Het budget van de ciso is in de loop der jaren consistent gegroeid én meegegroeid met de perceptie van risico’s en de kosten van controles. In het huidige macro-economische klimaat is de toename van verschillende beschermende diensten en systemen (en bijbehorende kosten) echter niet zo vanzelfsprekend meer. It-leiders hebben de lastige taak het beveiligingsniveau af te stemmen op de dreigingssituatie en tegelijkertijd de kosten en inspanningen te verminderen.
Dit is niet op te lossen niet door meer uit te geven aan nieuwe beveiligingstools, maar door de waarde die ze vertegenwoordigen efficiënter te benutten. In plaats van te kiezen voor een best-in-class-oplossing, is het tijd om een best-in-suite-strategie toe te passen die risico’s aanpakt met een geïntegreerde aanpak. Hierbij selecteer je een oplossing op basis van de resultaten die het ondersteunt, in plaats van alleen op basis van de gewenste functie.
Beveiligingsprobleem
De traditionele aanpak met een ‘best in class’-oplossing voor elk beveiligingsprobleem veroorzaakt twee grote uitdagingen: stijgende kosten en operationele inefficiëntie in de beveiligingsinfrastructuur. Dit komt doordat elke oplossing een aparte aanschaf en beheer vereist, wat resulteert in een complexe en omslachtige beveiligingsarchitectuur. Bovendien worden de ‘edge cases’ en de directe of toekomstige waarde niet beoordeeld wanneer it-aankopen gebaseerd zijn op bekende controlevereisten.
Deze situatie komt voort uit de manier waarop besluitvormers een oplossing kiezen. In plaats van nieuwe mogelijkheden te onderzoeken voor het updaten van de beveiligingsinfrastructuur, richten ze zich op de technologie die moet worden vervangen. Daarbij beperken ze zich tot de bestaande functionaliteit en features. Ze kijken naar de nieuwe technologie door de lens van de oude.
Zo’n beperkte focus op vertrouwde oplossingen voorkomt dat besluitvormers nieuwe oplossingen buiten hun comfortzone zien. Om dit tegen te gaan, moeten it-leiders hun aanpak gaan baseren op de gewenste resultaten en de bedrijfsdoelen en niet alleen op hoe succesvol een product is bij het behalen van vastgelegde doelen.
Ransomware
Ciso’s moeten zich richten op het gewenste resultaat van een oplossing, in plaats van op het voorkomen van specifieke dreigingen zoals ransomware. Ransomware is een voorbeeld van een winstgevend bedrijfsmodel omdat het zich lateraal binnen een geïnfecteerd systeem kan verspreiden en kritieke systemen kan aanvallen om gegevens te stelen of te versleutelen. Aangezien organisaties niet alle aanvallen kunnen stoppen, moeten ze voorkomen dat aanvallers zich verplaatsen via de netwerkinfrastructuur en zo gegevens stelen.
Om impliciet vertrouwde toegang tot netwerkinfrastructuren te voorkomen, moeten IT-leiders een breder perspectief hanteren. Nu hybride werkmodellen vaker worden toegepast, is het belangrijk om de directe toegang van elke gebruiker tot de vereiste applicaties te beveiligen, in plaats van de toegang van diezelfde gebruikers tot ‘het netwerk’ te beveiligen en het toegangsbeleid bij de applicatie zelf te laten. Een security service edge (sse)-benadering helpt deze beveiliging te waarborgen via het zero trust-model.
Een zero trust-platform bepaalt en bewaakt vervolgens de toegang van iedere gebruiker tot de vereiste applicatie of service, op basis van hun rol en vooraf gedefinieerd beleid. Deze beveiliging wordt inline toegepast op de verbinding, of de applicatie nu in de cloud of in het bedrijfsnetwerk draait. Zo wordt het least-privilege-principe direct centraal afgedwongen, en wordt brede netwerktoegang vervangen door gedetailleerde toegang op het niveau van de individuele applicatie.
Moderniseren
Om de beveiliging te verbeteren en te moderniseren, moet de ciso beveiliging niet langer zien als een technische mogelijkheid, maar als een strategische en resultaatgerichte mindset. Hier volgen vier stappen om effectiever meer beveiliging te realiseren.
- Beoordeel de bestaande beveiliging
De eerste stap is het moderniseren van de beveiliging. Ciso’s kunnen het zich niet veroorloven om niet te veranderen. Het is belangrijk om te communiceren over hoe een transformatie zowel de beveiliging als de bedrijfsresultaten ten goede komt.
Stel jezelf de vraag: welke technologieën hebben we nodig om onze beveiligings- en zakelijke doelen te bereiken? Dit vereist een inventarisatie van alle beveiligingsoplossingen en hun mogelijkheden.
- Identificeer inefficiënties
Een grondige analyse van de gebruikte beveiligingstechnologieën kan duplicaties aan het licht brengen. Deze kunnen de beheerlast en kosten verhogen. Om de infrastructuur te consolideren en prestaties te optimaliseren, moeten deze inefficiënties worden geïdentificeerd en geëlimineerd. Dit is vaak de meest effectieve manier om kosten te besparen.
- Definieer het gewenste resultaat
Om een verandering in gang te zetten wat betreft beveiliging, is het belangrijk om een holistisch perspectief te hebben dat verder gaat dan individuele technologieën. Richt je dus niet op technologieën die moeten worden vervangen, maar gebruik beveiliging als zakelijk voordeel: het is niet alleen een manier om verliezen door een cyberaanval te voorkomen, maar ook om meer bedrijfsonderdelen veilig te digitaliseren. Een best-in-suite-platformbenadering vormt de basis hiervan.
- Scoor op ongevraagde mogelijkheden
Het klassieke request for proposal (rfp)-aankoopmechanisme heeft jarenlang geholpen om het kostenplaatje te waarborgen en slechte aankoopbeslissingen te voorkomen. Maar de nauwkeurigheid bij het vragen naar de ‘bekende behoeften’ verhindert dat suite-gebaseerde aankopen hun potentieel kunnen waarmaken. Probeer in elk rfp-proces enige flexibiliteit in te bouwen om waarde toe te wijzen aan mogelijkheden die buiten de strikte functionele vereisten vallen.
Visie
Met een duidelijke visie op wat ze willen bereiken met een beveiligingsaanpak, kunnen organisaties kosten besparen en tegelijkertijd hun bedrijfsmodellen transformeren. Door kostenneutraliteit van beveiliging na te streven met een duidelijke consolidatie van bestaande hardware, wordt een bedrijf niet alleen snel beter, maar zal het ook een digitale toekomst kunnen omarmen.
