De wereld lijkt heel anders dan een paar jaar geleden. Door COVID-19 veranderde de manier waarop we ons werk doen en versnelde de verschuiving naar thuiswerken en hybride werkmodellen. Onderweg werden we geconfronteerd met een nieuwe golf van cybersecurityrisico's; om als bedrijf te kunnen overleven is de bescherming hiertegen een noodzaak geworden. Net toen we onze nieuwe IT-omgeving aan het updaten en beveiligen waren, veranderden de omstandigheden opnieuw toen door geopolitieke spanningen een steeds meer gepolariseerde wereld ontstond. Vooruitkijkend zien we verdere zakelijke, economische, technologische en regelgevende veranderingen – en meer ontwrichting.
Het is geen verrassing dat het landschap van cyberdreigingen zich blijft ontwikkelen nu criminelen, zowel georganiseerd als individueel of gesteund door de staat, nieuwe mogelijkheden zoeken om chaos te veroorzaken en winst te maken. Cyberprofessionals, en CISO's in het bijzonder, hebben vaak het gevoel dat ze hard rennen maar weinig vooruitgang boeken.
Wij denken dat het meest logische uitgangspunt voor beveiligingsteams is om te erkennen dat ze nooit tegen alles zullen kunnen beschermen. Dit is een uitdagende boodschap om aan leidinggevenden over te brengen. Organisaties zullen waarschijnlijk altijd een zekere mate van cyberrisico dragen en ondanks alle zorgvuldigheid kunnen beveiligingsmaatregelen falen, en dat gebeurt vaak ook. Als bedrijven proberen zich tegen alle potentiële risico's te beschermen, kan niet alleen het budget een zware last zijn, maar ook de opportuniteitskosten, gezien de impact van beveiligingsmaatregelen op de bedrijfsvoering en bedrijfsactiviteiten.
Misschien is het belangrijkste doel van CISO's om hun organisaties veerkrachtig te houden terwijl de risico's van cyberaanvallen toenemen. Als er een datalek of netwerkinbreuk plaatsvindt, hoe snel kan het bedrijf dan de aanval opsporen en indammen, de normale werkzaamheden hervatten en de gevolgen voor klanten tot een minimum beperken? Dit is kenmerkend voor de veerkrachtagenda die we zien in de laatste golf van regelgeving, met name in de financiële sector. Vaak bestaat de oplossing uit effectieve detectie en respons, snel en geprioriteerd herstel en/of herbouw van systemen na verstoring, en aandacht voor wat echt belangrijk is voor het bedrijf. Uiteindelijk moeten bedrijven een evenwicht vinden tussen investeringen in beschermingsmaatregelen en verbeteringen van de veerkracht.
Ons komende jaarlijkse Cybersecurity considerations-rapport brengt een diverse dwarsdoorsnede van wereldwijde KPMG-cybersecurityspecialisten samen om acht overwegingen te verkennen waaraan CISO's en hun teams in 2023 prioriteit zouden moeten geven om de impact van cyberincidenten te helpen beperken en de toekomst van hun organisaties te beschermen. Hier volgt een korte vooruitblik op die overwegingen.
Vooruitblik cybersecurity-overwegingen voor 2023
Digitaal vertrouwen wordt een bestuurskwestie. Mensen verwachten dat bedrijven eerlijk, integer en transparant handelen in de manier waarop ze met hun persoonlijke informatie omgaan en dat ze robuuste digitale diensten op een veilige manier aanbieden. Politici en regelgevende autoriteiten zijn zich bewust van de publieke opinie en nemen maatregelen om het gedrag van bedrijven uit te dagen en vorm te geven. Het rapport maakt gebruik van ons recente Cyber trust insights-onderzoek en gaat in op de praktische maatregelen die CISO's en hun teams kunnen nemen om het debat te helpen structureren en een integrale rol te spelen bij het opbouwen en behouden van vertrouwen.
Uit ons Cyber trust insights-onderzoek blijkt dat 78 procent van de leidinggevenden van mening is dat het invoeren van geavanceerde systemen voor kunstmatige intelligentie en machine learning unieke cybersecurity-uitdagingen met zich meebrengt, waarbij velen van mening zijn dat ze ook bredere ethische kwesties opwerpen. Het creëren van een kader om de beveiliging en privacy van AI-gestuurde structuren te ondersteunen en tegelijkertijd snelle innovatie en agile ontwikkeling mogelijk te maken, zal de sleutel zijn tot het benutten van het potentieel van deze zich snel ontwikkelende technologieën. In het rapport wordt onderzocht hoe CISO's deze doelstellingen bereiken in samenwerking met privacy & data science-teams en hoe ze hun bedrijven helpen zich voor te bereiden op een snel veranderende regelgeving.
Beveiliging wordt vaak gezien als een obstakel, dat complexiteit en kosten toevoegt aan systemen en tegelijkertijd de functionaliteit beperkt. Het is duidelijk dat klanten blijven vertrouwen op wachtwoorden en zich ergeren als accounts worden geblokkeerd, waardoor de gemoederen verhit raken. “Mensen zijn de zwakste schakel”, horen we vaak; is dat echt zo, of zijn onze beveiligingssystemen onvriendelijk en onbruikbaar? In het rapport wordt onderzocht hoe beveiliging effectief kan worden ingebed in het bedrijf, zodat deze niet alleen onopvallend maar ook intuïtief is, en medewerkers in de hele onderneming inspireert om deel uit te maken van een menselijke firewall.
Voor zover er nog een digitale bedrijfsgrens bestond, heeft COVID-19 die illusie weggenomen en organisaties gedwongen zich aan te passen aan regelingen voor thuiswerken en hybride werken. De wereldwijde, 24/7 bedrijven van vandaag hebben hulp nodig om hun grenzen daadwerkelijk af te bakenen, omdat ze afhankelijk zijn geworden van een complex ecosysteem van partners en leveranciers, verbonden door cloud computing platforms. Hoe kunnen bedrijven in deze nieuwe realiteit dit sterk gedistribueerde bedrijfsmodel beveiligen? Het rapport gaat in op de praktische aspecten van de implementatie van nieuwe vertrouwensparadigma's en -kaders die beter zijn afgestemd op de bedrijfsmodellen van morgen.
Het kan gemakkelijk zijn om de noodzaak van verandering in de beveiligingsfunctie zelf te negeren, maar dat zou naïef zijn. Beveiligingsteams nemen tegenwoordig totaal andere rollen op zich. Het model van gedeelde verantwoordelijkheid leidt tot nieuwe samenwerkingsverbanden met leveranciers van clouddiensten; verschuivingen naar agile DevOps-processen inspireert tot een nieuwe manier van denken over verankering van beveiliging door ontwerp; en de beveiliging van de onderneming – en van klanten en zakelijke partners – omvat nu een veel breder scala aan systemen en middelen, vaak buiten de directe controle van de CISO. Het rapport zal een licht werpen op nieuwe beveiligingsmodellen, die beveiliging behandelen als een rode draad die alle gebieden van de uitgebreide onderneming met elkaar verbindt, en op de bijbehorende behoefte aan nieuwe vaardigheden.
Onze wereld wordt steeds slimmer naarmate aangesloten apparaten in elk aspect van ons leven worden geïntegreerd, met name in de infrastructuur die de digitale en fysieke wereld ondersteunt. Van geavanceerde operationele technologie (OT) en netwerksensoren tot autonome systemen en robotica, de ontwikkelings- en operationele omgevingen verschillen sterk van het klassieke IT-landschap van ondernemingen. Maar bij deze nieuwe structuren is beveiliging nog belangrijker, en de traditionele scheidslijn tussen IT en OT vervaagt. Het rapport gaat in op de vraag hoe bedrijven in deze verschillende omgevingen een beveiligingsmentaliteit kunnen inbouwen en wat regelgevers van bedrijven verwachten om infrastructuur- en productveiligheid in de toekomst mogelijk te maken.
Nog maar een paar jaar geleden was een week een lange tijd in cybersecurity. Tegenwoordig kan een dag een eeuwigheid lijken als je te maken hebt met een behendige en geavanceerde aanvaller. Als beveiligingsgemeenschap zijn we veel beter geworden in het opsporen en blokkeren van nieuwe tactieken van aanvallers, het samenwerken met technologiepartners om de infrastructuur die de aanval ondersteunt neer te halen, en het implementeren van actieve verdedigingsmaatregelen op nationaal niveau. Maar dat vereist beveiligingsoperaties die binnen minuten in plaats van dagen kunnen reageren, snel afwijkend en kwaadaardig gedrag opsporen, maatregelen toepassen om de aanval in te dammen en een aanvaller uit het netwerk verwijderen. Het rapport geeft een schets van het toekomstige security operations center en managed detection & response services, evenals de rol van machine learning, en het bredere community engagement model.
Ten slotte kan, ondanks alle beste inspanningen, het ergste gebeuren. Sterker nog, dat is waarschijnlijk onvermijdelijk. Weerbaarheid is in wezen een zakelijke discussie en niet alleen een streven naar beveiliging; CISO's moeten de neiging weerstaan om de verantwoordelijkheid voor de beveiliging van de organisatie als hun eigen probleem te beschouwen. In plaats daarvan kunnen CISO's en hun teams fungeren als gesprekspartners en katalysatoren tijdens die dialoog in de brede organisatie. CISO's brengen een waardevol perspectief in deze discussies, daar waar ze kwaadwillende tegenstanders die de organisatie willen ontwrichten, proberen tegen te gaan. Het rapport probeert in dit perspectief te kruipen en analyseert de uitdagingen van weerbaarheid bij een cyberaanval en hoe organisaties zich daarop het beste kunnen voorbereiden.
Halverwege 2023 blijft onze wereld snel, uitdagend en veranderlijk. Het beveiligen van de onderneming blijft onverminderd relevant, maar CISO's en hun teams moeten klaar zijn om zich aan te passen aan nieuwe uitdagingen. Daarbij loopt de rode draad van cybersecurity door het hele bedrijf heen en raakt elk aspect van toekomstige strategische en operationele planning.
