Waar haalt u uw Cyber Security kennis vandaan?

Het aantal cyberaanvallen neemt intensief toe. Ze vormen voor iedere organisatie een probleem. De schade als gevolg van cyberaanvallen neemt verschillende vormen aan: omzet- & winstdaling, diefstal van intellectuele eigendommen, hoge kosten (boetes en herstelwerkzaamheden) en aantasting van de concurrentiepositie.

Deze week opende Minister Opstelten de site Alert Online om het bewustzijn ten aanzien van cyber security te vergroten. De site opende maandag 12 november met een aantal beginnersfouten (cookiewetgeving, auteursrechten, ..). Maar dat is ze vergeven. Feit is dat de site van start is en er waardevolle tips en handreikingen worden gegeven.

Om goed voorbereid te zijn op cyberaanvallen zullen organisaties echter een vergaande integrale aanpak moeten hanteren. Mensen, processen en technologie vormen één dimensie. Preventie, detectie en respons de tweede dimensie. Die aanpak moet procesmatig aangepakt worden (Plan–Do–Check–Act). Het is een aanpak die opgebouwd is rondom security intelligence en vraagt om ondersteuning door hoogwaardige cyber security specialisten.

De vraag is echter waar de benodigde kennis te halen is?

In de Verenigde Staten is in 2011 het National Initiative for Cybersecurity Education (NICE) van start gegaan. Dit is een programma met afspraken tussen overheid en opleidingsinstituten om naar schatting 30.000 cyber security specialisten op te leiden in de komende jaren. Momenteel betreft het een volwassen programma dat bestaat uit:

·        Een curriculum met opleidingen.

·        Job descriptions.

·        Richtlijnen voor opwaarderen van de cyber security workforce binnen organisaties.

·        Maturity scans.

Als de Verenigde Staten 30.000 specialisten nodig hebben, betekent dat de vraag in Nederland verhoudingsgewijs 1500 hoogwaardig opgeleide specialisten bedraagt. Op nationaal niveau bestaat de Nationale Cyber Security Research Agenda. Via intensief onderzoek moet kennis ontwikkeld worden voor het opleiden van cyber security specialisten op een breed scala onderwerpen. Ondanks dat er een Nationale Cyber Security Research Agenda bestaat ben ik van mening dat die 1500 specialisten de komende jaren niet in die grote getale aan de Nederlandse opleidingen zullen afstuderen.

Bedenk nog even dat volgens het Verizon Data Breach Investigation Report 2012 meer dan 50% van de onderzochte bedrijven enkele maanden nodig heeft om te ontdekken dat ze geïnfecteerd zijn.

Tel daarbij op dat Advanced Persistent Threats doelgericht en vasthoudend onder de radar bezig zijn om waardevolle informatie te verzamelen in uw netwerk.

De nationale initiatieven zijn goed maar de resultaten laten op zich wachten (begrijpelijk).

Kortom, u moet op zoek naar de juiste kennis en ervaring om een intensieve aanpak op poten te zetten tegen cybercriminaliteit.  Die kennis en ervaring is momenteel alleen voorradig bij security experts en vendoren. 

Mijn advies is dan ook: Ontwikkel met uw security partner een gedeelde ambitie voor een gedeeld probleem.

Zorg er dan wel voor dat uw security partner echt goede kennis en praktisch toepasbare ideeën heeft.

Succes met het opzetten van een succesvolle aanpak van cybercriminaliteit!

Let op! Malware draait al in stealth mode in uw netwerk!

In volgende blogberichten zal ik toelichting geven op enkele praktische maatregelen die u kunt nemen.