dinsdag 9 december 2014

Cyber Security - Regie bij uitbesteding

Sneller detecteren, beter reageren

Alle IT is uitbesteed, je richt je op regie van de dienstverlening en brengt vraag en aanbod zo goed mogelijk bij elkaar. Je hebt al diverse zaken voor security in de steigers staan. De missie, visie en strategie met betrekking tot security zijn duidelijk (zie het vorige blogartikel). Het securityteam is samengesteld en het security services portfolio wordt uitgewerkt en verder gerealiseerd. Dat vergt echter gerichte inspanning per service en tijd.

Maar tijd is er niet. Want de organisatie ligt onder vuur. De (georganiseerde) cybercriminaliteit heeft een oogje laten vallen op de geheimen van de organisatie.

In de ondergrondse cybereconomie hanteren Russische en Chinese hackers cafetariamodellen voor het samenstellen van ‘pakketten’ cybercriminaliteit. Een dag een website van een internationale organisatie platleggen kost een paar tientjes. Onder druk van de concurrentie zie je de prijs van dit soort services sterk afnemen.

Kortom, je kunt met het securityteam wel lekker bezig zijn om naar de interne klant te kijken, maar tegelijkertijd moet er snel en effectief gereageerd worden op actuele securityincidenten.

Even voor de beeldvorming. In het Verizon Data Breach Investigation Report van de afgelopen 5 jaren blijkt steeds weer dat meer dan 50% van de organisatie enkele weken tot maanden over doet om infecties te ontdekken. Schokkender is dat meer dan 50% van de organisaties er weken tot maanden over doet om de infectie te verwijderen en de rotzooi op te ruimen. Kijk hier voor de toelichting.

Je moet dus als organisatie ook naar buiten toe aan de bak. Hoe goed ben je daarin?

Tip! Pak het gestructureerd op. Voer een samenhangende set activiteiten uit. Onderstaand is dit toegelicht.

Voorbereiding – proactief en voorspellend


  • Identificeren en analyseren van bedreigingen: bestaande en nieuwe bedreigingen, hun impact op applicaties, systemen en netwerk, ontwikkeling van responsplannen en voorbereidingsacties.
  • Systematisch onderzoek naar kwetsbaarheden: Regelmatige vulnerability scans en penetratietests van kritieke onderdelen van de IT-infrastructuur, waar kwetsbaarheden grote impact kunnen hebben.
  • Planning: Ontwikkeling van noodprocedures en escalatieplannen om bij cyberincidenten effectief de IT-dienstverlening up en running te houden.
  • Trainen en oefenen: Oefenen van noodprocedures en/of escalatieplannen (rollen, verantwoordelijkheden) om eventuele zwakke plekken te identificeren en aan te passen. 

Bewustzijn – real time en geautomatiseerd


  • Continu scannen en monitoren: Totaalbeeld van de ‘gezondheid’ en status van applicaties, systemen en netwerk, real time monitoring van webverkeer, sessies, applicatiegegevens, protocollen en open poorten.
  • Indicatoren en waarschuwingen: Review van dagelijkse security intelligence updates (bestaande en potentiële bedreigingen, aanvalsvectoren en aanvalsmethoden).
  • Inbraakdetectie en –preventie: Geïntegreerd in IT-infrastructuur waarschuwen deze systemen en grijpen ze in bij inbraakpogingen.

Actie – nadruk op snelheid, eenduidig


  • Impact analyse: Vaststellen van de impact en prioriteit van cyberincidenten, waardoor effectieve (voor opgezette) responsscenario’s in werking gezet kunnen worden.
  • Incident respons: Acties in gang zetten om met minimale verstoring de business door te laten gaan (afsluiten van geïnfecteerde systemen, malware detectie, vervangen van geïnfecteerde bestanden, installeren van patches, koppelvlakken met de buitenwereld steviger beveiligen, systemen terugbrengen in hun normale werking). 



Nazorg – aanpassing aan realiteit en flexibel



  • Forensisch onderzoek: Gestructureerd verzamelen van gelogde data, OS-data, data van applicaties en netwerken (vaststellen wat er is gebeurd), ontwikkelen/updaten van threat profiles, verhelpen van kwetsbaarheden. Voorkomen dat nieuwe incidenten optreden.
  • Post incident analyse en aanpassingen: Evalueren van responseactiviteiten, sterkten en zwakten ontdekken, aanpassen van operationele procedures. Continu leren en aanpassen, voorstellen doen voor aanpassen van beleid, technieken, technologie en responsstrategieën.

Goed voorbereid zijn op cyberincidenten vraagt om training en oefening. Maar waar ligt de lat? Wanneer ben je klaar? Dat zijn terechte vragen die horen bij volwassen worden.


Volwassen worden


Net als in het echte leven moet je als organisatie volwassen worden in het vakgebied security. Cybersecurity vraagt op elk moment een proactieve en alerte houding. Dat moet in de haarvaten zitten en dat moet getraind worden. Er zijn een aantal niveaus te onderscheiden.

  1. Ad hoc: Processen zijn nagenoeg niet gedocumenteerd, procesmatig werken vindt nauwelijks plaats, de houding is reactief, de werkwijze is chaotisch en instabiel.
  2. Gedefinieerd: Sommige processen worden gestructureerd uitgevoerd, ook met consistente resultaten, discipline mbt procesmatig werken is aan het ontstaan waardoor de robuustheid in crisissituaties al enige vorm aanneemt.
  3. Managed: De processen zijn gedocumenteerd en gestandaardiseerd, er is sprake van enkele verbeteringsinitiatieven, de gestandaardiseerde processen zorgen voor een consistente en voorspelbare kwaliteit van de uitkomsten.
  4. Geoptimaliseerd: Aan de hand van proces metrics stuurt het management de processen effectief, er vindt nauwelijks verlies van kwaliteit plaats, de resultaten wijken niet noemenswaardig af van de gespecificeerde uitkomsten.
  5. Adaptief: De organisatie richt zich continu op verbetering van de procesperformance, zowel technische, innovatieve en culturele verbeterstappen worden gerealiseerd. 
In de onderstaande tabel is voor  zijn voor ‘Identificeren en analyseren van bedreigingen’ de volwassenheidsniveaus verder uitgewerkt.

Voorbereiding
Ad hoc
Gedefinieerd
Managed
Geoptimaliseerd
Adaptief
Identificatie en analyse van bedreigingen
Geen tot minimaal begrip van bestaande of nieuwe bedreigingen
  • Bestaande bedreigingen zijn geïdentificeerd, maar er is nauwelijks inzicht in nieuwe bedreigingen
  • Geen risico management voor gestructureerde aanpak
  • Basis dreigings- profielen worden ontwikkeld en voeden de operationele processen.
  • Impact van bestaande en nieuwe bedreigingen worden behandeld in het risico management proces.
  • Specifieke, op maat gemaakte, dreigings-profielen en –scenario’s vormen de basis voor securitymaatregelen, planning en oefeningen.
  • Bestaande en nieuwe bedreigingen worden ingedeeld en geprioriteerd volgens het bijbehorende risico.
  • Nieuwe bedreigingen worden continu geïdentificeerd en geanalyseerd. Dit draagt bij aan verfijning en optimalisatie van dreigingsprofielen en het risico management.
  • Bestaande bedreigingen, die de bedrijfsvoering (in)direct kunnen beïnvloeden, worden geanalyseerd en geprioriteerd volgens het bijbehorende risico.

Voor alle activiteiten die bovenstaand zijn genoemd zijn de volwassenheidsfasen te beschrijven. Daarmee weet je als organisatie hoe goed je bent in de voorbereiding op cyberincidenten.

Verantwoordelijkheid bij uitbesteding en regie


Als organisatie richt je jezelf op kerntaken. Dan heb je dus vele zaken buiten de deur ondergebracht. Zo ook je IT. Vanuit je regierol stuur je de kwaliteit van de dienstverlening op basis van periodiek overleg en rapportages. Ik hoor vaak uitspraken als: ‘Hoe de leverancier zijn zaakjes geregeld heeft doet niet ter zake’, ‘Die verantwoordelijkheid laat ik bij de leverancier’. ‘Eén keer per jaar valt de TPM op de deurmat. Dan kan ik weer een jaar vooruit’.

De vraag is of je met de bovenstaande regierol adequaat voorbereid bent op de securityincidenten die nu plaatsvinden. De vraag was niet OF, maar WANNEER je gehackt zou worden? Nu dus! En hoe ga je daar mee om? Bel je de auditor om vast te stellen hoe je moet reageren? Lees je het wel in het wekelijks rapport? Ga je eens rondvragen?

Ik verwacht dat je dan glansrijk in je regisseursstoel kunt blijven zitten. Met roeptoeter voor je mond en directief sturend.

Een regisseur moet in mijn ogen het beste uit zijn acteurs halen. Hoe vaak hoor je niet dat acteurs blij zijn over hun samenwerking met een regisseur. Ze zijn tot grote hoogte uitgedaagd en hebben een nieuw niveau in het acteervak bereikt.

Dat is dus waar de ambitie van de regisseur moet liggen. De acteurs (lees leveranciers) beter maken, in het belang van de kwaliteit van de gehele film (lees dienstverlening).

Goede cybersecurity dienstverlening mag dan operationeel lijken. Je mag het echter niet overlaten aan een leverancier die ITIL net aan begrijpt en een stempel heeft voor gestructureerd ITIL-beheer met een vleugje security. Vandaag de dag worden nog steeds internationale marktpartijen alleen geaudit op ‘opzet’. Of de beschreven processen werken en hoe effectief ze zijn, wordt achterwege gelaten. ‘Bestaan’ en ‘werking’ zijn voor sommige klanten blijkbaar niet van belang.

Kruip in de rol van regisseur. Wees nieuwsgierig naar de beste kwaliteiten van je leveranciers. Haal het beste uit hun vermogens. Groei samen naar een optimale situatie. Pak de handschoen op en ga samen met je leveranciers werken aan ‘sneller detecteren en beter reageren’.

Succesvolle samenwerking gewenst bij het volgende cyberincident.






Gepost door op

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)