Beveiliging is noodzakelijkerwijs alsmaar vaker een intrinsiek onderdeel van elk bedrijf of organisatie. In alle lagen en takken van een entiteit vinden we aspecten terug van beveiliging. Strategische doelen, bedrijfsprocessen, infrastructuur, ... worden allen idealiter geconcipieerd met een beveiligingsstrategie in het achterhoofd en solide, verdedigbaar opgezet. Het is dan ook van primordiaal belang dat deze efforts gecoördineerd worden zodat een consistente aanpak met een zo groot mogelijke meerwaarde kan worden gegarandeerd. Integratie van deze inspanningen in de bedrijfscultuur en aanvaarding door alle personeel zorgt dat deze aanpak zich vertaalt in een duidelijk cybersecurity aware imago voor zowel klanten, leveranciers als partners. Afhankelijk van de grootte van organisaties kan de complexiteit van zo'n overkoepelende security strategie, en dus ook de hoeveelheid security management personeel sterk verschillen, maar hun doel is steeds bij te dragen aan de consistente van het beleid over alle relevante onderwerpen.
Zo'n veiligheidsstrategie begint bij het kiezen van de juiste security architectuur voor jouw specifieke noden. De complexiteit van gangbare architecturen is over de jaren gestaag gestegen. Momenteel zien we voor grotere organisaties vooral Cybersecurity Mesh Architecture (CSMA v2.0 van Gartner), gericht op het centraliseren en uniformiseren van informatiestromen in en uit de verschillende takken van de beveiligingsaanpak. De focus ligt op het voorkomen van security silo's om via een modulaire aanpak te verzekeren dat er een gestroomlijnd detect en respond proces mogelijk is, wat dan weer mooi verbindt met de Assume Breach filosofie (it's not a matter of if, but when) van deze tijd. Deze architectuur accomodeert ook de hybride cloud/on-premise of multi-cloud infrastructuren die we almaar vaker terugvinden bij bedrijven en verzekert een consistente, overkoepelende aanpak met een goede samenhang tussen alle componenten.
Bij het uitbouwen van complexe strategieën komen veel extra factoren kijken. Zij zijn gestoeld op een door management onderschreven beveiligingsbeleid, dat gekend en begrepen moet zijn door iedereen die ermee in contact komt. Elk team heeft zijn eigen insteek en kijk op het geheel en dus andere noden qua sturing en informatie. Security analisten die kampen met alert fatigue wegens 60% False Positive alerts kan je niet op dezelfde manier motiveren als een netwerksecurityteam die overstelpt wordt met meer aanvragen dan ze kunnen behandelen of een systeembeheerteam waar conflict bestaat over bescherming vs bruikbaarheid dilemmas. Daarbij komen ook nog een groeiend amalgaam aan nationale en internationale standaarden en regulaties waaraan moet worden voldaan. Onze Europese NIS2 richtlijnen die van toepassing worden op een veel bredere waaier aan sectoren dan hun voorloper laten weliswaar voorlopig nog enige ruimte, maar dreigen met boetes tot 2% van de omzet bij overtredingen. In België zal Center for Cybersecurity Belgium (CCB) verantwoordelijk zijn voor de toepassing van deze richtlijnen. Zij bieden organisaties en bedrijven alvast een self-assessment methode aan (CYFUN - gebaseerd op NIST CSF) om te controleren in hoeverre je reeds voldoet.
Gelukkig moeten we het warm water niet telkens opnieuw uitvinden en bestaan er vele frameworks en standaarden, aanbevelingen en werkkaders die worden uitgedragen door verschillende instanties. We denken daarbij aan NIST (US), ENISA (EU), MITRE Att&ck, CIS, ... die eraan bijdragen dat best practices rond de meeste beveiligingsgerelateerde topics gekend en uitgetekend zijn, we allemaal eenzelfde taal spreken en dus over de grenzen heen van elkaar kunnen bijleren en identificeren waar we onze extra inspanningen en investeringen best op focussen.
Security Management is ook verantwoordelijk voor duidelijke communicatie, en dit in 2 richtingen. Het is daarom belangrijk dat er diepgaand begrip is over alle technologieën, strategieën, ontwikkelingen en standaarden die worden overwogen en hun intrinsieke voor -en nadelen, zodat ook aan IT-leken in de management laag voldoende begrip kan worden overgebracht om hen in staat te stellen weloverwogen keuzes te maken. Tegelijkertijd is de vertaalslag nodig die de - vaak financieel gedreven - managementsbeslissingen op de juiste manier overbrengt aan betreffende teams zodat deze zich niet gereduceerd voelen tot louter productie-elementen en er ruimte kan zijn voor ieders persoonlijkheid binnen de bedrijfscultuur.
© g3rt