Op het Checkup event van Securelink deze week lag de nadruk onder meer op security maturity. Zo werden ook cijfers getoond van het maturiteitsniveau van ons land in vergelijking met enkele buurlanden. Waar staan we? ‘België loopt alvast niet achter.’
Volgens de cijfers die Jo Vander Schueren, general manager bij Securelink België op zijn eigen event liet zien, doet België inzake security maturiteit het niet slechter dan Nederland.
Meer zelfs: België doet het zelfs iets beter dan onze noorderburen, al is het verschil beperkt. De maximumscores zitten bijvoorbeeld hoger dan 3, terwijl Nederland onder dat niveau zit, en ook voor het algemene gemiddelde ligt België iets hoger. Het gaat om cijfers van bedrijven die Securelink zelf onderzocht, doorgaans bij klanten.
Vijf niveaus
In security maturiteit kan je gaan van niveau 0 tot niveau 5. ‘Niet elk bedrijf wordt geacht om naar 5 te streven. Van defensie zou je dat verwachten. Van banken wordt eerder niveau 4 verwacht, en van andere organisaties bijvoorbeeld eerder 3’, illustreert Vander Schueren.
Toch wil Vander Schueren zijn cijfers een beetje kaderen. ‘Het is dus zeker niet dat België erg achterloopt op Nederland. Dat merk ik ook aan de dagelijkse praktijk, vermits wij actief zijn in diverse landen’, erkent hij. ‘Al hebben de twee landen toch vooral een achterstand op het Verenigd Koninkrijk en de Scandinavische landen inzake maturiteit in security.’
Drie onderdelen
Security maturity modellen zijn niet nieuw in it. Rond software bestaan ze bijvoorbeeld al heel lang, en ook in security zijn ze de laatste jaren komen opzetten. ‘Wij onderwerpen klanten al ongeveer 2,5 jaar, indien ze dat wensen, aan zo’n security maturity onderzoek’, vertelt Simen Van der Perre, solution specialist bij Securelink. Drie cruciale onderdelen van security worden hierbij onder de loep genomen: technologie, processen en mensen, de klassieke heilige drievuldigheid in security.
Uiteindelijk krijgen bedrijven één eindcijfer, los daarvan zijn er vaak onderlinge verschillen. Het is bijvoorbeeld mogelijk dat sommige bedrijven verder staan op niveau van hun security processen dan qua technologie. ‘Bij banken gebeurt dit wel eens’, aldus Van der Perre. ‘Anderzijds zien wij, bijvoorbeeld bij industriële bedrijven, het omgekeerde: dat ze technologisch verder staan dan met hun processen.’
Securelink heeft een eigen maturity model ontwikkeld, mede op basis van hun jarenlange ervaring zoals ze zelf aanhalen, maar wel met onderdelen van de klassieke standaarden of instituten zoals ISO 27.000, Sans of Cyber Essentials. ‘We voeren dit model ook enkel uit bij de klanten die erom vragen. Het is niet dat we al zoveel bedrijven onderzocht hebben om te spreken van een volledig wetenschappelijk verantwoorde analyse. Maar het is zeker een goede indicatie’, oppert Van der Perre.
Drie pijnpunten
Yurri Bobbert, ciso bij de Nederlandse NN Group en ook professor in België aan de UA, die zich eveneens bezighoudt met security en security maturity, haalde naar aanleiding van Checkup enkele vaak voorkomende pijnpunten aan. ‘Deze gelden voor grote organisaties, maar ook vaak voor kmo’s’, stelt hij vast. ‘De eerste is dat veel bedrijven zich vaak nog in een ad hoc modus bevinden.’
Anderzijds stelt Bobbert vast dat veel bedrijven, ook inzake security, nog teveel in silo’s werken. En dit geldt zowel binnen als buiten de organisatie’, vindt hij. Het laatste, en derde pijnpunt, is in de lijn van security modellen wel interessant. ‘Heel veel bedrijven werken nog teveel op basis van checklists, bijvoorbeeld om gewoon aan hun audit te kunnen voldoen. Maar die modellen zijn geen doel op zich. Ze zijn enkel een middel voor een betere security aanpak.’.
Threat intelligence als voorbeeld
Dat zijn tenslotte wel argumenten waar ze zich bij Securelink in kunnen vinden. ‘Zo’n maturity oefening is een startpunt om te zien waar een bedrijf staat’, beaamt Vander Schueren. ‘Het geeft je richting. Als je als bedrijf vindt dat je je dringend met threat intelligence moet bezighouden, terwijl je bijvoorbeeld niveau 3 nog niet hebt bereikt, dan focus je best eerst op andere zaken. Want iets als threat intelligence komt vaak eerder tot zijn recht als je richting niveau 4 gaat’, illustreert hij. ‘First things first.’
