Ondernemen gaat gepaard met risico’s nemen. Voor- en nadelen worden afgewogen, waarna een besluit wordt genomen. Om te voorkomen dat cyberrisico’s worden onderschat, heeft de CISO onder andere de taak om de verantwoordelijken bewust te maken van de enorme impact die cyberaanvallen kunnen hebben. Lex Borger, Cybersecurity Consultant bij Tesorion, legt uit wat daarbij komt kijken.
Businessverantwoordelijken moeten de urgentie voelen om hun risico’s in kaart te brengen, te monitoren en af te wegen – of dat nu om financieel verlies, reputatieschade of privacyschending gaat.
Maar hoe brengen organisaties hun risico’s in kaart? En hoe help jij als CISO de businessverantwoordelijken bij het nemen van maatregelen die de risico’s mitigeren en de bedrijfscontinuïteit verbeteren? En op een manier die de bedrijfscontinuïteit niet schaadt?
Risico’s en calamiteiten
Het dreigingslandschap van jouw organisatie verandert continu vanwege ontwikkelingen binnen en buiten de organisatie. Het is aan jou om te zorgen dat deze veranderingen worden bijgehouden, zodat het dreigingslandschap actueel en relevant blijft.
Om risico’s in kaart te brengen, voer je een risicoanalyse uit. Deze combineert een business impactanalyse (BIA), die de impact van verstoringen op kritieke processen in kaart brengt, met het dreigingslandschap. Verantwoordelijke managers voegen daar informatie aan toe over kwetsbaarheden en reeds genomen maatregelen.
Ook ketenbeheer is hiervoor essentieel: het beheren en coördineren van alle relaties binnen een supply chain, zodat ook externe zwakheden in kaart worden gebracht. Dit helpt om te bepalen welke informatie, processen en systemen het eerst aandacht verdienen.
Plannen, plannen en plannen
Vervolgens beheers je risico’s met beveiligingsmaatregelen en waar aanpassingen nodig zijn, stel je verbeterplannen op. Risico’s die moeilijk te voorkomen zijn, verwerk je in een business continuity plan (BCP), met maatregelen die gericht zijn op het beperken en herstellen van schade bij verstoringen. Denk hierbij aan failovermechanismen, redundantie in IT-omgevingen of het beschikbaar stellen van alternatieve werkplekken.
“Zonder beveiliging is er geen continuïteit, maar zonder risico is er geen vooruitgang.”
Een BCP bevat ook een crisismanagementplan, dat geactiveerd wordt zodra de bedrijfscontinuïteit bedreigd wordt. Zo’n plan bevat draaiboeken voor verschillende soorten verstoringen. Een draaiboek voor een cyberaanval beschrijft hoe je als organisatie handelt wanneer je te maken krijgt met een cyberincident. Zo beschrijft het onder meer de stappen die een organisatie moet nemen om de schade van de verstoring in te perken.
Denk hierbij aan het herstellen van systemen, stappen voor de communicatie aan collega’s en stakeholders, en na de verstoring het evalueren en mogelijk aanpassen van het bedrijfscontinuïteitsplan.
Het vinden van balans tussen continuïteit en veiligheid
Het inventariseren van risico’s en het handelen bij verstoringen, het uitvoeren van een BCP en het opstellen van relevante draaiboeken: het lijkt allemaal duidelijk. Maar jouw rol als CISO hierin is toch wat ingewikkelder dan dat. Jij moet de directie namelijk helpen met het bepalen van de risicobereidheid – de balans tussen het nemen van intensieve veiligheidsmaatregelen of het accepteren van risico’s.
Voor managers die zich niet voldoende bezighouden met de cybersecurity van hun domein lijken continuïteit en veiligheid soms net tegenpolen, zeker wanneer beveiligingsmaatregelen kostbare tijd en resources opeisen. Daardoor ontstaat er spanning tussen snelheid en veiligheid: je wilt voorkomen dat maatregelen onnodig afremmen als het risico acceptabel is, en andere risico’s hebben hun maatregelen nodig.
Een verkeerd aangepakt risico leidt tot kwetsbare processen en systemen. Zo vereist bijvoorbeeld een snelle softwareontwikkeling soms concessies aan updates en testen, terwijl dit weglaten de risico’s verhoogt.
Die verkeerde inschatting heeft geleid tot het incident bij cybersecuritybedrijf CrowdStrike, dat een foutieve update uitbracht die leidde tot een wereldwijde Windows-storing in juli 2024. Dit incident toont het belang van ketenbeheer: CrowdStrike had de impact van een fout op de bedrijfsvoering van klanten onderschat, terwijl klanten op hun beurt onvoldoende hadden geanticipeerd op het risico van de afhankelijkheid van deze leverancier.
Het is aan de CISO om de directie hun verantwoordelijkheid in het vinden van de balans aan te wijzen, en hen te helpen afwegen aan de hand van een risicoanalyse, ketenbeheer en een business continuity plan.
Evenwicht
In een wereld waarin technologie zich razendsnel ontwikkelt, is het belangrijk dat jij als CISO zowel de veerkracht van de organisatie waarborgt, als het bedrijf de mogelijkheid en ruimte geeft om te blijven innoveren. Zonder beveiliging is er geen continuïteit, maar zonder risico is er geen vooruitgang. Op basis van inzicht en samenwerking help jij als CISO de organisatie om die balans te vinden.
