Volgens Protiviti’s Executive Perspectives on Top Risks for 2021 en 2030 behoren cyberbedreigingen tot de top tien van meest beoordeelde kritieke risico’s van organisaties vandaag en voor 2030. De constant veranderende risicoomgeving vereist dat bedrijven flexibel zijn in de manier waarop ze zich aanpassen en cyberrisico’s aanpakken . CIO’s en CTO’s transformeren vaak bedrijfsoplossingen om het bedrijf in staat te stellen tools zoals kunstmatige intelligentie (AI) en Internet of Things (IoT) te gebruiken. Maar met deze tools komen nieuwe of verhoogde cyberbeveiligings- en technologische risico’s.
Door over te stappen van legacy-platforms naar flexibelere technologische omgevingen zoals Microsoft Azure (en andere cloudproviders), kunnen organisaties veilig profiteren van de kansen die dergelijke tools bieden. Wanneer organisaties op een doordachte en gedisciplineerde manier worden benaderd, kunnen ze hun transformationele doelstellingen bereiken en tegelijkertijd opmerkelijke stappen ondernemen om hun beveiligingshouding te verbeteren.
Terwijl organisaties hun technologieplatforms blijven moderniseren, moeten belangrijke cyberbeveiligingsdisciplines en -benaderingen worden overwogen. CIO’s moeten:
- Bouw veerkracht in de basis van het cyberbeveiligingsprogramma
- Implementeer nieuwe benaderingen en technologie-architecturen die nodig zijn om het bedrijf veilig mogelijk te maken
- Reageer op vijandige gebeurtenissen met zichtbaarheid, snelheid en behendigheid
- Werk samen met C-suite-leiders en geef waar nodig onderwijs om begrip en ondersteuning te krijgen
Nieuwe benaderingen van gegevensbescherming
Een van de belangrijkste technologische verschuivingen die cyberbeveiligingsprogramma’s hebben gevormd, is de overstap naar de cloud (dwz XaaS), Dit heeft een drastische impact op de effectiviteit van traditionele cyberbeveiligingstechnologieën en dwingt organisaties om hun cyberbeveiligingsarchitecturen te ontwikkelen en bij te werken. Het heeft ook geleid tot een minder nadruk op perimetergebaseerde controles rond het bedrijfsnetwerk, aangezien de focus meer verschuift naar identiteits- en datacentrische benaderingen. Mogelijkheden zoals microsegmentatie, Secure Access Services Edge (SASE) en softwaregedefinieerde perimeters zijn nu nodig om werknemers veilig in staat te stellen en zaken te doen met klanten. Hoewel eindpuntapparaten zoals laptops en mobiele apparaten nog lang een rol zullen spelen in organisaties, zijn deze nieuwe architecturen nodig om traditionele controles uit te breiden buiten de bescherming van bedrijfsnetwerken naar elke locatie over de hele wereld.
Veerkracht als basis
Wanneer organisaties niet langer worden beperkt door legacy-platforms en verouderde technologieën, kunnen organisaties gebruikmaken van een verscheidenheid aan nieuwe en evoluerende technologieën zoals de cloud om de kans op een aanhoudende storing met zakelijke gevolgen aanzienlijk te verkleinen. Van high-availability-architecturen tot verbeterde workload- en servicebeheer, CIO’s moeten een doordachte en opzettelijke aanpak volgen om de kansen te benutten en veerkracht in te bouwen in de vooruitstrevende architectuur. Snelheid, financiering en pandemieondersteunende operaties zorgen er echter voor dat deze veranderingen niet snel plaatsvinden. Het is ook belangrijk op te merken dat sommige bedrijfsonderdelen, zoals assemblagelijnen (waarvan sommige FDA-gecertificeerd zijn), wettelijk niet snel in staat zijn om de cloud over te nemen en legacy-applicaties te vervangen.
Zichtbaarheid, snelheid en wendbaarheid
Een aspect waar veel cybersecurityprofessionals het over eens zijn, is dat het ervaren van een beveiligingsincident geen kwestie is van “of”, maar “wanneer”. Zero trust-architectuur als beveiligingsmodel begint aan te slaan omdat een van de kernfilosofieën ervan is om altijd aan te nemen dat kwaadwillenden zich in de omgeving van een organisatie bevinden. Deze belangrijke mentaliteitsverandering heeft niet alleen invloed op hoe een programma wordt ontworpen, maar ook waar en hoe het budget wordt toegepast. Een ‘assume-inbreuk’-filosofie dwingt een organisatie om van zware investeringen in preventieve controles over te gaan naar een meer gebalanceerde portfolio met de nadruk op zichtbaarheid en respons.
Organisaties kunnen de blootstelling aan cyberrisico’s en de impact van incidenten op de bedrijfsvoering minimaliseren door middel van verbeterde monitoring-, detectie- en reactiemogelijkheden die de wendbaarheid en snelheid van een organisatie voeden, veerkracht ondersteunen en mogelijk de verblijftijd van de tegenstander verkorten.
In gesprek met de C-suite
Alle C-suite-leden moeten hun rol in de cyberbeveiligingsrisico’s van het bedrijf begrijpen en zorgen voor passend toezicht op de cyberbeveiliging in hun respectieve operaties en transformatieprojecten. CIO’s die samenwerken met hun uitvoerende tegenhangers erkennen dat CIO’s weliswaar de drijvende kracht zijn achter veel beslissingen op het gebied van cyberbeveiliging, maar dat het bundelen van de krachten met de rest van het leiderschapsteam van de organisatie de implementatie van technologie en verandermanagement helpt versterken en tegelijkertijd de ROI verhoogt. Elk C-suite-lid wordt op unieke wijze beïnvloed door cybertechnologie:
Chief Information Security Officer (CISO) – Er is een grote afhankelijkheid van IT en cybersecurity die nauw samenwerken om cyberincidenten te monitoren, op te sporen en erop te reageren. Naarmate grootschalige aanvallen vorderen en risicoprofielen toenemen, is het absoluut noodzakelijk dat CIO’s prioriteit geven aan cyberbeveiliging in overeenstemming met CISO’s.
Chief Risk Officer (CRO)– Moeilijke investeringsbeslissingen worden genomen door CFO’s. CRO’s moeten de ROI van dergelijke beslissingen helpen handhaven door IT- en beveiligingsrisico’s op één lijn te stellen met andere bedrijfsrisico’s.
Chief Audit Executive (CAE)– Voor zover cyberbeveiliging van invloed is op interne controles, moeten auditors de juiste training hebben om controles in een cloudomgeving te controleren.
Chief Marketing Officer (CMO)– CMO’s moeten goed gepositioneerd zijn om de klantreis op een veilige manier mogelijk te maken, inclusief het beveiligen van klantidentiteit en toegangsbeheer (CIAM).
Zakelijke leiders– Om veerkrachtige bedrijven op te bouwen, moeten leiders een actieve rol spelen bij het mogelijk maken van IT met een goed begrip van zakelijke doelen en services. Dienovereenkomstig moeten bedrijfsleiders bijdragen aan het herstel van ongunstige cyberbeveiligingsincidenten.
Medewerkers– Inkoop van medewerkers door middel van goede training en strategieën voor verandermanagement is essentieel voor projecten voor transformatie en modernisering van cyberbeveiliging.
Waar gaan bedrijven vanaf hier naartoe?
Cybersecurity vraagt om wendbaarheid en veerkracht. Terwijl organisaties hun ondernemingstransformatietraject doorlopen, is het belangrijk dat ze de volgende zaken in overweging nemen om de ROI te optimaliseren:
- Een goede ‘cyberhygiëne’ is van fundamenteel belang voor het beheersen van beveiligingsrisico’s en het behouden van de veerkracht van zakelijke diensten.
- Organisaties moeten een duidelijke maturiteitsbeoordeling hebben van hun huidige cyberbeveiligingsbescherming, met het beoogde volwassenheidsniveau dat is overeengekomen door zowel de CIO/CISO als de topmanagers of de raad van bestuur. Hierdoor kan de CIO/CISO plannen voor toekomstige verbeteringen.
- Bedrijven moeten cyberbeveiligingsrisico’s verkleinen zonder de transformatie van ondernemingen te vertragen en moeten zoeken naar mogelijkheden om de bedrijfswaarde te vergroten met nieuwe tools zoals Greenfield-cloudomgevingen.
- CIO’s en CISO’s moeten de omvang van cyberbeveiligingsimplementaties evalueren met het oog op bedrijfstransformatie, zorgvuldig bepalen welke maatregelen nodig zijn voor minimaal levensvatbare producten of diensten en waar nodig grotere cyberbeveiligingscomplexiteit toevoegen.
- Aangezien cyberdreigingen naar verwachting tot de top tien van risico’s voor organisaties zullen behoren in het komende decennium, moeten CIO’s ervoor zorgen dat hun organisaties over effectieve cyberbeveiligingsprogramma’s beschikken om risico’s te beperken en de waardevolle activa van hun bedrijf te beschermen tijdens en na de digitale transformatie.
Lees meer over Protiviti’s Cybersecurity Services.
Neem contact op met de auteurs:
Andrew Retrum
Directeur, Beveiliging & Privacy
Nick Puetz
Directeur, Beveiliging & Privacy
Michael Panga
Directeur, Digitale Transformatie
