Om tot een veilige IT-omgeving te komen is meer nodig dan wat software en een firewall. “Cybersecurity moet steunen op een strategie”, zegt Jaya Baloo, CISO bij securityspecialist Avast Software.
Jaya Baloo, CISO bij Avast Software
sta je nergens”
“Zonder plan
exclusief Interview
Nogal wat bedrijven mispakken zich aan cybersecurity. Ze denken dat het volstaat om enkele producten aan te schaffen. Wat zegt u aan hen?
Jaya Baloo: “Cybersecurity kan niet zonder goed doordachte strategie. Je moet begrijpen wat je verdedigt en tegen wie je je verdedigt. Dat kan alleen maar via
een strategische benadering. Je moet een plan hebben. If you fail to plan, you plan
to fail. Concreet ga ik altijd uit van een visie op drie jaar, met een helder doel: kijken hoe security bijdraagt om de business te laten doen wat de business wil doen. Security is er niet om de business te hinderen, maar net om de business vooruit te helpen.”
Geldt dat uitgangspunt voor alle bedrijven, ongeacht of het een kmo is of
een grote multinational?
“In principe wel, al moet je alles natuurlijk in de juiste context zien. In een kleine, ambachtelijke bakkerij weegt IT minder zwaar door en zal security minder inspanning vragen. Voor een kmo die online dienstverlening aanbiedt, heeft security veel meer belang. Maar dan nog: vandaag is iedereen online actief, dus kan niemand om de nood aan beveiliging heen. Wat we wel zien is dat kleine organisaties vaak makkelijke slachtoffers zijn, net omdat ze niet goed weten wat ze moeten doen of omdat ze tegen de kosten opzien.”
Hebben kmo’s niet de juiste kijk op security?
“Kleine bedrijven begrijpen nog heel vaak de threat base niet. Ze denken dat ze niet interessant zijn voor cybercriminelen en dat ze daarom geen gevaar lopen. Of ze denken dat hun serviceprovider hen zal beschermen. Maar dat is niet het geval. Wie
een clouddienst afneemt, moet nog altijd zelf instaan voor de beveiliging ervan. Wie dat niet weet, gebruikt die diensten in de veronderstelling dat ze veilig zijn. Zo’n vals gevoel van veiligheid kan ook ontstaan bij de medewerkers van een bedrijf. Zij gaan er dan vanuit dat security de verantwoordelijkheid van het bedrijf is, niet van henzelf. Dat gebrek aan bewustzijn kan tot grote problemen leiden.”
is CISO bij Avast Software, een leverancier van beveiligingssoftware. Voorheen was ze CISO bij KPN Telecom. Forbes plaatste haar op zijn lijst met ‘100 Women Founders In Europe To Follow’.
Jaya Baloo
“Make it financial.
Bereken wat de impact van een incident het bedrijf kan kosten.”
Inzicht in de risico’s… en jezelf
Daar zegt u het: awareness.
Hoe kan een bedrijf ervoor zorgen dat iedereen mee is?
“Ook dat kan alleen maar wanneer de organisatie
een securitystrategie ontwikkelt. Drie elementen zijn daarbij onmisbaar: bewustzijn, visibiliteit en bekwaamheid. In
de eerste plaats moet je een security awareness ontwikkelen die is toegespitst op het bedrijf en zijn medewerkers. Security is best gediend met bewustzijn dat op de diverse rollen van de medewerkers aansluit. Voor
de CIO zijn er andere aandachtspunten dan voor
de productiearbeiders. Visibiliteit en inzicht in de risico’s vormen het tweede element. Er moet monitoring zijn, je moet logs en – meer algemeen – informatie verzamelen zodat je weet wanneer er in je sector incidenten zijn rond security. Daarin moet je prioriteiten aanbrengen, zodat je weet wat belangrijk en wat dringend is. Tot slot draait het allemaal rond de snelheid en de precisie waarmee je op
een incident reageert. De ontwikkeling van de juiste bekwaamheid op het vlak van security is daarom
een essentieel – en iteratief – proces.”
De grote moeilijkheid is dat de omstandigheden waarin de hele oefening plaatsvindt, voortdurend veranderen. Er is de continue wedloop tussen cybercriminelen met nieuwe malware en securityspecialisten met nieuwe oplossingen. Maar evengoed verandert ook de business van een onderneming doorheen de tijd, is het niet?
“Klopt, maar een bedrijf zou zijn eigen omgeving het best moeten kennen. Wanneer daar iets verandert, dan moet het inderdaad bijsturen. De impact van een brand is niet voorbij wanneer het vuur geblust is. Je hebt ook tijd nodig om de brandwonden te laten genezen. Dat is bij een security-incident ook zo. Een hacking blijft gemiddeld zeven maanden onopgemerkt. Daarna is er een lange weg af te leggen – vaak drie tot zes maanden – om de hele impact van het incident weg te werken. Anders gezegd: welke plannen de onderneming ook heeft, ze zullen moeten veranderen. Een goede strategie voorziet dan ook in de ruimte om dat goed te kunnen doen.”
Jaya Baloo, CISO bij Avast Software
“CIO of CISO?
één iemand moet de eindverantwoordelijkheid dragen. Maar bedenk dat security niet zonder goede IT kan, terwijl IT zonder goede security helaas wel bestaat.”
Jaya Baloo
CISO bij Avast Software
Bedrijven halen de verantwoordelijkheid voor security almaar vaker weg bij
de IT-afdeling. Ze stellen een CISO aan, die weliswaar in nauw contact staat met
de CIO. Hoe kijkt u naar die evolutie?
“Wanneer het om security gaat, is iedereen verantwoordelijk. Maar
de eindverantwoordelijkheid bevindt zich op C-niveau, dat spreekt voor zich. Interessant om te zien is daarbij dat security niet zonder goede IT kan, terwijl IT zonder goede security helaas wel bestaat. Bovenal is het belangrijk dat één iemand
de verantwoordelijkheid draagt over de security life cycle: van awareness en preventie, tot respons op een incident en het bijbehorende herstel. Daarbij kom je al
een heel eind wanneer je de gangbare good practices volgt en voor
een goede basishygiëne zorgt.”
Bereken de kosten
Geen security zonder IT
Concurrentieel voordeel
Voor heel wat bedrijven mag het ook net iets meer zijn. Kunnen zij hun inspanningen op het vlak van security uitspelen als concurrentieel voordeel?
“Uiteraard. Dat is met name het geval wanneer de business van de organisatie staat of valt met vertrouwen. Van een bank verwachten we dat ze sterk beveiligd is. Van
een ziekenhuis verwachten we dat het correct omgaat met patiëntendata. In die context kan security uitgroeien tot een concurrentieel voordeel. Een bedrijf als Apple, bijvoorbeeld, schuift privacy en security naar voren als twee van zijn belangrijkste verkoopargumenten.”
Bedrijven investeren ook vaak in het behalen van certificaten, om zo aan te tonen dat ze security ernstig nemen.
“Met een certificaat bewijs je dat je voldoet aan een standaard. Dat is zeker een goed startpunt. Maar ik zie compliance als de vloer, niet als het plafond. Laat je dus vooral niet verblinden door die certificaten. Hackers slaan heel vaak toe bij gecertificeerde bedrijven.”
Los van alle geleverde inspanningen – al dan niet gedocumenteerd met certificaten – onthouden we vooral dat cybersecurity een heel fluïde oefening blijft. Het werk is nooit af en is niet altijd vast omlijnd. Vandaar de nood aan een gezonde strategie. Die bepaalt de ultieme doelstellingen, terwijl de concrete, dagelijkse deliverables voortdurend evolueren.
Compliance is de vloer
Vul de enquête in
Hoe staat het met uw securitystrategie?
Welke vragen of problemen hebt u gehad dit laatste jaar? Welke securitydomeinen wenst u verder te versterken? Deel uw ervaring en vul onze jaarlijkse enquête in.
Nadien vatten we de resultaten en inzichten samen voor een nog betere dienstverlening.
Jaya Baloo
CISO bij Avast Software
“Zo’n strategie steunt op drie principes: awareness stimuleren, visibiliteit creëren en eigen slagkracht ontwikkelen.”
Lees het vervolgartikel
Met logs alleen ben je er natuurlijk nog niet.
“Juist. Je moet die logs en alerts slim aanpakken. Het gaat erom naar de juiste dingen te kijken: looking at the right things instead of looking busy, anders verdrink je in allerhande alarmen. En wanneer er een incident is, moet je ook nog tot
de gepaste actie kunnen overgaan. Gaat het om een incident of om een systemisch probleem? Pak het dan aan, maar doe ook dat op een slimme manier, zodat je er iets uit leert en
het niet meer gebeurt.”
Als de risico’s voortdurend veranderen en een organisatie haar security daardoor continu moet aanpassen, loert security fatigue om de hoek. Hoe valt dat te vermijden?
“Het ís ook vermoeiend: weer een zero day, weer een patch, weer een campagne rond ransomware… We zien cybersecurity als een wapenwedloop die voortdurend verder escaleert. We weten niet meer hoe we moeten de-escaleren. Dat maakt het lastig. Eigenlijk moet je ondanks alles toch cool blijven. Je weet dat er straks weer iets bijkomt en dat je als bedrijf tijd, mensen en budget moet blijven voorzien. Maar tegelijk kun je niet voor alles staan roepen, want op de duur luistert niemand meer.”
Los van de strijd op het terrein is dat wellicht de grootste uitdaging voor
de securityspecialisten: hoe overtuigen ze de CEO ervan dat een blijvende inspanning nodig is?
“Wel, vanuit securitystandpunt kan je niet anders dan een voldoende grote buffer
te voorzien, omdat we weten dat er vroeg of laat iets gebeurt. Je kunt het management daar het best van overtuigen door een financiële vertaling te maken. Kijk naar de mogelijke impact op de business en bereken daar de kosten van.”
Versterk uw cybersecurity aanpak.
exclusief Interview
“Zonder plan
sta je nergens”
Om tot een veilige IT-omgeving te komen is meer nodig dan wat software en een firewall. “Cybersecurity moet steunen op een strategie”, zegt Jaya Baloo, CISO bij securityspecialist Avast Software.
Jaya Baloo, CISO bij Avast Software
is CISO bij Avast Software, een leverancier van beveiligingssoftware. Voorheen was ze CISO bij KPN Telecom. Forbes plaatste haar op zijn lijst met ‘100 Women Founders In Europe To Follow’.
Jaya Baloo
“CIO of CISO?
één iemand moet de eindverantwoordelijkheid dragen. Maar bedenk dat security niet zonder goede IT kan, terwijl IT zonder goede security helaas wel bestaat.”
Jaya Baloo
CISO bij Avast Software
Nogal wat bedrijven mispakken zich aan cybersecurity. Ze denken dat het volstaat om enkele producten aan te schaffen. Wat zegt u aan hen?
Jaya Baloo: “Cybersecurity kan niet zonder goed doordachte strategie. Je moet begrijpen wat je verdedigt en tegen wie je je verdedigt. Dat kan alleen maar via een strategische benadering. Je moet een plan hebben. If you fail to plan, you plan to fail. Concreet ga ik altijd uit van een visie op drie jaar, met een helder doel: kijken hoe security bijdraagt om de business te laten doen wat de business wil doen. Security is er niet om de business te hinderen, maar net om de business vooruit te helpen.”
Geldt dat uitgangspunt voor alle bedrijven, ongeacht of het een kmo is of een grote multinational?
“In principe wel, al moet je alles natuurlijk in de juiste context zien. In een kleine, ambachtelijke bakkerij weegt IT minder zwaar door en zal security minder inspanning vragen. Voor een kmo die online dienstverlening aanbiedt, heeft security veel meer belang. Maar dan nog: vandaag is iedereen online actief, dus kan niemand om de nood aan beveiliging heen. Wat we wel zien is dat kleine organisaties vaak makkelijke slachtoffers zijn, net omdat ze niet goed weten wat ze moeten doen of omdat ze tegen de kosten opzien.”
Hebben kmo’s niet de juiste kijk op security?
“Kleine bedrijven begrijpen nog heel vaak de threat base niet. Ze denken dat ze niet interessant zijn voor cybercriminelen en dat ze daarom geen gevaar lopen. Of ze denken dat hun serviceprovider hen zal beschermen. Maar dat is niet het geval. Wie een clouddienst afneemt, moet nog altijd zelf instaan voor de beveiliging ervan. Wie dat niet weet, gebruikt die diensten in de veronderstelling dat ze veilig zijn. Zo’n vals gevoel van veiligheid kan ook ontstaan bij de medewerkers van een bedrijf. Zij gaan er dan vanuit dat security de verantwoordelijkheid van het bedrijf is, niet van henzelf. Dat gebrek aan bewustzijn kan tot grote problemen leiden.”
Inzicht in de risico’s… en jezelf
Daar zegt u het: awareness.
Hoe kan een bedrijf ervoor zorgen dat iedereen mee is?
“Ook dat kan alleen maar wanneer de organisatie een securitystrategie ontwikkelt. Drie elementen zijn daarbij onmisbaar: bewustzijn, visibiliteit en bekwaamheid. In
de eerste plaats moet je een security awareness ontwikkelen die is toegespitst op het bedrijf en zijn medewerkers. Security is best gediend met bewustzijn dat op de diverse rollen van de medewerkers aansluit. Voor de CIO zijn er andere aandachtspunten dan voor
de productiearbeiders. Visibiliteit en inzicht in de risico’s vormen het tweede element. Er moet monitoring zijn, je moet logs en – meer algemeen – informatie verzamelen zodat je weet wanneer er in je sector incidenten zijn rond security. Daarin moet je prioriteiten aanbrengen, zodat je weet wat belangrijk en wat dringend is. Tot slot draait het allemaal rond de snelheid en de precisie waarmee je op een incident reageert.
De ontwikkeling van de juiste bekwaamheid op het vlak van security is daarom
een essentieel – en iteratief – proces.”
“Make it financial.
Bereken wat de impact van een incident het bedrijf kan kosten.”
Jaya Baloo, CISO bij Avast Software
Met logs alleen ben je er natuurlijk nog niet.
“Juist. Je moet die logs en alerts slim aanpakken. Het gaat erom naar de juiste dingen te kijken: looking at the right things instead of looking busy, anders verdrink je in allerhande alarmen. En wanneer er een incident is, moet je ook nog tot
de gepaste actie kunnen overgaan. Gaat het om een incident of om een systemisch probleem? Pak het dan aan, maar doe ook dat op een slimme manier, zodat je er iets uit leert en het niet meer gebeurt.”
De grote moeilijkheid is dat de omstandigheden waarin de hele oefening plaatsvindt, voortdurend veranderen. Er is de continue wedloop tussen cybercriminelen met nieuwe malware en securityspecialisten met nieuwe oplossingen. Maar evengoed verandert ook de business van een onderneming doorheen de tijd, is het niet?
“Klopt, maar een bedrijf zou zijn eigen omgeving het best moeten kennen. Wanneer daar iets verandert, dan moet het inderdaad bijsturen. De impact van een brand is niet voorbij wanneer het vuur geblust is. Je hebt ook tijd nodig om de brandwonden te laten genezen. Dat is bij een security-incident ook zo. Een hacking blijft gemiddeld zeven maanden onopgemerkt. Daarna is er een lange weg af te leggen – vaak drie tot zes maanden – om de hele impact van het incident weg te werken. Anders gezegd: welke plannen de onderneming ook heeft, ze zullen moeten veranderen. Een goede strategie voorziet dan ook in de ruimte om dat goed te kunnen doen.”
Bereken de kosten
Als de risico’s voortdurend veranderen en een organisatie haar security daardoor continu moet aanpassen, loert security fatigue om de hoek. Hoe valt dat te vermijden?
“Het ís ook vermoeiend: weer een zero day, weer een patch, weer een campagne rond ransomware… We zien cybersecurity als een wapenwedloop die voortdurend verder escaleert. We weten niet meer hoe we moeten de-escaleren. Dat maakt het lastig. Eigenlijk moet je ondanks alles toch cool blijven. Je weet dat er straks weer iets bijkomt en dat je als bedrijf tijd, mensen en budget moet blijven voorzien. Maar tegelijk kun je niet voor alles staan roepen, want op de duur luistert niemand meer.”
Los van de strijd op het terrein is dat wellicht de grootste uitdaging voor
de securityspecialisten: hoe overtuigen ze de CEO ervan dat een blijvende inspanning nodig is?
“Wel, vanuit securitystandpunt kan je niet anders dan een voldoende grote buffer te voorzien, omdat we weten dat er vroeg of laat iets gebeurt. Je kunt het management daar het best van overtuigen door een financiële vertaling te maken. Kijk naar de mogelijke impact op de business en bereken daar de kosten van.”
Geen security zonder IT
Bedrijven halen de verantwoordelijkheid voor security almaar vaker weg bij
de IT-afdeling. Ze stellen een CISO aan, die weliswaar in nauw contact staat met
de CIO. Hoe kijkt u naar die evolutie?
“Wanneer het om security gaat, is iedereen verantwoordelijk. Maar
de eindverantwoordelijkheid bevindt zich op C-niveau, dat spreekt voor zich. Interessant om te zien is daarbij dat security niet zonder goede IT kan, terwijl IT zonder goede security helaas wel bestaat. Bovenal is het belangrijk dat één iemand de verantwoordelijkheid draagt over de security life cycle: van awareness en preventie, tot respons op een incident en het bijbehorende herstel. Daarbij kom je al
een heel eind wanneer je de gangbare good practices volgt en voor een goede basishygiëne zorgt.”
Hoe staat het met uw securitystrategie?
Welke vragen of problemen hebt u gehad dit laatste jaar? Welke securitydomeinen wenst u verder te versterken? Deel uw ervaring en vul onze jaarlijkse enquête in.
Nadien vatten we de resultaten en inzichten samen voor een nog betere dienstverlening.
Compliance is de vloer
Bedrijven investeren ook vaak in het behalen van certificaten, om zo aan te tonen dat ze security ernstig nemen.
“Met een certificaat bewijs je dat je voldoet aan een standaard. Dat is zeker een goed startpunt. Maar ik zie compliance als de vloer, niet als het plafond. Laat je dus vooral niet verblinden door die certificaten. Hackers slaan heel vaak toe bij gecertificeerde bedrijven.”
Los van alle geleverde inspanningen – al dan niet gedocumenteerd met certificaten – onthouden we vooral dat cybersecurity een heel fluïde oefening blijft. Het werk is nooit af en is niet altijd vast omlijnd. Vandaar de nood aan een gezonde strategie. Die bepaalt de ultieme doelstellingen, terwijl de concrete, dagelijkse deliverables voortdurend evolueren.
“Zo’n strategie steunt op drie principes: awareness stimuleren, visibiliteit creëren en eigen slagkracht ontwikkelen.”
Jaya Baloo
CISO bij Avast Software
Versterk uw cybersecurity aanpak.
Concurrentieel voordeel
Voor heel wat bedrijven mag het ook net iets meer zijn. Kunnen zij hun inspanningen op het vlak van security uitspelen als concurrentieel voordeel?
“Uiteraard. Dat is met name het geval wanneer de business van de organisatie staat of valt met vertrouwen. Van een bank verwachten we dat ze sterk beveiligd is. Van
een ziekenhuis verwachten we dat het correct omgaat met patiëntendata. In die context kan security uitgroeien tot een concurrentieel voordeel. Een bedrijf als Apple, bijvoorbeeld, schuift privacy en security naar voren als twee van zijn belangrijkste verkoopargumenten.”