Door: Christine Vanderpool
19 september 2019
Ik kreeg onlangs de vraag waarom er in de huidige maand een piek is geweest in incidentwaarschuwingen.
Toen ik mijn antwoord gaf, merkte ik dat ik me concentreerde op de redenen achter “waarom” de aantallen waren gestegen en het werd me duidelijk dat wanneer ik risico’s uitleg, ik de neiging heb om me te concentreren op het motief waarom een risico zich zou kunnen voordoen.
Ik geloof dat dit te wijten is aan mijn manier van denken. Zelfs als ik spreek of iemand vraag iets te doen, richt ik me op “wat zit er voor hen in”, omdat ik geloof dat de meeste mensen uiteindelijk gemotiveerd moeten worden voordat ze iets doen. Er moet een reden achter alle dingen zitten en als we de reden begrijpen, kunnen we de middelen en de mogelijkheden aanpakken die dat motief tot een handelingsmogelijkheid maken.
Wanneer een misdrijf is gepleegd en tijdens het proces wordt beoordeeld, wordt de aanklager gevraagd de middelen, het motief en de gelegenheid van de verdachte om het misdrijf te plegen, aan te geven. De mogelijkheid van iemand om een misdrijf te plegen is het middel. De reden waarom iemand een misdrijf pleegt, is het motief. De kans of beschikbaarheid van middelen om het misdrijf uit te voeren is de gelegenheid.
Dit is hoe wij als CISO’s denken over risico’s en hoe we ze moeten aanpakken. Het betekent niet dat één manier van denken beter is, want om volledig effectief te zijn, moet je met alle drie de factoren rekening houden, maar iedereen zal in gebreke blijven bij een van de andere twee. Als u een CISO bent, is de vraag: bent u een middelen-, motieven- of kansen-CISO?
De “middelen”-CISO
Als u een CISO bent die zich richt op de “middelen” van een risico, bent u hoogstwaarschijnlijk een zeer technische CISO met een sterke technische basis en achtergrond. Uw geest zal de neiging hebben om onmiddellijk te denken aan het “hoe” een aanval zou worden uitgevoerd. U zult zich richten op de technische middelen waarmee een aanval zou, of zou kunnen, plaatsvinden. Uw benadering zal gericht zijn op de middelen en processen die kunnen worden gebruikt om u tegen de middelen te beschermen. Als u dat terugbrengt naar de vijf gebieden van NIST, zal uw belangrijkste stuurhuis, of waar u zich het liefst op concentreert, de gebieden “beschermen en opsporen” zijn. Dit is een zeer belangrijk gebied om je op te concentreren, want als iemand een motief en gelegenheid heeft, maar geen middelen om zijn misdaad uit te voeren, moet je je afvragen of de aanval überhaupt zou plaatsvinden.
De “Motive” CISO
Waar een wil is, is altijd een weg. Dit is de manier waarop de “motieve” CISO zal denken. Dit type geest zal zich richten op het waarom van een aanval. Een CISO die zich liever richt op het “waarom,” zal zich concentreren op de psychologie van een aanval. Deze persoon richt zich op het identificatiegebied van het NIST-model. Hij bekijkt elk mogelijk “waarom” en bepaalt vervolgens de middelen en mogelijkheden om een dergelijke aanval te beschermen, op te sporen of erop te reageren. Deze persoon gelooft gewoonlijk dat er geen manier is om elke methode of gelegenheid te kennen, dus in plaats van te proberen alles te stoppen, stopt hij wat het meest waarschijnlijk is, gebaseerd op wat de meest waarschijnlijke reden voor een aanval zou zijn om te worden uitgevoerd. Als u het waarom begrijpt, zult u zien hoe iemand een aanval zou kunnen orkestreren en zijn vermogen om dat te doen zou kunnen blokkeren.
De “Opportunity” CISO
Wanneer een deur sluit, opent iemand anders een raam. Dit is de mentaliteit van de “opportuniteits”-CISO. Dit type beveiligingsleider zal zich richten op het idee dat er meer dan één manier is om een kat te villen. Hij richt zich op de risico’s die niet alleen binnen zijn eigen bereik en controle liggen, maar ook op die daarbuiten. De focus zal liggen op de beschikbaarheid van alle middelen die de aanvaller ter beschikking staan. Deze CISO zal zich richten op het reageren en herstellen van andere organisaties om er zeker van te zijn dat zij alle gegevens verzamelen over de verschillende beschikbare middelen of mogelijkheden voor een aanval. Zij putten uit de ervaringen van anderen en passen die toe om de beschikbare middelen die bij een aanval kunnen worden gebruikt, te beperken. Neem iemand de gelegenheid om kwaad te doen af en hij zal geen kwaad doen.
De perfecte verdediging
In werkelijkheid bestaat er geen perfecte misdaad en omgekeerd bestaat er ook geen perfecte verdediging. Bij het ontwikkelen van een beveiligingsstrategie moet met alle drie de factoren rekening worden gehouden en een CISO moet zich op alle drie richten. Het is belangrijk om als beveiligingsleider zelf te bepalen wat uw voorkeurs- of standaardfocus van een risico is, omdat u dan kunt vaststellen waar u personeel nodig hebt om de andere twee in te vullen of op te focussen. Het is als een driehoek. Er is geen juiste of verkeerde hoek om ernaar te kijken. Een doorgewinterde CISO zal in staat zijn om alle drie de facetten te zien en te identificeren in het ontwerp van zijn strategie. Ze zullen in staat zijn om te verwoorden hoe het programma middelen, motief en kansen aanpakt in realistische en actiegerichte termen en manieren.
De ene focus is niet beter dan de andere, ze zijn allemaal even belangrijk. Het is slechts een manier om te denken en te bepalen op welke manier je het liefst eerst naar een risico kijkt.