Transcript Inzichten - Insights | KPMG | NL

ADVISORY
Vijf denkfouten
over cybersecurity
Een bestuurdersperspectief op
cybersecurity
kpmg.nl
© 2013 KPMG Advisory N.V.
2 | Vijf
Continuous
denkfouten
auditing
over and
cybersecurity
continuous monitoring: The current status and the road ahead
© 2013 KPMG Advisory N.V.
Vijf denkfouten over cybersecurity | 3
Inhoud
Voorwoord
© 2013 KPMG Advisory N.V.
4
01
Introductie6
02
De vijf meest gemaakte
denkfouten over cybersecurity8
03
Komen tot een maatwerkaanpak 11
04
Hoe weet u als bestuurder hoe
uw organisatie ervoor staat?12
05
Tot slot14
4 | Vijf denkfouten over cybersecurity
Voorwoord
Dat cybersecurity belangrijk is voor elke organisatie, dat behoeft eigenlijk
geen nadere toelichting. Vrijwel dagelijks bewijzen incidenten dat de risico’s
groot zijn en dat zowel individuele hackers als professioneel georganiseerde
cybercriminelen zich roeren. Bestuurders staan dan ook voor de taak erop
toe te zien dat binnen hun organisatie de juiste prioriteiten worden gesteld.
Dat is voor velen echter niet eenvoudig omdat de wereld van cybersecurity
wat ongrijpbaar is vanwege het technisch jargon en het gespecialiseerde
karakter. Generalisten kunnen er maar moeilijk vat op krijgen. Bovendien is
het lastig om hoofdzaken van bijzaken te scheiden terwijl berichten in de
media bijdragen aan een angstcultuur waarin het beeld ontstaat dat vrijwel
elke organisatie een willoze prooi is. Er wordt nauwelijks onderscheid
gemaakt tussen oplichters op marktplaats.nl, hackers die een website
platleggen of georganiseerde criminele groepen die met een stelselmatige
strategie uit zijn op het stelen van bedrijfsgeheimen. Terwijl dat onderscheid
van groot belang is, want niet alle organisaties zijn even ‘aantrekkelijk’
voor deze verschillende typen van cybercrime.
Mede doordat begrippen door elkaar heen lopen is cybersecurity een
lastig thema voor menig bestuurder. Dat mag echter geen excuus zijn
om het thema af te schuiven naar gespecialiseerde professionals. Het is
juist essentieel dat bestuurders zelf actief sturen op drie aspecten van
cybersecurity: (1) de financiële middelen ervoor, (2) een adequate
governance en (3) het stimuleren van een cultuur waarin iedereen zich
bewust is van zijn verantwoordelijkheden. Bestuurders staan voor de taak
om in de complexiteit van dit thema gedegen afwegingen te maken en
op zijn minst de juiste vragen stellen. Maar hoe doet u dat? Deze whitepaper
geeft handvatten en brengt cybersecurity terug tot de basis.
John Hermans
KPMG Cybersecurity Lead Partner
© 2013 KPMG Advisory N.V.
Gerben Schreurs
Partner KPMG Forensic
Vijf denkfouten over cybersecurity | 5
Wat is cybercrime en wie doet dit?
Cybercrime is het geheel van illegale digitale activiteiten
die zijn gericht op een organisatie. De term cybercrime
omvat een ware wildgroei van doelen en aanvalsmethoden.
3 Georganiseerde misdaad, gericht op direct geldelijk
gewin (bijvoorbeeld door phishing) of indirect geldelijk
gewin, gericht op het doorverkopen van bedrijfsgegevens;
Een goed begrip van de ‘actor’, de persoon of organisatie
achter deze aanvallen, is essentieel voor effectief verweer
tegen cybercrime.
4 Staten, gericht op het verbeteren van de geopolitieke
positie of vergroting van de interne machtspositie.
De actoren zijn in te delen in een viertal categorieën:
1 De eenvoudige hacker, gemotiveerd om te laten zien
wat hij/zij allemaal kan;
2 De activist, gericht op het uitdragen van een gedachtegoed, vaak gedreven door een ideologie of gericht op
het zaaien van angst, gedreven door politieke doelen;
© 2013 KPMG Advisory N.V.
Het is van essentieel belang dat deze verschillende
actoren verschillen in eigenschappen zoals type doelwit
van de aanval, de middelen die de actor tot zijn/haar
beschikbaarheid heeft alsook het aantal aanvallen welke
uitgevoerd worden door deze actor. In een door het
Nationale Cyber Security Centrum (NCSC) uitgegeven
publicatie is een nadere analyse weergegeven van het
cybersecuritybeeld in Nederland, alsmede een gedetailleerde beschrijving van voorkomende cyberactoren.
6 | Vijf denkfouten over cybersecurity
01
Introductie
Cybersecurity:
wat u waarschijnlijk al weet
De hoeveelheid data blijft exponentieel
groeien. Belangrijker nog: de mate
waarin organisaties data met elkaar
delen via tal van interfaces en
apparaten groeit eveneens exponentieel. The internet of things – waarin
miljarden apparaten variërend van
tablets en smartphones tot betaalterminals, beveiligingsinstallaties,
olievelden, gebouwbesturingssystemen en thermostaten – aan
elkaar zijn gekoppeld is eigenlijk al
bijna geen toekomstscenario meer
maar wordt in rap tempo realiteit.
Het gevolg daarvan is dat de afhankelijkheden tussen organisaties steeds
groter worden in een sterk genetwerkte samenleving. Organisaties
stellen hun IT steeds meer open voor
een breed scala toepassingen via alle
denkbare (mobiele) apparaten en zijn
daarmee voor hun databeveiliging
mede afhankelijk van andere organisaties. Bovendien is de continuïteit van
kernprocessen – zowel maatschappelijk
als binnen bedrijven – steeds meer
afhankelijk van IT. Een verstoring ervan
– al dan niet door moedwillige inbraak
van buiten – kan dan ook een grote
impact hebben op de beschikbaarheid
van diensten.
© 2013 KPMG Advisory N.V.
Deze combinatie van ontwikkelingen
is natuurlijk ook bekend bij malafide
personen en/of organisaties. De aanvallen op netwerken van overheden en
bedrijven nemen dan ook toe in aantal
en ernst. Cybercriminelen doen dit
vanuit verschillende motieven,
variërend van uit de hand gelopen
hobbyisme of geldelijk gewin tot
en met spionage of terroristische
achtergrond. Dit noopt tot effectieve
maatregelen. Organisaties moeten
zich goed beschermen en maatregelen
nemen om in geval van incidenten snel
tot een goede respons te komen.
De klassieke drie thema’s preventie,
detectie en respons verdienen daarbij
aandacht (zie kader).
Drie aandachtsgebieden voor effectieve maatregelen
Preventie
Preventie begint met governance en organisatie. Het gaat naast technische
maatregelen onder andere om het beleggen van de verantwoordelijkheid
voor cybercrime in de organisatie en om bewustwordingstrainingen voor
belangrijke medewerkers.
Detectie
Een organisatie kan door het monitoren van kritieke gebeurtenissen en
centrale veiligheidsincidenten en -gebeurtenissen de technologische
detectiemaatregelen versterken. Monitoring en data mining vormen samen
een uitstekend instrument om vreemde patronen in het gegevensverkeer
op het spoor te komen, te signaleren waar de aanvallen zich concentreren
en de systeemprestaties te observeren.
Respons
Bij respons gaat het om het in werking stellen van een plan zodra zich een
aanval voordoet. Bij een aanval moet de organisatie alle getroffen technologie
direct buiten werking kunnen stellen. Bij de ontwikkeling van een respons- en
herstelplan doet een organisatie er goed aan (informatie)beveiliging te zien als
een continu proces en niet als eenmalige oplossing.
Vijf denkfouten over cybersecurity | 7
Wat u misschien nog niet weet
Tot zover alles wat u waarschijnlijk
al weet over cybersecurity, want
het thema mag zich de laatste jaren
in veel belangstelling verheugen.
Die aandacht is prima.
Tegelijkertijd moeten organisaties
zich niet gek laten maken. De
media schetsen regelmatig een
ongenuanceerd beeld van cybersecurity alsof veel organisaties een
haast willoos slachtoffer zijn van
cyberboeven. Daarbij wordt alles over
één kam geschoren en dat leidt bij
bedrijven hier en daar tot angst
die niet op feiten is gebaseerd. Een
MKB-bedrijf heeft een heel ander
profiel dan een multinational en over
veel van de in de media genoemde
incidenten hoeft een MKB-bedrijf zich
dan ook weinig zorgen te maken.
Beheer en
Organisatie
De waarheid ligt dan ook genuanceerder dan het beeld in de media.
De risico’s zijn wel degelijk beheersbaar. Cybercriminelen zijn geen
onoverwinnelijke genieën, en het
ontbreekt overheden en ondernemingen zeker niet aan kennis
om cybercrime te bestrijden. Maar
we moeten ons wel realiseren dat
honderd procent veiligheid een
illusie is en dat het najagen van
die honderd procent niet alleen tot
frustratie zal leiden maar mogelijk
ook tot schijnzekerheid.
In feite moeten we cybersecurity gaan
beschouwen als ‘business as usual’.
Als een thema dat op dezelfde wijze
aandacht verdient als bijvoorbeeld
het risico op brand of fraude. Dit zijn
thema’s die gestructureerd worden
aangepakt door het management,
vanuit een risk management perspectief, en dus niet met de gedachte om
een systeem te bouwen dat honderd
procent waterdicht is. Voor cybersecurity is dat echter veelal nog
vloeken in de kerk.
We zijn er van overtuigd geraakt dat
veel organisaties op een andere manier
naar cybersecurity moeten kijken.
Ze moeten niet redeneren vanuit
angst voor wat er buiten gebeurt,
maar redeneren vanuit eigen kracht.
Vanuit de juiste overwegingen over
risico’s en het karakter van de eigen
organisatie.
Preventie
Detectie
Respons
Toewijzen van verantwoordelijkheden voor Cybercrime
Borgen van 24 x 7 stand-by crisis
organisaties
Inzetten van forensische analyse
vaardigheden
Uitvoeren procedures voor
opvolging van incidenten
Uitvoeren cybercrime respons
plan
Realiseren van adequate
desktopbeveiliging
Implementeren logging van
kritieke processen
Stoppen of verbreken van
aangevallen IT-diensten
Realiseren van
netwerksegmentatie
Implementeren centraal monitoren
van beveiligingsincidenten
Verzorgen van training
beveiligingsbewustzijn
Processen
Uitvoeren cybercrime respons
test (simulatie)
Uitvoeren periodieke scans en
penetratietesten
Technologie
© 2013 KPMG Advisory N.V.
8 | Vijf denkfouten over cybersecurity
02
De vijf meest gemaakte
denkfouten over cybersecurity
Cybersecurity heeft voor velen iets mysterieus. Dat is waarschijnlijk een
van de redenen dat het thema niet altijd op de juiste wijze wordt
benaderd. Op basis van onze praktijkervaringen gaan we in dit hoofdstuk
in op de vijf meest voorkomende denkfouten over cybersecurity.
1
Denkfout: “We moeten gaan voor
100% beveiliging”
Werkelijkheid: 100% zekerheid
is onhaalbaar en ongewenst
Vrijwel elke luchtvaartmaatschappij
claimt dat vliegveiligheid de allerhoogste prioriteit heeft. Welbeschouwd
is dat onmogelijk. Immers, als de
veiligheid echt de hoogste prioriteit
zou hebben, dan zou er geen vliegtuig
meer opstijgen. Datzelfde geldt ook
voor cybersecurity. Met name grote
organisaties met een grote maatschappelijke bekendheid zullen een
keer te maken krijgen met een incident
waarbij informatie wordt ontvreemd
of publiek gemaakt, of met een meer
ingrijpende verstoring van bedrijfsprocessen. Hoge bomen vangen
immers veel wind.
Alleen al de bewustwording dat een
100% bescherming tegen cybercrime
geen haalbaar en wenselijk doel is, is
een belangrijke stap op weg naar een
effectiever beleid. Dat maakt immers
de weg vrij om met de bril van een
risicomanager te kijken naar een goede
beveiliging tegen cybercrime. Daarbij
gaat het om het analyseren van risico´s
vanuit het perspectief van de organi© 2013 KPMG Advisory N.V.
satie én de crimineel (preventie),
het signaleren en analyseren van de
belangrijkste activa (detectie) en het
opzetten van een organisatie die
incidenten direct oppakt (respons).
In de praktijk ligt de nadruk nu vaak op
de preventie (het opwerpen van dikke
en hoge muren die indringers moeten
tegenhouden). Wie echter doordrongen
is van het feit dat een volledige
beveiliging een illusie is – en dat
cybersecurity ‘business as usual’ is –
begrijpt direct dat er vooral ook meer
nadruk moet zijn op een adequate
respons. Organisaties moeten in staat
zijn om na een incident – variërend
van diefstal van informatie tot een
ontwrichtende aanval op de kernsystemen – snel de zaken op orde te
krijgen. Daarmee bewijzen ze dat ze in
control zijn.
2
Denkfout: “Als we investeren in bestof-class tools, dan zijn we veilig”
Werkelijkheid: Cybersecurity gaat
minder om technologie dan u denkt
De wereld van cybersecurity wordt
gedomineerd door gespecialiseerde
leveranciers die geavanceerde
producten verkopen waarmee organisaties indringers kunnen weren of tijdig
opsporen. Die tools zijn essentieel voor
een adequate beveiliging – evenals een
goede samenhang in de technologie
(de architectuur) – maar vormen niet
het startpunt van een goed beleid voor
cybersecurity: “A fool with a tool is still
a fool”. De aanschaf van goede tools is
namelijk juist de laatste stap in dat
beleid.
Goede beveiliging begint met het op
orde krijgen van de processen voor
cyber defense. Daarbij hoort ook dat de
professionals in de IT-functie volledig
doordrongen zijn van de noodzaak
tot cybersecurity. Daarnaast gaat het
om kennis en bewustzijn bij de eindgebruiker. De mens is en blijft – zowel
als IT-professionals als eindgebruiker vaak de zwakste schakel als het gaat
om veiligheid en investeren in de
allerbeste tools is dan ook alleen maar
zinvol als mensen hun verantwoordelijkheden op dit punt begrijpen. Social
engineering - waarbij hackers het
vertrouwen winnen van medewerkers
door slim sociaal gedrag en daardoor
toegangsrechten weten te krijgen tot
systemen – blijft een van de belangrijkste risico’s. En daar is met technologie weinig tegen te doen. De juiste
Vijf denkfouten over cybersecurity | 9
cultuur voor cybersecurity betekent
ook dat er een open meldcultuur is
waarin medewerkers zonder angst voor
represailles melding kunnen doen van
zaken die mis gaan.
Juist daarom is het zaak dat bestuurders dit thema niet delegeren. Zij
moeten oprechte interesse tonen en
bereid zijn zich te verdiepen in de
dilemma’s die daarbij een rol spelen.
Ze dienen het belang en de urgentie
ervan uit te stralen naar de gehele
organisatie, zodat er een cultuur kan
ontstaan waarin medewerkers alert
zijn op dreigingen.
3
Denkfout: “Onze wapens moeten
beter zijn dan die van de hackers”
Werkelijkheid: Het beveiligingsbeleid
wordt primair door u bepaald, niet
door de aanvallers
De strijd tegen cybercrime is een
typisch voorbeeld van een moeilijk
te winnen ratrace. De aanvallers
ontwikkelen steeds weer nieuwe
methoden en technieken en de verdediger staat dan ook haast per definitie
op achterstand. Zo lijkt het tenminste.
Maar is dat wel zo? En is het dan wel
zinvol om hijgend achter de vijand aan
te lopen en nog betere tools in te zetten
om hem buiten te houden?
Natuurlijk is het zaak op zijn minst zo
goed mogelijk bij te blijven in deze race
en u goed te verdiepen in de (motieven
en tactieken van) mogelijke aanvallers.
Het is echter vooral ook verstandig om
niet alleen maar in een reactieve rol te
zitten maar in plaats daarvan het beleid
ook vorm te geven vanuit het karakter
van de eigen organisatie en een flexibele, proactieve houding in te nemen.
Bestuurders dienen zich daartoe af te
vragen waar de grote waarden in hun
organisatie zitten en welke onderdelen
essentieel zijn voor het bestaansrecht.
Het beleid dient zich primair te richten
op deze onderdelen, aangezien daar de
grootste risico’s zijn ten aanzien van
kosten (reputatieschade, inkomstenderving, publiek worden intellectueel
eigendom). Kortom: bestuurders
mogen zich niet laten verblinden door
de nieuwigheden in cybercrime, maar
moeten vanuit de eigen organisatie
redeneren.
In feite gaat het voortdurend om het
maken van een business case voor
cybersecurity vanuit eigen kracht, en
op basis daarvan een maatwerkaanpak
met de juiste tools te ontwikkelen.
Belangrijke vragen voor bestuurders
zijn daarbij: Weten we voor wie we
interessant zijn en waarom? Weten we
welke risico’s we op dit terrein bereid
zijn om te accepteren (risk appetite)
Hebben we inzicht in welke systemen
de belangrijkste waarden (en ons
bestaansrecht) liggen besloten?
Wat die laatste vraag betreft: Een
organisatie kan heel anders tegen de
waarde van activa aankijken dan een
1 Zie ook ‘Een genuanceerde visie op cybercrime’, KPMG 2012
© 2013 KPMG Advisory N.V.
crimineel. Het is dus belangrijk de
waarde van activa te bekijken vanuit
het perspectief van zowel de organisatie als dat van de crimineel1.
In dat opzicht moeten we ons ook
realiseren dat het bedrijfsleven en de
technologie zich in ketens hebben
ontwikkeld en dat organisaties dus
mede afhankelijk zijn van elkaars
beveiliging.
4
Denkfout: “We moeten streng
controleren of de cybersecurity
procedures worden nageleefd”
Werkelijkheid: Het vermogen om
te leren is belangrijker dan het
vermogen om te controleren
Alleen een organisatie die in staat is
om externe ontwikkelingen en plotselinge gebeurtenissen te vertalen naar
het beleid – door ervan te leren dus –
kan op langere termijn succes blijven
boeken. Dat geldt op een breed terrein,
en het geldt ook voor cybersecurity.
De praktijk laat zien dat cybersecurity
sterk wordt gedreven door compliance.
Dat is begrijpelijk, want veel organisaties hebben te maken met verplichtingen vanuit een breed scala aan
wet- en regelgeving. Het is echter
contraproductief om compliance als
een doelstelling van het cybersecuritybeleid te zien.
10 | Vijf denkfouten over cybersecurity
Het gaat immers bij cybersecurity niet
alleen om het vermogen om te controleren maar ook om het vermogen om
te leren.
Dat betekent concreet onder andere
het volgende:
• Organisaties moeten inzicht hebben
in hoe de dreigingen en patronen in
de omgeving zich ontwikkelen en
daarop anticiperen; een scherp zicht
hierop is vaak een veel betere versterking van de veiligheid dan het
opwerpen van nog hogere muren
door tools. Dat gaat verder dan
monitoring van infrastructuren, het
gaat om een slimme analyse van
ontwikkelingen buiten de organisatie
waarmee men patronen combineert.
Dit aspect is vaak onderbelicht en
biedt mogelijkheden om op kosten-
effectieve wijze de veiligheid op een
hoger niveau te krijgen. De praktijk
is helaas dat veel organisaties teveel
het wiel zelf uitvinden en te weinig
gebruik maken van de kennis die er
al is.
• Organisaties moeten zorgen dat
incidenten ook worden geëvalueerd
zodat er lering kan worden getrokken uit deze incidenten. De praktijk
is echter dat er bij een incident nog
te vaak in een paniekmodus wordt
gehandeld. Daardoor is de reactie
niet alleen suboptimaal – paniek is
vaak fnuikend voor daadkracht –
maar gaat ook het leereffect
verloren. Als er goede feedback
loops zijn, wordt het mogelijk om
niet alleen maar brandjes te blussen
maar ook om op basis van de
ervaring met die brandjes te komen
tot een betere brandpreventie.
• Datzelfde geldt ook voor de monitoring van aanvallen van buiten. In veel
gevallen zijn er prima mogelijkheden
geïmplementeerd voor monitoring,
maar staat deze monitoring teveel in
een isolement ten opzichte van de
rest van de organisatie. Van de
opgedane informatie wordt niet of
onvoldoende geleerd. Bovendien
vergt monitoring ook een goed
doordachte focus: Pas als je goed
weet wat je wilt monitoren, wordt
monitoring een goed middel om
aanvallen tijdig in het vizier te krijgen.
• Organisaties dienen de informatievoorziening over cybersecurity te
structureren. Dit vergt onder andere
© 2013 KPMG Advisory N.V.
een betere informatievoorziening
aan bestuurders: nagaan wanneer
wel/niet escalatie naar boven nodig
is en het bestuur een goed inzicht –
met de juiste mate van detail –
geven in welke risico’s er spelen en
hoe relevant deze op strategisch
niveau zijn.
5
Denkfout: “We moeten de beste
professionals aantrekken om ons te
wapenen tegen cybercrime”
Werkelijkheid: Cybersecurity is geen
afdeling maar een houding
Cybersecurity wordt vaak gezien als
de verantwoordelijkheid van een
afdeling gespecialiseerde professionals.
Dat doet echter geen recht aan de
uitdaging en heeft bovendien het risico
van schijnzekerheden. Want de rest van
de organisatie beschouwt het niet als
hun probleem als er incidenten optreden en de reflex is dan vaak om te
investeren in verdere versterking van
die afdeling. Dat is een heilloze weg.
De echte uitdaging zit erin om cybersecurity te integreren in alles wat je
doet. Dat betekent bijvoorbeeld dat
cybersecurity een onderdeel is van het
HR-beleid – met in sommige gevallen
zelfs een koppeling met het beloningsbeleid. Het betekent ook dat cybersecurity een centrale plaats moet
krijgen bij de ontwikkeling van nieuwe
IT-systemen – en niet, zoals vaak
gebeurt, op het einde van zo’n project
pas aandacht krijgt.
11 | Telelens op de toekomst
Vijf denkfouten over cybersecurity | 11
03
Komen tot een maatwerkaanpak
De risico’s zijn bij een lokale ondernemer van een heel ander kaliber dan bij
een wereldwijd opererende multinational. Bij de laatste is de zichtbaarheid
voor criminelen groter, is de afhankelijkheid van IT hoger, en staan er grotere
belangen en (reputatie)risico’s op het spel. In beide gevallen is het echter
nodig om vanuit de typologie van de eigen organisatie, de risicobereidheid en
de kennis te komen tot een maatwerkaanpak. Dat is echter precies waar
het aan schort. In dit verband is het zinvol om de vergelijking te maken met
hoe een juwelier komt tot een goede diefstalbeveiliging. De onderstaande
tabel biedt dan ook zowel een MKB-onderneming als een multinational een
kritische spiegel.
Perspectief van juwelier op diefstalbeveiliging
Veel voorkomend perspectief op cybersecurity
Ik weet welke waarden ik moet beschermen en stem
mijn maatregelen daarop af.
Ik neem maatregelen zonder een goed beeld te hebben
van welke waarden essentieel zijn om te beschermen.
Ik zie diefstal als het risico van het vak en weet dat ik
niet meer in business ben als ik 100% zekerheid wil.
Ik zie cybercrime als iets exotisch en streef naar 100%
zekerheid.
Ik focus op maatregelen die voorkomen dat er iemand
naar buiten gaat met waardevolle spullen.
Ik focus op maatregelen die voorkomen dat er iemand
binnenkomt en vergeet om maatregelen te nemen die
tegengaan dat er informatie naar buiten gaat.
Ik laat me niet gek maken door leveranciers van
beveiligingsmiddelen en bepaal zelf wel wat ik aanschaf.
Ik laat mijn security beleid sterk afhangen van de
beschikbare middelen op de markt zonder precies te
weten wat ik nodig heb.
Ik trek lering als het (bijna) fout gaat.
Ik schiet in de paniek als het (bijna) fout gaat.
Ik train medewerkers over hoe ze de risico’s van diefstal
kunnen verkleinen en spreek hen erop aan als ze fouten
maken.
Ik beschouw cybersecurity vooral als een zaak van
gespecialiseerde professionals en wil er de rest van de
organisatie niet teveel mee lastig vallen.
Ik investeer in middelen omdat dat mijn bestaansrecht is.
Ik investeer in middelen omdat dat verplicht is en omdat
er elke dag incidenten staan in de media.
© 2013 KPMG Advisory N.V.
12 | Vijf denkfouten over cybersecurity
04
Hoe weet u als bestuurder hoe
uw organisatie ervoor staat?
Als bestuurder wilt u weten of uw organisatie een
adequaat beleid heeft voor cybersecurity. KPMG gaat
daarbij uit van een model dat op zes dimensies een
visie oplevert.
Leiderschap en governance
Bestuurders dienen in woord en daad
te laten zien dat ze zich eigenaar
voelen van het thema en laten zien dat
ze de ermee samenhangende risico’s
adequaat willen managen.
Leadership
Legal &
Compliance
Human
Factors
Ops &
Technology
Info Risk
Mgmt
Business Continuity
© 2013 KPMG Advisory N.V.
Gedragsfactoren
Cybersecurity heeft niet (alleen) te
maken met de juiste technische maatregelen, maar ook met het creëren van
een cultuur waarin mensen alert zijn en
zich bewust zijn van hoe zij kunnen
bijdragen aan veiligheid.
Information Risk Management
Een adequate aanpak voor alomvattend
en effectief risicomanagement ten
aanzien van informatievoorziening,
ook in relatie tot partnerorganisaties.
Vijf denkfouten over cybersecurity | 13
Business Continuity en Crisis
Management
Een goede voorbereiding op eventuele
incidenten en het vermogen om de
impact van deze incidenten te minimaliseren. Dit omvat onder meer
crisis- en stakeholdermanagement.
Beheersmaatregelen en controls
De implementatie van controle- en
beheersingsmaatregelen in de
organisatie om risico’s van cybersecurity te identificeren en de impact
van incidenten te minimaliseren.
Juridisch
Het voldoen aan wet- en regelgeving
ten aanzien van informatiebeveiliging.
Het toepassen van dit holistische model
levert organisaties het volgende op:
• Het minimaliseren van het risico
dat een organisatie wordt getroffen
door een cyberaanval van buiten en
het minimaliseren van de eventuele
gevolgen van een succesvolle
aanval.
• Betere beslissingen op het gebied
van cybersecurity: de informatievoorziening over maatregelen,
aanvalspatronen en incidenten
wordt daartoe geoptimaliseerd.
• Heldere communicatielijnen over
het thema cybersecurity. Iedereen
kent zijn verantwoordelijkheden
en weet wat er moet gebeuren
als er (vermoedens van) incidenten
zijn.
© 2013 KPMG Advisory N.V.
• Een bijdrage aan een betere
reputatie. Een organisatie die
goed is voorbereid en goede
afwegingen over het thema
cybersecurity heeft gemaakt
kan op vertrouwenwekkende
wijze communiceren over dit
thema.
• Het verhogen van de kennis en
competenties over cybersecurity.
• Het benchmarken van de organisatie
op het gebied van cybersecurity in
relatie tot peers.
Leadership and Governance
Human Factors
Board demonstrating due
diligence, ownership and
effective management of risk.
The level and integration of a
security culture that empowers
and ensures the right people,
skills, culture and knowledge.
Information Risk Management
Business Continuity and Crisis
Management
The approach to achieve
comprehensive and effective risk
management of information
throughout the organization and
its delivery and supply partners.
Preparations for a security event
and ability to prevent or minimize
the impact through succesful crisis
and stakeholder management.
Operations and Technology
Legal and Compliance
The level of control measures
implemented to address identified
risks and minimize the impact of
compromise.
Regulatory and international
certification standards as relevant.
14 | Vijf denkfouten over cybersecurity
05
Tot slot ... tijd voor actie
Cybersecurity is zeker een thema dat u als bestuurder op uw
agenda moet hebben staan. Zowel uw toezichthouders, raad
van commissarisleden als aandeelhouders verwachten dat u
voldoende aandacht heeft voor deze steeds groter wordende
problematiek.
Daarom is het noodzakelijk om de
volgende vragen te beantwoorden
voor uw organisatie:
1 Hoe groot is het risico voor mijn
organisatie, alsmede de organisaties
waar ik zaken mee doe? Startpunt
van uw verkenning van dit probleem,
is het bepalen van het risicoprofiel
van uw organisatie. Hoe interessant
is uw organisatie voor potentiële
cybercriminelen? Hoe afhankelijk
is uw organisatie van de dienstverlening van andere organisaties.
En tenslotte hoeveel risico wilt u als
organisatie lopen? Immers 100%
veiligheid bestaat niet!
Bij deze een paar kernvragen die u
kunt gebruiken voor het bepalen van
uw risicoprofiel alsook risk appetite:
• Weten we welke processen en/of
systemen de grootste waarde
vertegenwoordigen vanuit het
perspectief van cybersecurity?
© 2013 KPMG Advisory N.V.
• Hebben we wel bewust nagedacht over hoeveel risico’s
we voor deze processen
en/of systemen bereid zijn te
accepteren? (risk appetite)
• Hoe geïntegreerd / afhankelijk
is de dienstverlening van de
organisatie met / van dienstverlening van partners (toeleveranciers, klanten) en wat is
de mate van integratie van de
ondersteunende IT processen?
• Hebben deze partners een zelfde
beeld over de risk appetite en de
daarop afgestemde maatregelen
op het gebied van cybersecurity?
• Ontwikkelen we duidelijke
business cases voor onze
investeringen in cybersecurity?
Vijf denkfouten over cybersecurity | 15
2 Technologie is niet het antwoord,
het antwoord is gelegen in de
combinatie van governance, cultuur
en gedrag. En u als bestuurder heeft
daar een belangrijke rol. Zonder uw
commitment zal een gedrags- en
cultuurverandering in uw organisatie
niet plaatsvinden.
Kernvragen die in dit kader relevant
zijn om te beantwoorden:
• Hebben we zicht op hoe onze
organisatiecultuur bijdraagt (of
juist een belemmering vormt)
voor goede cybersecurity?
• Wanneer hebben we als bestuur
voor het laatst zelf iets gecommuniceerd over (het belang van)
cybersecurity?
• Zijn we voorbereid om te handelen bij een crisis of incident?
Weten wie wie en hoe we
moeten communiceren?
© 2013 KPMG Advisory N.V.
• En kunnen we dan aan stakeholders verantwoording afleggen
over hoe ons beleid voor cybersecurity eruit ziet?
3 Hoeveel budget moet u als
organisatie vrijmaken en waar
aan te besteden?
Afhankelijk van het risicoprofiel van
uw organisatie, kan het budget voor
cybersecurity oplopen tot 3 tot 5%
van uw totale IT budget. Op dit
moment wordt vaak een significant
deel besteed aan het implementeren
van technologische oplossingen alsmede het oplossen van problemen
uit het verleden. Kernvraag die hier
te beantwoorden is:
• Hoeveel van ons budget gaat naar
het oplossen van problemen uit
het verleden en hoeveel naar
structurele investeringen in betere
veiligheid (security by design) van
systemen?
Maar dit is slechts een deel van
de oplossing. Zonder een goede
governance, goede cyber security
processen en natuurlijk ruime
aandacht voor de bewustwording
en cultuurverandering, zullen deze
technologische oplossingen hun
waarde niet bewijzen. Kortom, stel
u eens de vraag:
• Hoeveel van ons budget voor
cybersecurity gaat naar systemen en tools, en hoeveel naar
bewustwording en cultuurverandering?
Kortom, tijd voor actie!
Deze publicatie is tot stand
gekomen met dank aan:
Peter Kornelisse, Koos Wolters,
Dennis van Ham, Ronald Heil,
Harald Oymans, Stan Hegt en
Tamara Kipp.
Contact
John Hermans
KPMG Cybersecurity Lead Partner
T: +31 (0) 20 656 8394
E: [email protected]
Gerben Schreurs
Partner KPMG Forensic
T: +31 (0)20 656 8866
E: schreurs. [email protected]
KPMG
Laan van Langerhuize 1
1186 DS Amstelveen
P.O. Box 74555
1070 DC Amstelveen
www.kpmg.nl
De in dit document vervatte informatie is van algemene aard en is niet toegespitst op de specifieke omstandigheden van een
bepaalde persoon of entiteit. Wij streven ernaar juiste en tijdige informatie te verstrekken. Wij kunnen echter geen garantie
geven dat dergelijke informatie op de datum waarop zij wordt ontvangen nog juist is of in de toekomst blijft. Daarom adviseren
wij u op grond van deze informatie geen beslissingen te nemen behoudens op grond van advies van deskundigen na een grondig
onderzoek van de desbetreffende situatie.
© 2013 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is een dochtermaatschappij van KPMG Europe LLP en lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan
KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG,
het logo en ‘cutting through complexity’ zijn geregistreerde merken van KPMG International.