Game of Threats: waarom cybersecurity (g)een spelletje is

Geen reacties
Tags: , , , ,
Posted 05 feb 2019 in nieuws

Als er bij bedrijven over cybersecurity wordt nagedacht, gebeurt dat meestal vanuit technologisch oogpunt en niet op strategisch niveau. De impact van een datalek wordt onderschat of niet begrepen. Hoe creëer je op bestuursniveau bewustzijn over cybersecurity?

In een phishingmail trappen, gehackt worden of een systeem dat gecompromitteerd is – het kan elk bedrijf overkomen. De reactie ligt voor de hand: probeer de kwaadwillende partij te stoppen, bepaal de schade en de oorzaak. Meld het incident indien nodig bij de autoriteiten en tref maatregelen om herhaling te voorkomen. Logisch, toch?

In de praktijk levert dit echter vaak een organisatorische chaos op. De bestuurlijke top van bedrijven heeft over het algemeen weinig ervaring met cybersecurity. Het wordt vooral als een technisch probleem gezien. Dat merk je pas echt goed als er een hack of ander incident is geweest bij een bedrijf. Het onderzoek dat daarop volgt legt veelal bloot dat er een disconnectie is tussen de techneuten en het management. Ze spreken elkaars taal niet, wat het voor het management lastig maakt om bij een datalek de juiste informatie te krijgen.

Dat is niet handig, want de impact van een datalek kan enorm zijn op je organisatie. Het is lastig om een getal te plakken op de schade, maar het jaarlijkse rapport ‘Cost of data breach’ van het Ponemon Institute geeft een indicatie. In de editie van 2018 is becijferd dat de totale kosten van datalekken wereldwijd 3,86 miljard US dollar bedragen (3,4 miljard euro). Dat is 6,4 procent meer dan in 2017. Per gestolen of verloren datarecord zijn de kosten 148 dollar (131 euro), een toename van 4,8 procent. Daar moet je natuurlijk wat mee als bestuurlijke laag.

Maar cybersecurity is een veelomvattend en complex probleem. We doen alles online en digitaal, delen data met externe partijen en slaan alles op in de cloud. Er zitten zoveel implicaties aan een hack of ander incident dat het niet zo verwonderlijk is als je niet weet waar je moet beginnen.

Strategisch spel

Om cybersecurity als gespreksonderwerp bij bedrijven op de kaart te zetten, hebben we Game of Threats ontwikkeld. Dat is een strategisch spel voor topmanagers die zich niet dagelijks bezighouden met cybersecurity maar er wel verantwoordelijk voor zijn.

In het spel zijn er twee teams, waarvan één aanvalt en één verdedigt. Beide teams moeten heel snel beslissingen nemen op basis van minimale informatie. Met behulp van die informatie moeten de deelnemers keuzes maken. Daarvoor hebben ze steeds negentig seconden de tijd.

Keuzes relateren aan de praktijk

Door het spelelement worden mensen heel open, want ze willen winnen. Na afloop analyseren we welke keuzes er zijn gemaakt en of die optimaal waren. Je kunt bijvoorbeeld besluiten om de netwerkstekker eruit te trekken, maar dat heeft wel impact op de omzet en winst. Wie mag deze beslissing nemen binnen de organisatie? Waarom kies je ervoor om een security-informatiecentrum op te zetten en heb je die in de praktijk ook al?

De bedoeling van Game of Threats is niet dat de deelnemers na afloop security-experts zijn maar wel dat ze beter beseffen hoe complex cybersecurity is. En natuurlijk hoe belangrijk het is om er op strategisch niveau over na te denken. Wat kun je nu alvast doen om een incident straks zo snel mogelijk op te lossen?

Wij merken bijvoorbeeld dat we als incident response team vaak stuklopen op het feit dat bijvoorbeeld niet de juiste technologie aanwezig is om onderzoek te doen. Er is een datalek, je hebt vijfduizend medewerkers die op een laptop of pc werken en een aantal servers. Van deze machines moeten we informatie kunnen verzamelen. Als hier geen tools voor zijn, moeten die tijdens het incident worden aangeschaft en geïmplementeerd. Dat zijn lange trajecten waardoor het moeilijk wordt om het proces te sturen en de hack adequaat te lijf te gaan.

Door situaties te oefenen kom je erachter waar de gaten zitten in je cybersecurity. Bovendien kun je alvast je gedachten laten gaan over de morele vraagstukken die eraan kleven. Doe je aangifte of maak je er een melding van, wat zeg je tegen je klanten en medewerkers? Wat betekent een lek voor de integriteit van de organisatie? Tijdens een incident is geen tijd om hier uitgebreid over na te denken, dus doe dit van tevoren. Betrek ook je partners hierbij. Vaak wordt een organisatie niet rechtstreeks aangevallen maar via een leverancier. Je zult dan ook met je gehele supply chain de dialoog aan moeten gaan hoe je cybersecurity goed kunt inrichten.

 



Lees het volledige bericht op Emerce »


Add Your Comment