We hebben het over:
- wat nog (té) veel bedrijven niet doen om zich te beschermen tegen cybercrime;
- waar C-SOR2C precies voor staat;
- welke vraag de meeste CEOs stellen als het gaat om cybercrime;
- wat CISOs kunnen doen om hun budgetten goedgekeurd te krijgen;
- wat de meest opmerkelijke trend is van het afgelopen jaar;
- en waar het leger aan onbenutte security specialisten zich bevindt!
Let’s roll!
Fabrice, het aantal cybercrime-incidenten is de laatste tijd fel toegenomen. Hoe komt dat?
Fabrice Wynants: “Verschillende redenen. Bij veel bedrijven zit de basishygiëne nog altijd niet op orde. Dat is niet nieuw, want de vorige keer dat we mekaar spraken, heb ik dat ook gezegd (lacht). Er wordt nog altijd vanuit de buik gekocht. Men investeert dan in fancy puntoplossingen die één aspect van security aanpakken. Als de basis nog niet goed zit, is dat geen goede strategie. Het is beter om je securitybudget zo breed mogelijk in te zetten, dan een state-of-the-art puntoplossing te kopen.”
"Er wordt nog altijd vanuit de buik gekocht. Men investeert dan in fancy puntoplossingen die één aspect van security aanpakken."
- Fabrice Wynants, Global Director Cybersecurity
“Bovendien zien we dat het veel organisaties nog ontbreekt aan een duidelijk inzicht in wat nu juist de zwakke punten zijn in hun business, en waar de kroonjuwelen zitten die kost wat kost beschermd moeten worden. Wat kan ervoor zorgen dat een bedrijf plat gaat en grote financiële, operationele of reputationele schade ondervindt? Is het administratie? Supplychain? Stockbeheer? Nadat je de basis goed hebt ingeregeld moet je je daarop gaan concentreren. Dat is twee.”
“En drie: we zien dat er nog altijd veel wordt uitgegeven aan preventie en detectie – ik zou zelfs zeggen: te veel – maar veel minder in response en recovery. Dan vraag ik: waarom investeer je in een peperduur brandalarm als je het vervolgens niet koppelt aan een alarmcentrale? De paar seconden die je wint met dat fijnmazige dure systeem verlies je in minuten omdat de brandweer niet automatisch gewaarschuwd wordt. Dat is de overkill én bovendien geld in het water.”
Vandaar dat Cegeka dit jaar C-SOR2C lanceerde?
Fabrice Wynants: “Klopt. C-SOR2C staat voor hoe wij bij Cegeka naar moderne security operations kijken: met zeer veel nadruk dus op de 2 ‘r’en: die van response en recovery. Detectie kan je vandaag voor een groot stuk automatiseren, onder meer met Machine Learning, en dat is wat een traditioneel SOC doet. Voor response en recovery heb je experten nodig. Maar een SOC dat een probleem snel detecteert en het vervolgens over de muur gooit - catch & dispatch - daar heb je als klant niks aan.”
"Een SOC dat een probleem snel kan detecteren en het vervolgens bij de klant over de muur gooit, daar heb je niks aan."
Fabrice Wynants, Global Director Cybersecurity
“Bij ons C-SOR2C hangt er aan elke detectie een snelle en juiste response, en indien nodig, recovery-activiteiten. Wij bellen niet om onze klanten enkel te melden dat we een probleem zien; we bellen om hen te zeggen dat we een probleem hebben gezien, dat we vervolgens zus en zo hebben ge’contained’ én om hen te adviseren in de stappen die ze zelf nog moeten zetten, én om aan te geven wat eventuele andere leveranciers in hun ecosysteem nog moeten of kunnen doen. Onze sterkte is dat we een brede set aan IT-expertise kunnen koppelen aan security operations.”
Welke vraag krijg je het vaakst vanuit het niet-technisch C-level?
Fabrice Wynants: “Er wordt nog veel geredeneerd vanuit het fameuze FUD: fear, uncertainty en doubt. Men laat zich angst aanjagen. Ik krijg van CEOs vaak de vraag wat ze moeten doen om zich te beschermen tegen nation-state cybercrime, dus cyberactiviteit gesponsord door een staat om bijvoorbeeld politieke instabiliteit te veroorzaken. Mijn antwoord is dat je daartegen niet veel kan doen. Het is een ongelijke strijd en het heeft geen zin je daardoor te laten leiden.”
"Ik krijg van CEOs vaak de vraag wat ze moeten doen om zich te beschermen tegen nation-state cybercrime."
Fabrice Wynants, Global Director Cybersecurity
“Het is veel beter om als bedrijf defensief te gaan investeren: basishygiëne op orde hebben, inzicht krijgen in cruciale processen en kroonjuwelen én die goed beschermen, werken aan bewustwording bij alle werknemers, begrijpen hoe een aanvalspatroon high-level in mekaar zit enzovoort. De kans dat er iets misloopt omdat dàt niet goed is ingeregeld is veel groter dan de kans dat je door één of andere natie wordt gehackt.”
Er wordt steeds meer budget voor security uitgetrokken. Merk je dat?
Fabrice Wynants: “Ja, maar zoals ik al zei: het wordt niet altijd op de meest zinvolle manier ingezet. Plus: ik zie dat CISOs het nog altijd lastig hebben om die budgetten goedgekeurd te krijgen bij Raad van Bestuur. “Wat krijgen we daarvoor in de plaats?” is dan de vraag die ze teruggekaatst krijgen. Security wordt nog vaak gezien als een soort van verzekering, terwijl het een investering is. Wij hebben het vaak over ROSI, Return on Security Investment. Daarom zijn we bezig om voor CISOs een werkpakket te maken waarmee ze hun board makkelijker kunnen overtuigen om de juiste beslissingen te nemen op het vlak van security en resilience.
Wat is de belangrijkste evolutie die je nu ziet gebeuren?
Fabrice Wynants: “De convergentie van IT en security operations. Die twee hebben lang naast elkaar geleefd: infrastructuur werd opgezet, applicaties werden ontwikkeld, en daarbovenop kwam er dan een laag security, als een soort van add-on. Nu zien we steeds meer dat security is ingebakken: alles wordt secure by design, of toch zeker voor 70%. Security wordt steeds meer impliciet en onzichtbaar, en zo moet het natuurlijk ook.”
"Security wordt steeds meer impliciet en onzichtbaar, en zo moet het natuurlijk ook."
- Fabrice Wynants, Global Director Cybersecurity
“Die convergentie komt er onder meer onder impuls van de wetgever. Ik maak graag de vergelijking met auto’s: nog niet zo lang geleden hadden auto’s geen gordels, en toen die wél standaard gemonteerd werden, was het nog lang niet verplicht ze te dragen. Tot de wetgever er zich mee ging bemoeien. Met security is het hetzelfde: het is de wet die oplegt dat bepaalde cruciale IT-diensten secure by design moeten zijn. Als dat niet zo is, ga je als bedrijf die diensten niet afnemen. Net zoals je niet in een taxi stapt die geen gordels blijkt te hebben.”
Wat is de grootste uitdaging in je vakgebied?
Fabrice Wynants: “Mensen. Zoals ik al zei kan je een deel security-diensten zeer goed en kostefficiënt automatiseren met onder meer Machine Learning en workflow automatisatie. Maar je hebt ook goeie mensen nodig. Je kan die aanwerven – als je ze kan vinden – of je kan ervoor kiezen om met een extern SOC te gaan werken. Bij Cegeka leveren we het hele pakket: zowel de tools als de mensen, met ons modern C-SOR2C.”
“Een van mijn persoonlijke stokpaardjes is overigens dat er veel te academisch en intellectueel naar security wordt gekeken. De meeste mensen hebben een Masteropleiding, ikzelf ook (lacht), waardoor je het terrein verkleint. Mijn ervaring vertelt me dat mensen met bijvoorbeeld een TSO-opleiding alles in zich kunnen hebben om goeie en gedreven IT en security engineers te zijn. We onderbenutten een leger aan potentiële security-specialisten! Als we de War for Talent willen winnen, zullen we breder moeten gaan kijken.”