Ad Buckens

Ad Buckens

Vice President Consulting Expert - Cybersecurity

Het beschermen van de organisatie tegen cyberdreigingen is een thema dat tot op bestuursniveau speelt. Hoewel het onderwerp op de agenda staat, lijkt het nog steeds niet altijd ingebakken in het ontwerp van nieuwe oplossingen. De CGI Client Global Insights van 2020 is voor ongeveer 50% vóór het uitbreken van de pandemie en voor 50% tijdens de pandemie uitgevoerd. In de analyses van interviews die ná het uitbreken van de pandemie zijn afgenomen zien we een toename in het belang dat wordt toegekend aan cybersecurity en cloud delivery models. We zagen in onze onderzoeken over de afgelopen jaren een sterk verband tussen digitale transformatie en de drang om de organisatie te beschermen. Zetten de eerste bewegingen in deze richting door of keren we terug naar een oude normaal?

De veranderde economie

De COVID19-pandemie heeft een grote impact op organisaties en het persoonlijke leven van burgers. Maar wat zijn de effecten op lange termijn? Lockdowns in veel landen over de hele wereld hebben ertoe geleid dat een aanzienlijk aantal mensen vanuit huis werkt. Organisaties zoeken nu naar nieuwe beheersing en het feit dat organisaties in toenemende mate verantwoordelijk worden gehouden voor de informatie die zij verwerken, vraagt om maatregelen op het gebied van authenticatie, autorisatie en onweerlegbaarheid. In een wereld die gebruikmaakt van cloudoplossingen die goed moeten worden beveiligd, blijft tijdige toepassing van beveiligingsprincipes zoals beschikbaarheid, integriteit en vertrouwelijkheid binnen het ontwikkelingsproces van nieuwe IT-oplossingen belangrijk. Vroegtijdige aandacht voor het thema kan organisaties helpen om kostbare reparaties achteraf te voorkomen. In de CGI Client Global Insights van dit jaar, en specifiek in onze pre en post pandemie analyses, zien we dat de organisaties blijven investeren in de cloud. Verschillende onderzoeken laten zien dat beveiligingsbudgetten daarentegen druk ondervinden en de focus wordt verlegd naar het noodzakelijke. Een eerste beweging naar de oude normaal?

De informatiebeveiligingscyclus

Cybersecurity werd voor veel organisaties een thema op zowel business als IT gebied tijdens de massale ransomware-aanvallen in de zomer van 2017. Organisaties ondernamen actie om zich te beschermen, maar het mag geen eenmalige activiteit zijn; het onderwerp verdient continue aandacht. Denk hierbij aan het beoordelen van nieuwe en bestaande risico's, het treffen van beschermende maatregelen en controleren van activiteiten. Risico assessments kunnen helpen bij het identificeren van de zakelijke impact, bedreigingsactoren en kwetsbaarheden in de organisatie. De cyclus vraagt ook om integratie in alles wat organisaties in hun ecosysteem doen. Aangezien organisaties opereren in sterk verbonden werelden kan het effect van een inbreuk op de beveiliging bij een partner, een ongewenst effect op de eigen organisatie hebben. Dit kan een direct effect zijn via een netwerkverbinding, maar het kan ook worden veroorzaakt door bijvoorbeeld de onbeschikbaarheid van een partner. Het naleven van de cyclus helpt organisaties in een beveiligingsritme te komen op weg naar integratie in ontwikkelprocessen.

Voorkomen van kosten

Om beveiliging effectief te kunnen integreren is het van belang een uitgebreide beoordeling uit te voeren om risico’s te identificeren, kwantificeren en prioriteren. Vervolgens is het belangrijk informatie te identificeren en classificeren en daarna de daadwerkelijke beveiligingsmaatregelen van de organisatie in te richten. Het National Cyber Security Centre in het Verenigd Koninkrijk onderkent vijf stappen om dit te stimuleren. Het NCSC onderkent het belang van het vaststellen van de  context, vanaf het begin van de bouw of upgrade van een omgeving. Naast het definiëren van het systeemlandschap is het van belang in deze fase vast te stellen welk risico niet wordt geaccepteerd. Vervolgens wordt bepaald hoe een kwaadwillende dit risico zou kunnen uitbuiten. Door dit in te schatten kunnen concretere maatregelen worden ontwikkeld om aanvallen te voorkomen of vroegtijdig te detecteren. Door beveiliging en privacy op deze wijze te integreren, kunnen kostbare reparaties achteraf worden voorkomen. Dit vraagt een strategie op het gebied van Security by Design.

Van Special naar Commodity

Na het definiëren van de strategie op het gebied van Security by Design, is het tijd om beleidslijnen, normen en governance-kaders te implementeren. De vervolgstap is het implementeren van best practices op het gebied van secure software (development) lifecycle en Security by Design. Denk hierbij aan de integratie in de CI / CD pipeline (Continuous Integration / Continuous Development). CI / CD automatiseert het softwareleveringsproces: het bouwt code, voert functionele en technische tests uit en implementeert een nieuwe versie van de applicatie. De pipeline helpt programmeerfouten te verwijderen en garandeert snelle feedback aan de softwareontwikkelaars. Te vaak nog worden beveiligings- en privacytests niet meegenomen in de pipeline, terwijl het kan helpen om fouten vroegtijdig te detecteren en op te lossen. Door beveiligingstests nadrukkelijker te integreren, beweegt het onderwerp informatiebeveiliging van een special in een commodity.

Conclusie

COVID19 zorgt ervoor dat organisaties zichzelf opnieuw uitvinden en noodzakelijke veranderingen doorvoeren. Dit is het juiste moment om beveiliging te integreren in ontwikkelprocessen? De volgende stap is om de architectuurprincipes, waarin beveiliging vaak al een belangrijk onderwerp is, te concretiseren en het onderwerp toe te voegen aan de CI / CD-pipelines als een belangrijk acceptatiecriterium. In de recente onderzoeken zien we dat het belang van informatiebeveiliging wordt onderkend, maar in deze tijden even niet de nummer één prioriteit is. Aansluitend bij mijn vorige blog: nog even geen gemeengoed dus, maar wel hét moment om de investering in Security by Design in gang te zetten.

Over de auteur

Ad Buckens

Ad Buckens

Vice President Consulting Expert - Cybersecurity

Ad Buckens is een ervaren cybersecurity adviseur met meer dan 20 jaar ervaring op het gebied van Informatiebeveiliging en Cybersecurity bij organisaties in vitale infrastructuur. Na zijn opleiding Bestuurlijke Informatiekunde in Tilburg startte Ad zijn carriere bij KPMG. Via het Ministerie van Financiën kwam hij ...