Security-assessment: de basis van evenwichtig securitybeleid

21 mei 2019
Marcel Schipper door Marcel Schipper

Het is wellicht naïef om te denken dat IT-security altijd toereikend is om cybercriminelen buiten de deur te houden en kwetsbaarheden en risico’s te elimineren. Om toch adequaat beveiligd te zijn, is het raadzaam om de belangrijkste processen, applicaties en informatiestromen in kaart te brengen en deze te voorzien van passende beheersmaatregelen. Dit Security-assessment geeft inzicht in de vraag welke securitycomponenten essentieel zijn en stelt je tevens in staat de effectiviteit van investeringen te monitoren en te verbeteren. Zo staat het assessment aan de basis van succesvolle IT-security.

Het lijkt vanzelfsprekend dat je als organisatie weet wat je belangrijkste processen zijn, wat je core business is. Maar nu de digitale transformatie om zich heen grijpt, is het goed mogelijk dat accenten verschuiven, prioriteiten veranderen en bepaalde klantsegmenten interessanter worden. Dat betekent ook dat het zwaartepunt van bedrijfsprocessen kan veranderen. Daarom is het goed regelmatig stil te staan bij de vraag wat de essentiële onderdelen zijn van je organisatie en je dienstverlening. Vervolgens kun je de securityrisico’s in kaart brengen. Deze kunnen immers ook mee veranderen en bewegen met ontwikkelingen die je als organisatie doormaakt.

Prioriteiten aanbrengen

Idealiter begin je met het vaststellen van je primaire bedrijfsprocessen. Welke processen geven jouw organisatie bestaansrecht? Kijk hierbij naar de producten die je ontwikkelt en levert, de diensten die je aanbiedt, de klanten of klantsegmenten die de meeste waarde genereren, welke bedrijfsapplicaties de primaire processen ondersteunen en welke informatie daarbij onmisbaar is. Bedenk wat de gevolgen zijn als er een inbraak plaatsvindt op een primaire database. Wat gebeurt er als je één dag offline bent of in het nieuws komt omdat gegevens op straat liggen? Wat gebeurt er als je intellectuele eigendom wordt gestolen door kwaadwillende? Wat is de schade? Wanneer je de kans van optreden maal de omvang van de impact berekent, kun je een soort ranglijst maken van de risico’s. Je kunt prioriteiten aanbrengen.

Kwetsbaarheden blootleggen

Vervolgens is het zaak de link te leggen naar je IT-omgeving. Vandaag de dag zijn alle bedrijfsprocessen onlosmakelijk verbonden met een vorm van IT-ondersteuning. Met het lijstje business risico’s dat je eerder hebt opgesteld, kijk je naar de IT-architectuur en bepaal je welke IT-componenten verbonden zijn aan risico’s met een grote impact. Denk aan (delen van) het netwerk, business applicaties (CRM of ERP) of een productieomgeving die is voorzien van IoT-oplossingen en sensordata levert. Hierbij kun je geholpen worden door een stukje software dat je in het netwerk kunt plaatsen en van daaruit het netwerkverkeer monitort en scant. Zo worden risico’s en kwetsbaarheden automatisch blootgelegd en verzamel je technische bewijzen om je theoretische kader te ondersteunen. Het is bijvoorbeeld mogelijk om te detecteren of er een inlogpoging op een database heeft plaatsgevonden en zien of het hier ging om een fout in de Active Directory of dat er daadwerkelijk sprake is van een poging tot inbraak.

Onderzoeksrapport security

Onbalans herstellen

Je hebt nu een duidelijk beeld van de business impact die cybersecuritydreigingen kunnen hebben en je hebt dit gekoppeld aan kwetsbaarheden in de IT-omgeving. De volgende stap in de assessment is bepalen welke securitymaatregelen je al genomen hebt om het gevaar af te wenden en of dit nog altijd toereikend is. Andersom kan natuurlijk ook; dat je een paardenmiddel hebt geïmplementeerd om een database en een server te beschermen die in onbruik zijn geraakt. Kortom, je stelt vast of de securitymaatregelen die je hebt genomen nog steeds in lijn zijn met de impact van de risico’s die je opnieuw hebt beoordeeld. De kans is groot dat er op een aantal onderdelen een onbalans is ontstaan die je moet herstellen. Met de resultaten van dit assessment heb je een degelijke onderbouwing wanneer je bij het management nieuwe investeringen in security moet verdedigen. De resultaten van het scannen van het netwerkverkeer helpen hier ontzettend bij; er staat zwart op wit waar de kwetsbaarheden zitten.

Van assessment naar roadmap

Goed beschouwd levert een security assessment je een mooie business case op. Je zet investeringen af tegen de risico’s die je uit de weg ruimt. Met andere woorden: als de aanpassingen niet worden doorgevoerd en investeringen niet worden gedaan, gaat je dat uiteindelijk opbreken: minder omzet, ontevreden klanten, imagoschade of boetes van toezichthouders. Met dit assessment heb je een uitstekende basis gelegd om de security roadmap uit te stippelen. Je hebt nu immers de prioriteiten helder op het netvlies.

Klaar voor de volgende stap? Lees onze blog over de security roadmap.