Ingram Micro: Structureel cyberrisico’s checken, houdt organisatie in control
Cybersecurity is meer dan alleen technologie. Het heeft weinig zin om endpoint security in te voeren of een al dan niet fysieke firewall te vernieuwen, wanneer je organisatie verder niet nadenkt over de impact van cybercriminaliteit. “Cybersecurity goed inbedden in je organisatie gaat voor een deel over bewustwording”, stelt Brian Verburg van Ingram Micro. “Weten wat de impact is op mensen, processen en technologie. Je kunt niet elk risico uitbannen. Maar je moet op zijn minst de risico’s kunnen afwegen tegen de kosten. Alleen zo ben je in control op het gebied van cybersecurity.” Ingram Micro biedt zijn partners hiervoor een portfolio aan onder de naam ‘Offensive Security Services’.
Juist om resellers te ondersteunen om de IT-risico’s en kwetsbaarheden van hun klanten in kaart te brengen, heeft Ingram Micro’s cybersecurity-COE (Centre of Excellence) een portfolio aan offensive security services ontwikkeld. Dat loopt uiteen van een simpele, geautomatiseerde gratis public tool – Eyesight – via pentesten tot een georganiseerde aanval van ethical hackers, vertelt Verburg, Sr. Manager Security & Datacenter CoE - Professional Services van Ingram Micro.
“Eyesight is de basis hiervoor: een cybersecurity lead generation tool dat iedereen bij Ingram Micro wereldwijd gratis aan resellers kan aanbieden. Het is een krachtig en simpel instrument dat binnen enkele minuten cyberrisico’s in kaart kan brengen van bijvoorbeeld een website en dit in een automatisch gegenereerd rapport in beeld kan brengen.”
Geautomatiseerd verkenningswerk
In feite is dit het verkenningswerk dat een hacker uitvoert en dat Ingram Micro geautomatiseerd heeft, stelt Verburg. “Elke reseller die met een organisatie over diens cybersecurity in gesprek wil, kan ons zo’n Eyesight-check laten uitvoeren. Met als boodschap: je kunt hiervoor weg willen lopen, maar dit is wat we van je weten op cyberrisicogebied. Puur op basis van openbare informatie in databases zoals e-mail- en IP-adressen, web technologie en services die organisaties dagelijks gebruiken. Als wij dit al zo snel boven water kunnen krijgen, dan kunnen cybercriminelen dat ook.”
Ingram Micro wil vanuit Offensive services tools zoals Eyesight organisaties vooral inzicht geven in cyberdreigingen zoals malware, ransomware, hackers of werknemers die op phishing links klikken. “We proberen deze aspecten ook bespreekbaar te maken voor resellers die verder willen groeien in hun kennis en ervaring op het gebied van cybersecurity en derhalve meer tools nodig hebben om überhaupt aan tafel te komen bij een IT-beslisser.”
Eenvoudiger new business genereren
Als een reseller hierdoor erin slaagt eenvoudiger new business te genereren, kan Ingram Micro daarbij behalve op het gebied van technologie ook helpen met meer geavanceerde offensive security services. “Denk aan het uitvoeren van een pentest, omdat een organisatie op basis van het Eyesight-rapport toch verder wil kijken naar zijn stand van zaken op security-gebied en om mogelijke risico’s en kwetsbaarheden verder boven water te krijgen.”
Belangrijk is ook om de vaak negatieve boodschap die je met security binnenbrengt in een organisatie, positiever te maken. Security gaat vaak om de angst voor cybercriminaliteit, en is vaak een disabler van je business: wat mag je niet? “Hoe zorg je ervoor dat je van security juist een enabler maakt? Hoe kun je een organisatie vooral een veilig gevoel geven en dat gebruiken in een positieve boodschap naar hun klanten: Het is de kunst om het product of diensten die klanten van resellers leveren, op cybersecurity-gebied zo veilig mogelijk te maken en aan eindklanten aan te bieden.”
Tweede transformatie
In feite, meent Verburg, is dit een tweede transformatie die organisaties door moeten maken, na de transformatie die veel bedrijven al met betrekking tot de cloud hebben. “Het gaat niet zozeer om de technologie, maar om het besef dat security niet iets is dat je eenmalig doet. Je bent niet veilig nadat je één keer een pentest hebt laten uitvoeren. Jezelf regelmatig controleren betekent ook dat je zelf in control bent en niet afhankelijk van een externe auditor.”
Structureel werken aan awareness in je organisatie, cybersecurity omarmen binnen je bedrijfscultuur, regelmatig self-assessments en pentesten uitvoeren en niet te vergeten continu patchen. “Security is geen core business van de meeste organisaties en dat snappen we heel goed. Maar weten waar je staat op security-gebied is wel iets dat je zelf kunt en moet realiseren. De uitvoering ervan kun je dan aan je trusted advisor op dat gebied neerleggen. En waar die dat zelf niet allemaal kan, kunnen ze ons inschakelen.”
Zonder zorgen slapen
Verburg snapt ook dat je niet altijd een positieve boodschap kunt bieden als reseller. “Als een organisatie zijn security niet op orde heeft, is dat niet fijn. Helemaal niet als er al iets mis is gegaan. Maar vervolgens is het wel fijn wanneer je zonder verdere zorgen kunt gaan slapen, wanneer je aan kunt tonen met bijvoorbeeld een ISO-certificering dat je de basis op orde hebt en blijft houden. Ook dat geeft weer aan dat je in control bent. Zie het als een soort keurmerk. Je doet ook liever zaken met een bedrijf dat in control is. Zo’n waarborg maakt cybersecurity tot een enabler.”
Om zo’n boodschap uit te kunnen dragen, moet je als organisatie dus wel de nodige stappen zetten naar een structurele aanpak van cybersecurity, inclusief het in kaart hebben en testen om zo snel mogelijk te kunnen herstellen na een cyberaanval. Verburg; “Zeker in het mkb is een dergelijke mate van maturity nog niet altijd aanwezig. Het middensegment is wel wat verder, maar ook daar is er vaak nog onvoldoende Security Awareness. Mensen denken vaak dat het hen niet kan overkomen. Maar is het niet de vraag of, maar wanneer het een keer gebeurt of heeft plaatsgevonden.”
Maatwerk
Hoewel de Offensive services van Ingram Micro rondom een standaard raamwerk zijn opgebouwd, is er veel maatwerk mogelijk voor de reseller en zijn klant. “Wat dat maatwerk is, dat proberen we te bepalen in een gezamenlijke bepaling van de scope: wat proberen we nu eigenlijk op te lossen? Waar staan jullie, wat zou het beste pad zijn om samen in te slaan? We kunnen een ransomeware-aanval simuleren, een scan of een ethical hack uitvoeren. We kunnen zelfs aan een SOC uitbestede activiteiten toetsen om te kijken hoe de incident response van zo’n SOC is.”
Het is eigenlijk een brandalarmoefening als organisatie, stelt Verburg. Dan pas merk je wie er door blijft werken omdat ze het toch als oefening zien, totdat het een keer echt is en ze in een gebouw zitten dat in lichterlaaie staat. “Dat soort zaken kun je alleen achterhalen door het te toetsen en het te blijven toetsen, zodat je op elk moment weet waar je staat met je cybersecurity, de awareness van je organisatie, en hoe veilig je processen zijn. Zodat je in control bent en blijft.”
Lering trekken
Daarbij is het ook belangrijk om lering te trekken uit een eindrapportage van de ingezette offensive services. “Definieer voor de langere termijn waarbij je mensen, processen en technologie voortdurend onder de aandacht blijft houden. Je kunt het wel repareren, maar als je vervolgens niks meer doet, moet je na zes of negen maanden eenzelfde cyclus door en krijg je weer dezelfde acties voorgesteld. Pas op het moment dat c-level en executives inzichtelijk krijgen welke risico’s de organisatie loopt, wordt pas echt duidelijk waarvoor het security-budget nu nodig is en waaraan je dat moet gaan uitgeven.”
Het is ook prima wanneer een organisatie besluit om bepaalde risico’s niet af te dekken en te accepteren, zolang dat maar een bewuste afweging tussen kosten en baten is en er nog steeds voldoende veiligheid gegarandeerd kan worden. “Dit bewustzijn is heel belangrijk en zorgt ervoor dat organisaties in staat zijn veilig te zijn en blijven in een continu veranderende IT-wereld”, benadrukt Verburg.
Auteur: Martijn Kregting