Als bedrijven geen actie ondernemen, dan zullen zij de komende vijf jaar ruim vijf miljard dollar aan schade ondervinden van cyberaanvallen. Dit concludeerde Accenture onlangs op basis van een wereldwijd onderzoek. Voor de CISO en de board wordt het daarom steeds belangrijker het bedrijf hiertegen beschermen. Een security framework, zoals NIST, ISO, of in Nederland Bio of NEN 7510 kan hierbij helpen. Daarin wordt vastgelegd hoe de security risico’s en informatiebescherming zijn ingericht in de organisatie, de maatregelen als proces beschreven.
Maar hoe bepaal je nu welk framework het beste past bij jouw organisatie en hoe zorg je dat dit zo goed mogelijk aansluit bij de overige security maatregelen?
Om het juiste framework te kiezen, of de juiste onderdelen hiervan en dit succesvol te implementeren zouden CISO’s de volgende 3 stappen moeten nemen:
1. Praat met de board over de toegevoegde waarde van een security framework in relatie tot de bedrijfsdoelstellingen, kroonjuwelen en risico’s
Uit onderzoek van Gartner blijkt dat slechts 41 procent van alle grote bedrijven een security framework gebruikt. Dat is een gemiste kans want elke CISO, die cybersecurity serieus neemt, zou in overleg met de board direct moeten kijken naar de inzet hiervan in zijn organisatie. Het gebruik van een framework heeft namelijk een aantal belangrijke voordelen:
- Het stelt de organisatie in staat cyberrisico’s effectiever te managen. De meeste security frameworks bevatten documenten waarin al beleid, procedures en processen zijn gedefinieerd die van toepassing zijn op de security praktijk van een organisatie. Daardoor is het eenvoudiger deze processen in te richten en te beheren;
- Het wordt makkelijker aan interne en externe partijen uit te leggen hoe informatie, systemen en services binnen de organisatie worden beheerd en beveiligd;
- De controlemechanismen binnen een framework kan de CISO gebruiken om de security maturity van zijn organisatie te meten. Is deze niet wat het moet zijn, dan is het eenvoudiger om op basis van deze onafhankelijke mechanismen aanvullend budget voor zijn security beleid te krijgen.
2. Zorg dat framework-keuze voortvloeit uit strategie, compliance-eisen en klantverwachtingen
Voordat een CISO een keuze maakt over welk security framework hij kiest, moeten de bedrijfsdoelstellingen en de bijbehorende KPI’s eerst in kaart gebracht worden. Daarna moet een risico analyse gemaakt worden waarin bijvoorbeeld wordt beschreven welke afdelingen het meeste bijdragen aan het behalen van de KPI’s. Tot slot moet de scope worden bepaald en gekeken worden wie er van welke afdeling betrokken moet zijn bij de implementatie van het framework. Pas de laatste stap is het bepalen van het framework en de bijbehorende controlemechanismen.
Door je als CISO eerst een goed beeld te vormen van de controlemechanismen die je op basis van je security strategie nodig hebt om je risico’s goed te managen, wordt de keuze voor het juiste framework een stuk eenvoudiger.
3. Selecteer het framework dat het beste past bij de organisatie
Zodra de CISO weet welke controlemechanismen nodig zijn, kan hij het framework selecteren dat het beste past bij de organisatie. Soms vereist een klant of de overheid de keuze voor een bepaald framework. Ook zijn er diverse branchegerelateerde security frameworks zoals Bio voor de overheid of NEN 7510 voor de zorg.
Zijn er geen speciale vereisten, dan kan de CISO zich richten op een framework met de juiste controlemechanismen voor zijn organisatie. Een belangrijk advies daarbij is om klein te beginnen. Begin met een proof of concept met een framework met twee of drie controlemechanismen en breidt dit steeds verder uit. Er zijn ook tools die je kunnen ondersteunen, met de juiste voorbeelden om niet alleen je framework op te zetten, maar dit ook middels een workflow te beheren. Zo ben je altijd ‘in control’ en zullen audits makkelijk en soepel verlopen.
Het perfecte framework bestaat niet
Het is ook goed om in het achterhoofd te houden dat het perfecte framework niet bestaat. Alhoewel het ene framework iets meer van toepassing is dan het andere, zijn ze in feite allemaal goed. Kies daarom een framework waarvan jij als CISO overtuigd bent dat het het beste bij de organisatie past en gebruik de bijbehorende controlemechanismen om het securitybeleid in de organisatie verder te optimaliseren.
Wees je er ook van bewust dat een security framework niet alle security risico's in de organisatie afdekt. Verlies security risico’s die zijn vastgelegd in de security strategie niet uit het oog en vul ontbrekende controlemechanismen in het framework aan met elementen uit andere frameworks. De grootse uitdaging voor de CISO is een passend, niet te complex framework te kiezen, te zorgen dat bijbehorende controlemechanismen werken en dat ze via workflows zijn toebedeeld aan de juiste managers.
De enige foute keuze is geen keuze
Met het toenemende aantal slimme manieren om data te verkrijgen of te blokkeren via digitale of fysieke aanvallen, neemt ook het belang van preventieve security toe. Een security framework kan hier een belangrijke bijdrage aan leveren. Het dwingt de organisatie de processen rond security goed in kaart te brengen en zorgt ervoor dat mogelijke aanvallers weinig kans maken.
Lukt het je als CISO een framework effectief in te zetten, dan wordt de security maturity van de organisatie gegarandeerd naar een hoger niveau getild. De enige foute keuze voor een framework is dan ook geen keuze voor een framework.