Kris Lovejoy (Kyndryl): ‘Organisaties moeten zich richten op cyber resilience’
Cyber security en resilience (vrij te vertalen naar weerbaarheid) groeien naar elkaar toe en lopen soms al in elkaar over. Dat meent Kris Lovejoy, Global Practice Leader Security & Resiliency bij de mondiale leverancier van IT-infrastructuurdiensten Kyndryl. Lovejoy merkt dat te veel organisaties security en resilience echter nog steeds vanuit een technische hoek benaderen en te weinig integraal oppakken. “Ik zit al 30 jaar in deze sector. In al die jaren heb ik niet gemerkt dat er op bestuurs- en CxO-niveau veel begrip is gekomen voor wat security en resilience echt betekenen.”
Kris Lovejoy, Global Practice Leader Security & Resiliency bij Kyndryl.
Kris Lovejoy heeft haar spreekwoordelijke sporen in de IT-sector ruimschoots verdiend. The Consulting Report riep haar uit tot een van de ‘Top 50Cybersecurity Leaders of 2021’ en Consulting Magazine tot ‘TopWoman Technology Leader’ in 2020. Verder is zij lid geweest van het cyberbeveiligingscomité van het World Economic Forum.
Bij IBM-spin-off Kyndryl – mondiaal actief op het gebied van missiekritieke service optimalisatie - is Lovejoy verantwoordelijk voor alles op het gebied van security & resilience. Verder heeft zij een interne rol. “We doen veel op het gebied voor IT-outsourcing en willen zeker weten dat wij geen gevaar zijn op security-gebied voor een klant – of andersom. Daarvoor kijk ik met mijn team onder meer naar security-beleid en –processen, zodat we elkaars rollen en verantwoordelijkheden goed begrijpen.”
Technische invalshoek
Security en resilience komen steeds dichter bij elkaar, stelt Lovejoy. Niet voor niets wil zij haar afdeling het liefste omgedoopt zien tot ‘Cyberresilience’. Beide zaken worden vaak echter nog afzonderlijk aangevlogen vanuit besturen en IT-afdelingen, en vooral vanuit een technologische invalshoek. “Maar security en resilience hebben zowel technologische als menselijke aspecten. Het gaat er in de basis om dat je voorkomt dat slechte mensen slechte dingen doen. Heel veel op security-gebied heeft met psychologie en gedrag te maken.”
Het begrip over wat (cyber)security en (cyber) resilience werkelijk betekenen, blijft echter beperkt, merkt Lovejoy. “Ik sprak onlangs een CEO die aangaf dat de begrippen bij hem vooral angst oproepen. Hij zocht hulp om te definiëren wat security en resilience in en voor in een organisatie echt betekenen. Wat doet een chief security officier en moet die vooral een technologische achtergrond hebben? Hoe moet ik dit aan het bestuur uitleggen? Dit soort vragen krijg ik vaak.”
Lovejoys antwoordt dan dat een CIO, CISO of CSO zich vooral bezig moet houden met het beheren van risico’s: niet technisch, maar zakelijk en financieel. Om security-technologie goed toe te passen, moet hij of zij weten hoe de business-kant van een organisatie in elkaar steekt en werkt. Als er een incident is zoals gestolen data, wat zijn dan de financiële en operationele impact, de gevolgen voor het moraal van medewerkers? Maar ook: is het zinvol om geld te stoppen in het mitigeren van die risico’s, is het nuttiger om een verzekering af te sluiten voor als het mis gaat of is er meer mogelijk?
Business-risico’s begrijpen
“CIO’s en CSO’s moeten analyserende en strategische vaardigheden hebben om business-risico’s te begrijpen”, benadrukt Lovejoy. “Ze moeten niet zozeer kennis van technologie hebben, maar van de mensen, de processen en het beleid in een organisatie, het financiële raamwerk. Beslissingen op security- en resilience-gebied moeten in die context genomen worden. Dat vergt hele andere dan technische vaardigheden.”
Omdat veel organisaties over security en resilience denken in technologische termen, zoeken zij echter iemand met een technische insteek. “Die zal niet de risico’s in kaart brengen en afwegen om te bepalen waar en hoeveel tijd, geld en energie in gestoken moet worden. Terwijl niet alle data gelijk zijn, niet alle systemen even belangrijk en niet elke werknemer dezelfde impact heeft als hij of zij per ongeluk of expres een cyber-incident veroorzaakt. Zolang dit gebeurt, blijven we zitten met een grote diversiteit aan oplossingen, veel complexiteit in beheer en schieten we weinig op.”
Persoonlijke aansprakelijkheid
En dat gebrek aan goede security en resilience kan steeds gevaarlijker worden, ook op persoonlijk vlak. Want de persoonlijke aansprakelijkheid van bestuurders bij een cyberincident wordt steeds groter. Dit wordt mede gestimuleerd nog nieuwe regulering zoals in Europa het NIS-2 raamwerk. Dit is een ontwikkeling waar de meeste bestuurders volgens Lovejoy nog te weinig weet van hebben.
Toch ziet Lovejoy een geleidelijke, zij het prille verandering. Zo komen steeds meer toezichthouders – zoals de Amerikaanse SEC - met richtlijnen die aangeven wat de aansprakelijkheid van bestuurders is op governance-gebied. Reden voor deze bestuurders en CIO’s/CISO’s om bij hun IT-afdeling aan te kloppen met de vraag of zij zelf in de problemen kunnen komen als er een cyberincident is. En hoeveel geld er uitgegeven moet worden om die risico’s af te dekken. “Dit soort ontwikkelingen worden aangewakkerd omdat steeds meer verzekeraars aangeven dat D&O-verzekeringen (directors & officers, red.) misschien niet de aansprakelijkheid afdekken als iemand in gebreke is gebleken bij het voorkomen of achteraf oplossen van een cyberincident.”
Cyber resilience
Het kan organisaties helpen om cybersecurity onderdeel te maken van een breder begrip, meent Lovejoy. “Ik heb het idee dat voor veel besturen en raden van commissarissen het door mij eerder genoemde concept cyber resilience beter te begrijpen is. Cybersecurity is een te nauw begrip, het is slechts onderdeel van de totale weerbaarheid van een organisatie om een cyberincident tegen te gaan, in te perken of om er zo snel mogelijk van te herstellen.”
Resilience hoeft namelijk niet alleen een cybersecurity-probleem te zijn. Een datacentrum kan uitvallen als gevolg van een natuurramp, een communicatienetwerk kan offline gaan door een software- of hardwareprobleem. Ook in dat geval zijn er negatieve gevolgen om aan te pakken.
“Het brede concept van cyber resilience stimuleert organisaties om werk te maken van alle functionaliteiten die een organisatie hierin weerbaarder maken. Zoals disaster recovery en business continuity, security, privacy en third party risico management. Het klinkt alsof er sprake is van diverse soorten risico’s, maar in de basis gaat het om hetzelfde: de continuïteit van je activiteiten. Door alle risico’s geïntegreerd aan te vliegen, voorkom je dat risico’s gefragmenteerd opgepakt worden.”
Hele organisatie betrekken
Klinkt mooi, maar belangrijk is wel om de hele organisatie bij een dergelijke aanpak te betrekken. Het alleen topdown opleggen en dan verwachten dat het vanzelf gaat lopen, werkt niet, meent Lovejoy. Ook hierbij geldt dat het menselijke aspect meenemen een must is.
“Er zijn drie verdedigingslinies in een organisatie als het gaat om cyber resilience. In de tweede linie worden risico’s geïdentificeerd en beheerst, wordt compliance geregeld en de controlesystemen beheerd. In de derde linie wordt gemonitord en gecontroleerd of dit allemaal goed gebeurt en wordt gehandeld als er iets mis gaat. Maar in de eerste linie wordt de defensie in de praktijk gebracht. En bij die eerste linie moet de hele organisatie betrokken worden.”
Lovejoy stelt regelmatig van CISO’s te horen dat veel werknemers de vaardigheden ontberen om onderdeel van zo’n eerste linie te zijn, en dat daarom een security-oplossing de eerste linie moet vormen. “Nee dus: security moet de tweede linie zijn die met beide andere linies communiceert en coördineert. Zoals ik eerder al aangaf: security en resilience gaan net zozeer om mensen als technologie. In 99 procent van de gevallen is er een – potentieel – incident omdat iemand in de organisatie iets doet wat niet hoort. Dat kan per ongeluk zijn of expres: verkeerd klikken, verkeerd patchen, een verkeerde business-beslissing. Security-technologie alleen helpt hier niet of niet genoeg, het gaat om gedragsverandering, om bewustwording. Zonder dat werkt die eerste linie niet.”
Kantelpunt
Hoe kijkt Lovejoy naar de ontwikkeling van de strijd tussen cybercriminelen en organisaties? “Ik denk dat we ons op een kantelpunt bevinden”, meent de Global Practice Leader Security & Resiliency. “Het kan twee kanten uitgaan. De afgelopen jaren van groeiend populisme en nationalisme hebben grote negatieve geopolitieke gevolgen gehad op het gebied van cybersecurity. Het heeft geleid tot een Balkanisering van wetgeving en werkwijzen. Dat zorgt voor veel complexiteit. Er zijn echter ook positieve bewegingen op bijvoorbeeld regulerend gebied, denk aan DORA en NIS, die neigen tot meer samenwerking en delen van informatie, meer standaardisatie en openheid als het gaat om data en technologie delen. Dat is ook belangrijk.”
Lovejoy hoopt dat deze tweede ontwikkeling genoeg is om de nationalistische tegenwinden in toom te houden. Het is volgens haar in ieder geval belangrijk om te beseffen dat innovatie op elk gebied, afhankelijk is van openheid, transparantie en delen van data en kennis. Ook als het gaat om cybersecurity- en resilience. “Als nationalisme de komende jaren de boventoon gaat voeren en samenwerking en dus innovatie beperkt wordt, dan zullen we het de komende jaren zwaar gaan krijgen.”