerkbeveiliging zijn veelal geïmplementeerd. Beveiliging op basis van risico’s, security by design, beveiligingsbeleid, en naleving van regels is veelal minder goed onder controle. Vooral risicoanalyses worden slechts rudimentair toegepast terwijl dit bij uitstek een methode is om effectieve en kostenefficiënte maatregelen te treffen. Door gebrek aan integraliteit tussen maatregelen is bovendien niet inzichtelijk of alle risico’s voldoende zijn afgedekt. In het op orde krijgen van de basis van beveiliging vindt de eerste verbinding met het primaire proces plaats. Samen met de afdelingen in het primaire proces moet een prioritering van de beveiligingsinspanning worden bepaald. De prioritering wordt gebaseerd op de meest kritische bedrijfsprocessen van de organisatie. Deze zijn immers het belangrijkste voor het voortbestaan van de organisatie en verdienen het eerste aandacht voor beveiliging. Hetzelfde geldt voor de kritische data die een organisatie heeft, zoals persoonsgegevens of intellectueel eigendom. Deze verdienen voorrang boven andere processen en data. De afdelingen in het primaire proces bepalen de gewenste beveiligingsniveaus in termen van vertrouwelijkheid, integriteit en beschikbaarheid. Alleen deze afdelingen kunnen aangeven of het acceptabel is als een proces er in 1 minuut uit ligt, of 1 uur of 1 dag.
2. Vernieuwing en innovatie
De basisbeveiliging zal door de steeds veranderende bedrijfsprocessen moeten mee ontwikkelen. Het kan niet bij een eenmalige analyse en implementatie van maatregelen blijven. Bedrijfsprocessen veranderen momenteel in snel tempo door digitalisering; enerzijds wordt daardoor de afhankelijkheid van ICT groter, anderzijds krijgen klanten en burgers vaak directer toegang tot bedrijfsprocessen. Beide aspecten van digitalisering maken beveiliging derhalve onmisbaar. Uit het Trends in Veiligheid onderzoek 2015 van Capgemini, uitgevoerd door TNS NIPO, blijkt ook dat 85 procent van de ondervraagden van mening is dat meer digitale communicatie en dienstverlening de noodzaak voor security verhoogt. Maar ook vooral de verandering van een bedrijfsproces vergroot de noodzaak om de beveiliging opnieuw tegen het licht te houden. Verandering betekent niet per definitie dat de beveiliging moet worden verhoogd. Als een (deel van een) proces wordt ondergebracht bij een derde partij zouden bepaalde maatregelen juist kunnen worden teruggeschroefd. Het proces uit stap 1 moet derhalve periodiek worden herhaald om wijzigingen in bedrijfsprocessen mee te nemen in de beveiliging. Het borgen van beveiliging als een onderdeel van de bestaande planning- en controlecyclus van de organisatie verzekert aanhoudende aandacht. Tegelijkertijd is het belangrijk dat de security aansluit bij organisatieonderdelen die veelal vooraan staan bij vernieuwingen en innovaties, zoals inkoop, programma’s en projecten, én natuurlijk het primaire proces zelf. Security wordt daarmee adviseur van de afdelingen in het primaire proces.
3. Integraal risicomanagement
Wanneer de verbinding met het primaire proces zich tot dynamische samenwerking heeft ontwikkeld, bieden zich nieuwe kansen aan. Digitale veiligheid moet onderdeel gaan uitmaken van het integrale risicomanagement van de organisatie. Gezien het potentiële effect van digitale veiligheid (zowel positief als business enabler, als negatief als business risk) op het bereiken van de KPI’s van een organisatie is dit meer dan gerechtvaardigd. Het is bovendien Chef Sache: de CXO van de organisatie moet er voortdurend van op de hoogte worden gebracht, en deze moet dat ook willen. De CXO is er wellicht niet verantwoordelijk voor dat het goed gaat, maar is er zeker wel verantwoordelijk voor als het fout gaat. Digitale veiligheid dient in verbinding te staan met gekende risicomanagement specialismen als financieel risicomanagement, reputatierisicomanagement of contractrisicomanagement, zodat digitale risico’s inzichtelijk zijn voor de organisatie. De vertaling van technische vulnerabilities of ‘Indicators of Compromise’ naar business value gerelateerd aan de KPI’s van de organisatie is cruciaal. De vraag: “Wat betekent dat voor onze organisatie?” moet worden beantwoord om de juiste meerwaarde te hebben voor het primaire proces. Voor de vertaling van techniek naar het primaire proces kan security onverwachte allianties inzetten. Voor het inzichtelijk maken van reputatierisico’s na een digitaal lek of een aanval kan worden samengewerkt met reputatie-experts van communicatie- en marketingteams in organisaties. Voor financiële risico’s met Financial risk enzovoorts.
4. Real-time monitoring: SOC als Big Data-bron
De manier om de verbinding tussen de security en het primaire proces op een dagelijkse manier te versterken, is door vanuit de meest operationele afdeling, het Security Operations Center (SOC), de basis te laten leggen naar real-time integraal risicomanagement in een organisatie (zie voor het succesvol inrichten van een SOC het artikel van Michail Theuns en Roger Wannee in deze editie van Trends in Veiligheid). De ‘intelligence’ die SOC’s voor de informatiebeveiliging van organisaties genereren, wordt nog niet ontwikkeld voor het versterken van de afdelingen in het primaire proces van organisaties. De waarde voor het primaire proces is in potentie aanwezig. Het verschil met stap 3 is dat een SOC veel accurater en dynamischer kan acteren. Risico’s kunnen real-time inzichtelijk worden gemaakt, waarop het primaire proces kan reageren. Een SOC (in-house of managed) is hiermee feitelijk randvoorwaardelijk voor elke van IT-afhankelijke, digitale organisatie. Door de afdelingen in het primaire proces te voeden met de actionable intelligence uit de security-organisatie wordt tevens de businesscase en zichtbaarheid van security beter. Ook bij daadwerkelijke incidenten hoeven niet vaststaande risicoscenario’s te worden geïnterpreteerd. Incidenten kunnen real-time worden geanalyseerd, waardoor preciezer kan worden ingeschat welke risico’s er zijn gelopen en wat de schade is. Op het gebied van security intelligence lijkt nog veel business value te behalen.
Het is lastig in het algemeen aan te geven wat de business value van een bepaalde beveiligingsmaatregel is. De securityspecialist lijkt daarbij op de jurist die ook voortdurend stelt: “dat hangt ervan af”. Voor security is het essentieel de specifieke dreigingen en risico’s van een proces als uitgangspunt te nemen in relatie tot de KPI’s van een organisaties. Kijkend naar de trends in digitale transformaties, zoals social, mobile, Internet of Things, moet beveiliging momenteel meegroeien naar real-time en een steeds bredere en diepere digitalisering van processen aankunnen. Security Operations Centers en security intelligence spelen in op de noodzaak van weerbaarheid en real-time monitoring, en attributed based identity management op toegangsbeheer tot data dat tegelijkertijd effectiever en veiliger is.
Het is geen vraag meer óf organisaties digitale aanvallen zullen ondervinden, maar nog slechts wanneer. Ondanks aanzienlijke dreigingen en risico’s lijken afdelingen in het primaire proces van organisaties soms nog lastig te overtuigen om afdoende maatregelen te nemen. Om dit te verbeteren, moet de businesscase voor security worden versterkt door steeds inzichtelijk te maken wat de business value van beveiliging is. Dit verbetert als de verbinding tussen de security-afdelingen en de afdelingen in het primaire proces wordt versterkt. Want pas als er betekenis kan worden gegeven gerelateerd aan de KPI’s van de organisatie, zal security de rechtmatige stem in de boardroom kunnen bemachtigen.