De must van een roadmap voor security

23 mei 2019
Marcel Schipper door Marcel Schipper

Vroeger was de inrichting van de IT-security vergelijkbaar met het beschermen van een fort. Prikkeldraad, een sloot rondom en hoge muren zorgden ervoor dat indringers niet de kans kregen om te enteren. De IT-infrastructuur was zo opgezet dat met diverse punt-oplossingen de security werd gewaarborgd. Dit is echt verleden tijd: de simpelste apparaten hebben een internetverbinding en zijn als het ware open voor de hele wereld. Traditionele security biedt een organisatie geen garantie meer dat cruciale bedrijfsdata veilig is. Daarom moet het in control zijn over uw IT-security bovenaan de agenda staan. Een roadmap voor security, in combinatie met een assessment, biedt uitkomst in het perspectief van risicomanagement en zorgt voor grip.

Nadat je businessmodel en risico’s in kaart zijn gebracht middels een security assessment is een cruciale vervolgstap dat er wordt nagedacht over de gevolgen van die risico’s. Dit lijkt logisch, maar wordt door organisaties nog te vaak overgeslagen. Simpelweg omdat ze niet de vereiste kennis en inzichten hebben. Dit heeft tot gevolg dat er wél duidelijk is wat de positie in de markt is en welke risico’s er zijn op het gebied van security, maar niet wat die risico’s voor impact hebben op de business. Iedere organisatie is uniek en er bestaat dus geen one size fits all-methode bij IT-security. Om grip te krijgen op de security van jouw organisatie, moet duidelijk zijn welke stappen de hoogste prioriteit hebben. Dit doe je door het maken van een unieke security roadmap.

Confidentiality, integrity and availability-analyse

Het is onmogelijk om alles tegelijkertijd aan te pakken als het op je security aankomt. Vergelijk het met het afsluiten van een levensverzekering: ieder mens is uniek en het is onmogelijk om je voor alle risico’s even goed te verzekeren. Door stil te staan bij hetgeen voor jouw organisatie de hoogste prioriteit heeft, voorkom je dat je een verzekering met een torenhoge premie neemt die niet aansluit bij jouw unieke situatie. Of misschien erger, je investeert in slechts één oplossing en vergeet daarbij andere grote risico’s. Met het confidentiality, integrity and availability-assessment breng je in kaart wat de gevolgen zijn van een bepaald risico. Dus je stelt de vragen; hoe vertrouwelijk zijn mijn gegevens, tast dit risico de integriteit van de organisatie aan en welk gevolg heeft dit risico op de continuïteit van de processen? Hoeveel kost het jouw organisatie als bedrijfsgegevens op straat komen te liggen? Wat is de schade als de IT-systemen een dag ontoegankelijk zijn? Vaak genoeg lees je negatieve verhalen over organisaties die de dupe zijn geworden van onverwachte gebeurtenissen ten gevolge van een falende IT-security. Het helder hebben van de impact en kosten van een risico zijn de eerste stappen bij het maken van een security roadmap.

Onderzoeksrapport security

Mitigeren van risico’s

Wanneer je weet welke risico’s de hoogte prioriteit hebben in jouw organisatie en wat dit de organisatie kost, ga je op zoek naar de geschikte oplossing. Het project dat hier uitrolt, bijvoorbeeld het voorkomen van datalekken, kost net als het risico een bepaald bedrag. Vergelijk dit met de kosten van het risico en je kan een goede afweging maken. De security roadmap wordt opgesteld door de kans van het risico maal de impact te doen. Op deze manier bepaal je de volgorde van belangrijkheid en breng je structuur en planning aan. Het risico dat hoog x hoog scoort, zet je op de roadmap vooraan en laag x laag stel je uit of wordt zelfs helemaal niet aan de planning toegevoegd. Een security roadmap biedt direct een structuur om dit te besturen. Zo blijf je in control en verhoog je de volwassenheid van de organisatie als het gaat om security.

Maturity-level

Organisaties met een security roadmap en dus een hoog maturity-level zijn in staat om sneller te schakelen als het aankomt op security-projecten. Hoe hoger de volwassenheid, hoe sneller de transitie kan worden gestart. Toch zijn er ook genoeg organisaties die wel een firewall geïnstalleerd hebben, maar er nooit een blik op werpen. Een security roadmap geeft de richting aan waar je als organisatie naartoe wil bewegen. Samen met de risico- en prioriteitenlijst, geeft een security roadmap een duidelijk overzicht waardoor het eenvoudiger wordt om budget los te krijgen voor de IT-security.

Je hebt nu de kwetsbaarheden van de IT-omgeving in kaart gebracht en prioriteiten gesteld door een link te leggen met impact voor de business. Vervolgens dien je de roadmap die is gerealiseerd uit te voeren; dit gebeurt in de executiefase. Dan blijkt dat je er niet bent met het implementeren van oplossingen alleen. Lees onze blog over security-executie en voorkom verrassingen.