Executive Consultancy – Management & Strategie
“Sinds onze eerste samenwerking heeft Conscia zich meerdere keren tot Fidoa gewend voor marktkennis en strategisch advies. Voor ons is Fidoa een betrouwbare consultancy partij die strategisch en met impact bijdraagt aan onze continue ontwikkeling als bedrijf”
Wij kunnen Fidoa dan ook van harte aanbevelen op het gebied van Executive Consultancy." – Marcel Cappetti, CEO, Conscia Nederland B.V.
De meeste organisaties beschikken zelf niet over een Security Operations Center (SOC) die de IT-omgeving 24/7 monitort en op incidenten acteert. Kosten voor 24/7 bemensing en tooling zijn daarvoor vaak te hoog. Over het algemeen wordt gebruik gemaakt van cybersecurity serviceproviders die Managed Detect & Response (MDR) diensten leveren. Los van de kwaliteit van de mensen en de tooling die providers inzetten is de input die softwarematige sensors leveren aan het SOC essentieel om een dienst uit te voeren.
Vergelijkbaar is de analogie met fysieke beveiliging. Een 24/7 meldkamer is afhankelijk van goede sensors op de juiste plekken geïnstalleerd, die beweging, temperatuur of rook detecteren om te kunnen acteren op criminele activiteiten of brandgevaar.
Al wordt de SOC-dienst uitbesteed en is er een SLA. Het is belangrijk om hier als organisatie zelf kennis van te hebben en periodiek ook te toetsten. Schijnveiligheid is als een verzekering die niet dekt. Uw organisatie is zelf aansprakelijk en wanneer uw organisatie binnen de NIS2 valt, geldt dit ook voor bestuurders en toezichthouders.
Type sensors
Welk type sensor het meeste oplevert voor een SOC is sterk afhankelijk van het type organisatie. Cloud gebruik, centrale of decentrale toegang tot en opslag van data, zijn belangrijk, alsook het gebruik van de hoeveelheid Operationele Technologie.
Operationele Technologie kan vaak niet worden voorzien van Endpoint securitysoftware. Om hier toch inzicht te verkrijgen kan specifieke OT of netwerk -security van toegevoegde waarde zijn.
Sensors op Identity Services en Endpoints (clients & servers) bewegen mee met gebruikers, applicaties en data. Daardoor worden deze sensors over het algemeen gezien als het fundament.
Detectie kwaliteit
Sensors kennen vaak meerdere licentievormen. Vaak zijn de goedkopere versies in staat om vooral preventief ‘bekende’ dreiging tegen te houden. Geavanceerde versies hebben de belangrijke eigenschap om detectie te doen van afwijkend gedrag en daarmee ook nog ‘onbekende’ dreiging. Dit is een cruciale functionaliteit voor een 24/7 Cybersecurity ‘alarmcentrale’ en wordt dan ook op getest.
Er is een onafhankelijk instituut wat jaarlijks de oplossingen van de grote fabrikanten evalueert waaruit hun kwaliteit en effectiviteit op preventie en detectie capaciteit blijkt.
In kwartaal 4 van 2024 worden de meest recente uitslagen verwacht: https://attackevals.mitre-engenuity.org/enterprise/er6/
Integratie & centraal management
De marktstandaard is dat sensors op Endpoint, Identity, Cloud en Netwerk integreren met elkaar en hun data correleren in een centraal platform. Dit eXtended Detection & Response (XDR) -platform beheert de sensors en voedt ze met updates op het gebied van dreiging, zodat de sensors continu in staat zijn om decentraal de laatste dreiging te detecteren en tegen te houden.
De integratie van sensors onderling in het XDR-platform en de integratie van het XDR-platform met externe systemen is een belangrijke eigenschap voor een schaalbare dienst.
Conclusie
Detectie kwaliteit van sensors, integraties tussen sensors onderling en bovenliggende systemen zijn kenmerken die standaard op orde moeten zijn voor producten die dienstverleners gebruiken. Voor het type sensor geldt voor de meeste organisaties, dat het antwoord ligt in het gebruik van de combinatie van een aantal type sensors:
Deze opsomming geeft tevens de volgorde aan van effectiviteit en bijdrage aan het inzicht. Zoals eerder aangegeven, dit geldt niet in alle gevallen. Sensors en het monitoren ervan kost geld. Belangrijk is dan ook om na te gaan of een sensor genoeg bijdraagt aan de beoogde dienstverlening om aangesloten te worden.
Advies
Bedrijven zijn zelf aansprakelijk bij ongevallen. De aansprakelijkheid wordt niet overgenomen door een cybersecurity dienstverlener. Wees dus kritisch op de sensors die worden gebruikt door uw dienstverlener en daarmee de kwaliteit van de dienst die u afneemt en bescherming die u daarmee heeft.
Serviceproviders en fabrikanten zijn niet onafhankelijk in hun advies over hun producten en diensten. Het is daarom aan te bevelen om objectief advies in te winnen over oplossingen bij een onafhankelijke adviespartij. Niet alleen bij aanschaf, maar ook daarna als de dienst een tijdje draait. Hiermee voorkomt u te betalen voor een 'verzekering die niet dekt', waarbij uw bedrijf misschien wel compliant is, maar niet veilig!
Succesvolle oplevering Security Architectuur & Programma Bernhoven Ziekenhuis.
In 2024 heeft Fidoa de Security Architectuur, inclusief de vertaling naar een projectplanning & begroting, succesvol opgeleverd. Dit in nauwe samenwerking met de MICT-afdeling van Bernhoven.
“Met diepgaande kennis van cybersecurity, gecombineerd met brede kennis van de zorg, heeft Fidoa ons geholpen met het opzetten van een toekomstbestendige security architectuur voor ons ziekenhuis. Een doordachte roadmap en begroting die ons de benodigde handvatten geven voor implementatie." Louis Poulussen, Teamleider MICT, Bernhoven.
Werk is een proces, geen fysieke locatie
Klinkt logisch, maar als het werkproces altijd op een vaste locatie was associeer je het toch met een kantoor, ziekenhuis, school of bank. De laatste jaren komt het werkproces steeds meer los van de fysieke locatie. Dit biedt volop kansen, maar maakt ons ook kwetsbaar.
Toegang tot data is vanuit iedere locatie en het oppervlak wat moet worden beschermd is daarmee immens geworden.
Daarnaast is de complexiteit toegenomen. Denk aan digitalisatie van (zelfs keten-) processen en de gebruiker van data is steeds vaker geen mens.
Centraal georiënteerde Cybersecurity Architectuur
Veel bedrijven hebben nog een Cybersecurity Architectuur die aansluit bij het idee dat het werkproces vastzit aan de fysieke locatie. Dit is te vergelijken met een kasteelmuur om hetgeen je wilt beschermen en één plek voor toegang naar binnen & buiten.
Als alle bewegingen naar binnen & buiten 24/7 worden gemonitord zijn we 'in control'. Zo'n 10 jaar geleden was dit een prima opzet voor vele organisaties. Vandaag de dag werken we echter niet alleen meer op het kasteel en staan de kroonjuwelen ook elders.
Decentraal georiënteerde Cybersecurity Architectuur
Net als de kasteelmuur, heeft ook het 'aanvalsoppervlak' in 2024 ook een 'rand' (edge). De grens is niet een fysiek gebouw, maar het proces waar gebruikers en data aan deelnemen. In plaats van één grote poortdeur heeft iedere deelnemer een eigen poortdeurtje.
Cybersecuritymaatregelen op preventie, detectie & response, worden uitgerold aan de rand op decentrale plekken, zoals: Identiteit, Cloud en Endpoint. Omdat ze gekoppeld zijn aan de gebruikers en data bewegen de maatregelen mee wanneer gebruikers en data verplaatsen.
Nog in de middeleeuwen?
Heeft jouw organisatie al een decentrale Cybersecurity Architectuur of is die stap nog niet gemaakt? Vanuit Fidoa ondersteunen we graag met een design voor adequate bescherming anno 2024!