Informatiebeveiliging is meer dan het managen van risico’s

Het leven is onzeker, dat hebben we het afgelopen COVID-jaar wel geleerd. En net als in de politiek momenteel, draait het bij information security om beslissingen nemen in onzekerheid. Die vergelijking trok Chief Information Security Officer (CISO) Martijn Dekker van ABN AMRO tijdens het KPN-event NLSecure[ID].

Neem twee vazen. Beiden zijn gevuld met rode en zwarte ballen. In de ene vaas zitten 50 procent rode en 50 procent zwarte ballen. De andere vaas bevat hetzelfde aantal ballen, maar dan in een onbekende verhouding. Stel, een zwarte bal trekken betekent dat je gewonnen hebt. Uit welke vaas zou je dan een bal tevoorschijn halen?

Martijn Dekker van ABN AMRO gaf met dit voorbeeld het verschil aan tussen risico en onzekerheid. En dat laatste zou anno 2021 centraal moeten staan in je strategie rondom information security, vertelde Dekker in zijn presentatie tijdens NLSecure[ID], het KPN-event over cybersecurity voor ondernemingen.

Andere strategie

“Informatiebeveiliging draait om beslissingen nemen in onzekerheid. Om gebeurtenissen waarvan fundamenteel niet te voorspellen is hoe groot de kans is dat ze echt plaatsvinden. Waarvan we niet weten hoe groot de impact is.

Information security draait om het managen van onzekerheid, niet om het managen van risico’s. Het is belangrijk om het verschil tussen die twee te begrijpen, want ze vereisen compleet andere strategieën.”

Voor Dekker zelf was de focus op risico in informatiebeveiliging lange tijd logisch. “Risico gaat over gebeurtenissen die voorkomen met een vastgestelde kansverdeling, waarvan de impact bekend is. Risicomanagement gaat over hoe je reageert als zo’n gebeurtenis zich daadwerkelijk voordoet. Als het goed is liggen de gevolgen binnen de criteria die je hebt vastgesteld: de risk appetite.”

“Informatiebeveiligers gingen er lange tijd vanuit dat alle mogelijke gebeurtenissen te voorspellen waren. Net als wat de gevolgen zouden zijn voor het systeem dat ze probeerden te beschermen. Dus bedachten ze tegenmaatregelen die dat systeem waterdicht moesten maken.”

Veranderend informatiebeveiliging-landschap

Soms bleek het systeem toch niet helemaal goed beveiligd te zijn, meestal door menselijke fouten. En daarom vormde testen de kern van de beveiligingsstrategie. “Chain risk assessments, pentests en code reviews verrichtten wonderen in die tijd.”

Maar na 2005 veranderden twee verschijnselen het informatiebeveiligings-landschap volgens Dekker voorgoed. Systemen raakten steeds vaker aangetast. Niet alleen door ontwerpfouten en bugs, maar ook door kwaadwillenden die een gerichte aanval uitvoerden. Daarnaast werden systemen complexer en vaker verweven met elkaar, vooral door de groei van internet.

“Het gevolg was dat we risico voortaan moesten accepteren”, aldus Dekker. “Dat bracht een nieuwe manier van beveiligen met zich mee, waarbij het belangrijk werd om risico te mánagen.”

Niks mis mee, vindt Dekker. “Kunnen we berekenen hoe waarschijnlijk het is dat een gebeurtenis plaatsvindt en hoeveel verlies dat voor een organisatie tot gevolg kan hebben?

Risicomanagement wordt door veel leidinggevenden en bedrijven gebruikt als een decision making-methode; het Three Lines of Defense-risicomodel (3LoD) is wijdverbreid.”

Maar dat wil niet zeggen dat alle puzzelstukjes rond informatiebeveiliging netjes op hun plek liggen, vindt Dekker. “Waarom wordt aan CISO’s nog zo vaak gevraagd bij welke Line of Defense ze horen? Waarom lijkt het alsof we onszelf niet kunnen positioneren in het 3LoD-model?

En waarom is het voor CISO’s – inclusief mezelf – zo moeilijk om de risk appetite van de onderneming zo te formuleren dat je er ’s nachts niet van wakker ligt? Komt dat doordat we risicomanagement nog altijd niet snappen? Of komt het doordat informatiebeveiliging eigenlijk helemaal niet over risico gáát?”

Factsheet Maturity Assessment

Weet wat uw organisatie moet doen om de informatiebeveiliging te verbeteren.

Download

Strategie rond informatiebeveiliging

Risico is altijd een onzekerheid, maar niet alle onzekerheden zijn risico’s, benadrukt Dekker. “Ik denk dat risicomanagement zeker deel uitmaakt van information security management, maar we hebben als CISO’s niet de luxe om niet verder te kijken dan dat. Want een focus op risico is een focus op wat we al weten, op wat al gebeurd is. En soms is de impact van een gebeurtenis eenvoudigweg niet te kennen.”

Is het managen van risico al lastig, onzekerheidsmanagement is dat helemaal volgens Dekker. “Om onzekerheid te begrijpen, hebben we een model van de wereld nodig dat uiteenlopende actoren, beweegredenen en aannames over causale verbanden met elkaar verbindt. We moeten begrijpen en accepteren dat de wereld niet draait om correlaties tussen toevallige verbanden en verschijningen, maar om diepe causale relaties.”

Wat betekent dat nu concreet voor de strategie rond informatiebeveiliging? Welke elementen zou elke CISO daarin op moeten nemen? “Door bezig te zijn met risicomanagement, verzamelen we nu al een ongelooflijke hoeveelheid data”, verduidelijkt Dekker. “Die data verbinden we aan elkaar, in de hoop om iets van betekenis te ontdekken over onze omgeving. Hoe meer data, hoe groter de vooruitgang.

Maar dat is niet hoe je onzekerheid managet. Want het probleem is dat het verzamelen van data altijd resulteert in ‘observer bias’: waarnemersvertekening. De CISO moet die bias begrijpen en managen, causal graphs gebruiken en inlichtingen verzamelen over mogelijke aanvallers.

De kwaliteit daarvan en bijvoorbeeld de hoeveelheid bias zouden deel moeten uitmaken van je risk appetite. Samen met de resultaten van continu uitgevoerde red and blue team-acties.”

De CISO Universalis

CISO’s zijn de afgelopen tijd al opgeschoven van de datakamer naar de bestuurskamer. “We zijn van technology leaders veranderd in business leaders” aldus Dekker. “We hebben nieuwe skills moeten aanleren, zoals communicatie naar niet-professionals en het overtuigen van decision makers. Maar we moeten nog verder groeien en kennis uit andere wetenschappen opnemen in ons werk. Denk aan statistiek, speltheorie, psychologie en life sciences. Een CISO Universalis noem ik het.

Het is tijd dat we moeilijkheid, het onbekende en het onzekere omarmen. Onze tegenstanders hebben dat immers altijd al gedaan. De reden, ik herhaal het nog maar eens: information security gaat niet over het managen van risico’s, maar over het managen van onzekerheid.”

Meer weten over informatiebeveiliging? Neem contact op met KPN Security voor extra toelichting en vrijblijvend advies.

Maak een belafspraak

Gerelateerde artikelen