Jaya Baloo, CISO bij Avast Software, over cybersecurity

Gepubliceerd op 29/09/2021 in Tech, tips & trics

Om tot een veilige IT-omgeving te komen is meer nodig dan wat software en een firewall. “Cybersecurity moet steunen op een strategie”, zegt Jaya Baloo, CISO bij securityspecialist Avast Software. “Zonder plan sta je nergens.”

Jaya Baloo, CISO bij Avast Software, over cybersecurity

Nogal wat bedrijven mispakken zich aan cybersecurity. Ze denken dat het volstaat om enkele producten aan te schaffen. Wat zegt u aan hen?

Jaya Baloo: “Cybersecurity kan niet zonder goed doordachte strategie. Je moet begrijpen wat je verdedigt en tegen wie je je verdedigt. Dat kan alleen maar via een strategische benadering. Je moet een plan hebben. If you fail to plan, you plan to fail. Concreet ga ik altijd uit van een visie op drie jaar, met een helder doel: kijken hoe security bijdraagt om de business te laten doen wat de business wil doen. Security is er niet om de business te hinderen, maar net om de business vooruit te helpen.”

Geldt dat uitgangspunt voor alle bedrijven, ongeacht of het een kmo is of een grote multinational?

“In principe wel, al moet je alles natuurlijk in de juiste context zien. In een kleine, ambachtelijke bakkerij weegt IT minder zwaar door en zal security minder inspanning vragen. Voor een kmo die online dienstverlening aanbiedt, heeft security veel meer belang. Maar dan nog: vandaag is iedereen online actief, dus kan niemand om de nood aan beveiliging heen. Wat we wel zien is dat kleine organisaties vaak makkelijke slachtoffers zijn, net omdat ze niet goed weten wat ze moeten doen of omdat ze tegen de kosten opzien.”

Hebben kmo’s niet de juiste kijk op security?

“Kleine bedrijven begrijpen nog heel vaak de threat base niet. Ze denken dat ze niet interessant zijn voor cybercriminelen en dat ze daarom geen gevaar lopen. Of ze denken dat hun serviceprovider hen zal beschermen. Maar dat is niet het geval. Wie een clouddienst afneemt, moet nog altijd zelf instaan voor de beveiliging ervan.

Wie dat niet weet, gebruikt die diensten in de veronderstelling dat ze veilig zijn. Zo’n vals gevoel van veiligheid kan ook ontstaan bij de medewerkers van een bedrijf. Zij gaan er dan vanuit dat security de verantwoordelijkheid van het bedrijf is, niet van henzelf. Dat gebrek aan bewustzijn kan tot grote problemen leiden.”

Make it financial. Bereken wat de impact van een incident het bedrijf kan kosten.

Jaya Baloo, CISO bij Avast Software

author

Inzicht in de risico’s… en jezelf

Daar zegt u het: awareness. Hoe kan een bedrijf ervoor zorgen dat iedereen mee is?

“Ook dat kan alleen maar wanneer de organisatie een securitystrategie ontwikkelt. Drie elementen zijn daarbij onmisbaar: bewustzijn, visibiliteit en bekwaamheid. In de eerste plaats moet je een security awareness ontwikkelen die is toegespitst op het bedrijf en zijn medewerkers. Security is best gediend met bewustzijn dat op de diverse rollen van de medewerkers aansluit. Voor de CIO zijn er andere aandachtspunten dan voor de productiearbeiders. Visibiliteit en inzicht in de risico’s vormen het tweede element.

Er moet monitoring zijn, je moet logs en – meer algemeen – informatie verzamelen zodat je weet wanneer er in je sector incidenten zijn rond security. Daarin moet je prioriteiten aanbrengen, zodat je weet wat belangrijk en wat dringend is. Tot slot draait het allemaal rond de snelheid en de precisie waarmee je op een incident reageert. De ontwikkeling van de juiste bekwaamheid op het vlak van security is daarom een essentieel – en iteratief – proces.”

Volgens Jaya Baloo steunt zo’n strategie op drie principes: awareness stimuleren, visibiliteit creëren en eigen slagkracht ontwikkelen.

Lees het vervolgartikel

Met logs alleen ben je er natuurlijk nog niet.

“Juist. Je moet die logs en alerts slim aanpakken. Het gaat erom naar de juiste dingen te kijken: looking at the right things instead of looking busy, anders verdrink je in allerhande alarmen. En wanneer er een incident is, moet je ook nog tot de gepaste actie kunnen overgaan. Gaat het om een incident of om een systemisch probleem? Pak het dan aan, maar doe ook dat op een slimme manier, zodat je er iets uit leert en het niet meer gebeurt.”

De grote moeilijkheid is dat de omstandigheden waarin de hele oefening plaatsvindt, voortdurend veranderen. Er is de continue wedloop tussen cybercriminelen met nieuwe malware en securityspecialisten met nieuwe oplossingen. Maar evengoed verandert ook de business van een onderneming doorheen de tijd, is het niet?

“Klopt, maar een bedrijf zou zijn eigen omgeving het best moeten kennen. Wanneer daar iets verandert, dan moet het inderdaad bijsturen. De impact van een brand is niet voorbij wanneer het vuur geblust is. Je hebt ook tijd nodig om de brandwonden te laten genezen. Dat is bij een securityincident ook zo. Een hacking blijft gemiddeld zeven maanden onopgemerkt.

Daarna is er een lange weg af te leggen – vaak drie tot zes maanden – om de hele impact van het incident weg te werken. Anders gezegd: welke plannen de onderneming ook heeft, ze zullen moeten veranderen. Een goede strategie voorziet dan ook in de ruimte om dat goed te kunnen doen.”

CIO of CISO? Eén iemand moet de eindverantwoordelijkheid dragen. Maar bedenk dat security niet zonder goede IT kan, terwijl IT zonder goede security helaas wel bestaat.”

Jaya Baloo, CISO bij Avast Software

Bereken de kosten

Als de risico’s voortdurend veranderen en een organisatie haar security daardoor continu moet aanpassen, loert security fatigue om de hoek. Hoe valt dat te vermijden?

“Het ís ook vermoeiend: weer een zero day, weer een patch, weer een campagne rond ransomware… We zien cybersecurity als een wapenwedloop die voortdurend verder escaleert. We weten niet meer hoe we moeten de-escaleren. Dat maakt het lastig. Eigenlijk moet je ondanks alles toch cool blijven. Je weet dat er straks weer iets bijkomt en dat je als bedrijf tijd, mensen en budget moet blijven voorzien. Maar tegelijk kun je niet voor alles staan roepen, want op de duur luistert niemand meer.”

Los van de strijd op het terrein is dat wellicht de grootste uitdaging voor de securityspecialisten: hoe overtuigen ze de CEO ervan dat een blijvende inspanning nodig is?

“Wel, vanuit securitystandpunt kan je niet anders dan een voldoende grote buffer te voorzien, omdat we weten dat er vroeg of laat iets gebeurt. Je kunt het management daar het best van overtuigen door een financiële vertaling te maken. Kijk naar de mogelijke impact op de business en bereken daar de kosten van.”

Geen security zonder IT

Bedrijven halen de verantwoordelijkheid voor security almaar vaker weg bij de IT-afdeling. Ze stellen een CISO aan, die weliswaar in nauw contact staat met de CIO. Hoe kijkt u naar die evolutie?

“Wanneer het om security gaat, is iedereen verantwoordelijk. Maar de eindverantwoordelijkheid bevindt zich op C-niveau, dat spreekt voor zich. Interessant om zien is daarbij dat security niet zonder goede IT kan, terwijl IT zonder goede security helaas wel bestaat. Bovenal is het belangrijk dat één iemand de verantwoordelijkheid draagt over de security life cycle: van awareness en preventie, tot respons op een incident en het bijhorende herstel. Daarbij kom je al een heel eind wanneer je de gangbare good practices volgt en voor een goede basishygiëne zorgt.”

Concurrentieel voordeel

Voor heel wat bedrijven mag het ook net iets meer zijn. Kunnen zij hun inspanningen op het vlak van security uitspelen als concurrentieel voordeel?

“Uiteraard. Dat is met name het geval wanneer de business van de organisatie staat of valt met vertrouwen. Van een bank verwachten we dat ze sterk beveiligd is. Van een ziekenhuis verwachten we dat het correct omgaat met patiëntendata. In die context kan security uitgroeien tot een concurrentieel voordeel. Een bedrijf als Apple, bijvoorbeeld, schuift privacy en security naar voren als twee van zijn belangrijkste verkoopargumenten.”

Compliance is de vloer

Bedrijven investeren ook vaak in het behalen van certificaten, om zo aan te tonen dat ze security ernstig nemen.

“Met een certificaat bewijs je dat je voldoet aan een standaard. Dat is zeker een goed startpunt. Maar ik zie compliance als de vloer, niet als het plafond. Laat je dus vooral niet verblinden door die certificaten. Hackers slaan heel vaak toe bij gecertificeerde bedrijven.”

Los van alle geleverde inspanningen – al dan niet gedocumenteerd met certificaten – onthouden we vooral dat cybersecurity een heel fluïde oefening blijft. Het werk is nooit af en is niet altijd vast omlijnd. Vandaar de nood aan een gezonde strategie. Die bepaalt de ultieme doelstellingen, terwijl de concrete, dagelijkse deliverables voortdurend evolueren.

Versterk uw cybersecurity aanpak.

Ontdek onze oplossingen

Jaya Baloo is CISO bij Avast Software, een leverancier van beveiligingssoftware. Voorheen was ze CISO bij KPN Telecom. Forbes plaatste haar op zijn lijst met ‘100 Women Founders In Europe To Follow’.

One

One is het ICT-vakblad van Proximus voor CIO’s en ICT-professionals van grote en middelgrote ondernemingen. 

Andere artikels van One