- nl
- en
Cybersecurity auditeren: hoe begint u hieraan?
Cybersecurity; de laatste jaren is er al veel inkt gevloeid rond dit thema. Het is dan ook een ‘hot topic’ in veel interne-auditdepartement . Het besef dat niet enkel grote, internationale ondernemingen het doelwit van een cyberaanval zijn, is aan het groeien. Maar samen met dit besef groeit ook de vraag op welke manier een organisatie zich hiertegen kan wapenen en op welke manier het interne-auditdepartement hier een rol kan in spelen.
Wij hebben toch geen waardevolle data voor een crimineel?
Dat is een grote misvatting. Iets is waardevol voor uw bedrijf wanneer u het nodig heeft, niet uitsluitend wanneer het aantrekkelijk is voor iemand anders. Wanneer uw productieplanning bijvoorbeeld in de soep draait en de productie stilgelegd moet worden omdat een bepaald Excel bestand niet toegankelijk is, dan is deze file waardevol voor u.
Weet ook dat een aanvaller het niet steeds gemunt heeft op uw specifieke bedrijfsgegevens. Soms probeert een aanvaller via uw netwerk andere ‘targets’ (bv. uw leveranciers of klanten) te benaderen, of heeft een aanvaller enkel de rekenkracht van uw computers nodig om grootschalige aanvallen te bewerkstelligen.
Het is dus fout om ervan uit te gaan dat uw bedrijf niet kwetsbaar is voor cyberaanvallen omdat er voor cybercriminelen niets te ‘rapen’ valt.
Hoe kunnen we ons hiertegen wapenen?
In eerste instantie is het belangrijk om te weten hoe een hacker te werk gaat. Een inbreuk verloopt namelijk in verschillende fases, waarbij verschillende technieken worden ingezet. ‘The breach quadrileteral’ omschrijft de 4 fases van een aanval als volgt:
-
Infiltratie: In deze fase probeert een aanvaller toegang te krijgen tot uw netwerk of systemen door gebruik te maken van een systeemkwetsbaarheid of door ‘social engineering’ technieken. Vergelijk het met een onbekende die in uw kantoorgebouw ‘binnendringt’, omdat iemand de achterdeur is vergeten te sluiten.
-
Verspreiding: Eens een aanvaller binnengedrongen is, probeert die zich door middel van ‘malware’ zo veel mogelijk te verspreiden binnen uw systemen. Naar analogie zal de indringer zich in zoveel mogelijke lokalen proberen binnen te werken. Misschien doet hij zelfs na sluitingsuur de deur open voor zijn “vrienden” die kunnen helpen.
-
Aggregatie: de aanvaller probeert om zoveel mogelijk waardevolle data te verzamelen. De indringer (en zijn vrienden) doorzoekt alle archiefkasten op zoek naar informatie en verzamelt alles in een grote kar.
-
Exfiltratie: Op een bepaald moment moet de aanvaller uw netwerk of systeem ook weer verlaten, waarbij de verzamelde data geëxporteerd wordt. De indringer verlaat uw kantoorgebouw, met de kar, terug via de achterdeur.
Het is dan ook belangrijk om controles te voorzien voor elke fase van een aanval.
Preventieve controles zijn ontwikkeld om een aanval tegen te houden. De meest gekende preventieve controles zijn firewalls, antivirusscanners, VPN-netwerken…. In de infiltratiefase zijn deze controles erop gericht om een aanvaller de toegang te verhinderen. Ook in latere fases zijn preventieve controles noodzakelijk. Ze maken het een aanvaller dan zo moeilijk mogelijk om zich te verspreiden, data te verzamelen of de verzamelde data te exporteren.
In elke fase van een aanval laat een aanvaller bepaalde sporen na. Met detectieve controles kunnen deze sporen van ongeautoriseerde of kwalijke activiteiten ontdekt worden. Bij het opzetten van dergelijke controles houdt u best rekening met een bepaalde strategie. Zo niet, wordt alles op hetzelfde niveau gemonitord en loopt de organisatie de kans om zichzelf te begraven in ongerichte meldingen en waarschuwingen. Effectiever is het om de lage-risico assets op een basisniveau te monitoren, terwijl u uw hoog-risico assets op een meer granulair niveau monitort.
Correctieve controles helpen de schade te beperken. Weet echter dat u correctieve controles ook in elke fase van een aanval kan inzetten en dat ze niet enkel betrekking hebben op de exfiltratie fase of wanneer een aanvaller zijn werk gedaan heeft. Bovendien helpen correctieve controles ook om de preventieve en detectieve controles in de toekomst te verbeteren.
Al te vaak wordt er vooral gefocust op preventieve controles in de infiltratie fase, waarbij er (te) veel vertrouwd wordt op hun effectiviteit. Een succesvolle cybersecuritystrategie houdt echter rekening met het falen van deze controles en voorziet bijkomende detectieve en correctieve controles in elke fase van een aanval.
Hoe begin ik aan een cybersecurity audit?
Zoals elke audit begint ook een cyber security audit met een risicoanalyse: Welk soort aanval is het meest waarschijnlijk voor uw bedrijf of uw sector? Welke gegevens of data zijn het meest kwetsbaar en op welke manier wilt u deze beveiligen? NIST (National Institute of Standards & technology) biedt met publicatie SP 800-30 een volledige gids voor het uitvoeren van een risicoanalyse in het kader van cybersecurity. Ook ISO27001 kan hulp bieden bij het maken van uw risicoanalyse.
Net zoals een operationele audit brengt u in een cybersecurity audit de verschillende controles in kaart. Het aantal controles en de mate waarin gegevens en systemen beschermd worden zal afhangen van uw risicoanalyse. Cyberveiligheid is zoals een ui met verschillende lagen. Hoe kritischer uw gegevens of data zijn, hoe dieper in de ‘kern’ ze zich zullen bevinden en hoe beter beschermd ze moeten zijn.
Waarschijnlijk voelt u zich (als interne auditor) niet erg comfortabel in deze materie of denkt u dat u een beperkte toegevoegde waarde kan bieden bij een cybersecurity audit. Tijdens de uitvoeren en testen van de controles, is het inderdaad waardevol om het interne IT-departement of externe consultants in te schakelen (tenzij u zelf veel kaas heeft gegeten van alle IT-beveiligingsaspecten). Als interne auditor kunt u echter wel het framework voorzien en een methodologische aanpak bieden om een cybersecurity audit uit te voeren, want daar hebben de meeste IT-specialisten dan weer niet echt voeling mee.
Bovendien kunt u er ook voor zorgen dat de controles en de audit gericht zijn op de meest risicovolle gebieden, systemen en data. Anders loopt u het risico dat uw IT’ers ongericht beginnen testen en na ettelijke weken nog geen waardevolle resultaten bereikt hebben.
Tenslotte is een interne auditor vaak ook een bruggenbouwer tussen operationele profielen en IT-profielen omdat zij zowel kennis hebben van operationele processen als van de courante ICT-processen. Interne auditoren zijn dan ook goed geplaatst om een cybersecurity audit in goede banen te leiden.
Wenst u advies voor, of ondersteuning tijdens, uw eigen cybersecurity audit? vestigium versterkt uw onderneming met internal auditing services in de breedste zin. Contacteer ons voor een vrijblijvend gesprek.
Jolien Vromant - 10/11/2021