Damn, here we go again. Jouw werkdag als bestuurder gaat zo beginnen, en je leest over het nieuwste grootschalige cyberincident, waarbij ouderwetse communicatiemethoden als tijdelijk alternatief noodgedwongen van pas kwamen. Als bestuurder ben je verantwoordelijk voor de kalme vlucht van uw organisatie, en dat betekent o.a. dat kwetsbaarhedenbeheer in principe op uw bordje ligt. Maar waar begin je?
Kwetsbaarheid is een eigenschap die een aanvaller de mogelijkheid biedt een cyberaanval uit te voeren of een eigenschap die kan leiden tot uitval. Dit kan zich voordoen in een digitale dienst, proces of systeem, maar ook in de samenleving als geheel of in een specifieke organisatie.
Kwetsbaarhedenbeheer is een cyclisch proces waarin kwetsbaarheden en de weerbaarheidsbevorderende maatregelen worden geanalyseerd en beoordeeld.
Patchmanagement is een belangrijk onderdeel van kwetsbaarhedenbeheer en is een van de basismaatregelen die het NCSC adviseert te treffen. Organisaties zijn vaak doelwit van aanvallers doordat ze niet, onjuist of niet tijdig de kwetsbaarheden van een patch voorzien. Kwetsbaarheden kunnen nare gevolgen hebben, zoals datalekken en verstoring van dienstverlening. Veel veiligheidsincidenten hadden kunnen worden voorkomen door het tijdig toepassen van een patch die beschikbaar was toen de cyberaanval plaatsvond.
Tegelijkertijd kent kwetsbaarhedenbeheer veel problemen, zoals beperkte beschikbaarheid van de nodige resources en gebrekkige coördinatie binnen de organisatie. Als trouwe lezer van de NCSC-expertblogs weet je inmiddels ook dat meer maatregelen het niet altijd veiliger maakt.
Je wilt meer prioriteit geven aan kwetsbaarhedenbeheer. Wat betekent het voor jouw organisatie? Denk hierbij aan “assume breach” scenario – in andere woorden; ga ervan uit dat een aanvaller al binnen is. Wat zou jij en jouw collega’s nu kunnen doen om klaar te staan om snel een kwetsbaarheid op te lossen dat nodig is? Als bestuurder zou je bijvoorbeeld deze vragen kunnen stellen om kwetsbaarhedenbeheer beter op orde te krijgen:
Het meest belangrijk: ga in gesprek met de relevante partijen. Denk hierbij aan jouw CISO, maar ook aan bij voorbeeld IT managers, business manager etc. Birds of feather should flock together. Wees open voor nieuwe perspectieven en (mogelijk) lastige keuzes. Kwetsbaarhedenbeheer is geen eitje, maar het is van belang dat jullie samen uitkomen op de beste strategie voor jullie organisatie.
