Meetgegevens voor beveiliging gebruiken om het vertrouwen in het ecosysteem van derden te vergroten
Er zijn veel tools en technieken beschikbaar om de beveiliging van leveranciers te controleren. Toch hebben veel bedrijven moeite om hun mogelijkheden te interpreteren en te gebruiken om hun eigen risicoprofiel te verfijnen. Dit wordt verder bemoeilijkt door de vele bronnen en richtlijnen¹, compliance-normen² en contractuele vereisten³ die betrekking hebben op risicoprofilering en die het speelveld waarin risicoprofielen worden aangepast complexer maken. Om een goede omzetting van risicobeoordeling te garanderen, heeft het PCSI voorgesteld dat bedrijven samenwerken om generieke en gebruikersspecifieke modules te maken met herbruikbare modelcomponenten onder een Creative Commons Licentie.
De behoefte aan vertrouwen in beveiliging
We vertrouwen op leveranciers en derden om veilige services te leveren. Nu ecosystemen van derden steeds complexer worden, is het noodzakelijk dat we met betrekking tot deze partijen voldoende vertrouwen hebben in de veiligheid.
Ecosystemen van derden vormen de ruggengraat van elk bedrijf. Deze levende ecosystemen zorgen ervoor dat producten en diensten van leveranciers efficiënt en veilig aan klanten worden geleverd. Een inefficiënte en gefragmenteerde supply chain vormt een grote belemmering voor bedrijfsactiviteiten. Daarom is het van cruciaal belang om relevante meetgegevens van de supply chain te bewaken en te optimaliseren.
Aangezien sommige ecosystemen identiek zijn in verschillende organisaties, is er waarschijnlijk een aanzienlijke overlap en zijn er dus mogelijkheden om samen te werken op het gebied van meetgegevens. Het is echter moeilijk om het vertrouwen in de beveiliging van leveranciers te controleren, niet alleen omdat het moeilijk is om vertrouwen te definiëren en objectief te meten, maar ook omdat de op de markt beschikbare meetgegevens zich in silo's bevinden en niet gemakkelijk gecombineerd kunnen worden.
PCSI-project voor beveiligingsmeetgegevens
Meetgegevens die worden gegenereerd door tools en technieken voor het profileren van leveranciersrisico's kunnen mogelijk worden gebruikt om het vertrouwen in de beveiliging te meten, vooral als ze worden gecombineerd met interne meetgegevens. Het gebrek aan uniformiteit van interne en externe meetgegevens belemmert echter niet alleen de toegevoegde waarde van tools en technieken voor risicoprofilering, maar beperkt ook de mogelijkheid om deze meetgegevens binnen organisaties te hergebruiken. Dit was de aanleiding voor een verkennend project van PCSI, dat begon met het in kaart brengen van de verschillende benaderingen om deze uitdaging aan te gaan. Dit resulteerde in een model dat het mogelijk maakt om verschillende meetgegevens te combineren met als doel het algehele niveau van vertrouwen in de beveiliging te kwantificeren. Een leidend principe was het verhogen van de veiligheid middels samenwerking door een uniform model te ontwikkelen dat de communicatie zal verbeteren en daarmee de risiconiveaus van de leveranciersketen zal verlagen. Dit wordt in 2022 in de praktijk getest.
De noodzaak om bestaande meetgegevens te hergebruiken en te combineren
Al snel werd duidelijk dat de beschikbaarheid van meetgegevens niet de beperkende factor is. Zelfs als meetgegevens gemakkelijk beschikbaar zijn, is het creëren van toegevoegde waarde voor het beheer van leveranciers(vertrouwen) die naadloos geïntegreerd kan worden met interne risicoraamwerken geen standaardpraktijk. Het Information Security Forum (ISF)⁴ heeft een onderzoeksdocument gepubliceerd waarin de verschillende soorten meetgegevens worden beschreven en manieren worden voorgesteld waarop ze kunnen worden gebruikt. Het werd echter duidelijk dat, zonder duidelijke richtlijnen en methoden, deze suggesties niet voldoende waren om de combinatie en toepassing van deze soorten meetgegevens mogelijk te maken met als doel om continue supply chain assurance te bereiken.
Een holistische kijk op de beveiliging van de supply chain
Het PCSI-model is ontwikkeld om op een generieke en schaalbare manier een holistische kijk op de beveiliging van de supply chain te bieden. Het project onderzocht verschillende concepten van vertrouwen, de reeds bestaande processen voor het beheer van leveranciersrisico's in de betrokken partnerorganisaties en de verschillende beschikbare meetgegevens. Vervolgens werd er een model ontwikkeld om verschillende soorten meetgegevens uit verschillende bronnen in kaart te brengen in relatie tot specifieke beveiligingscontroles in een controleraamwerk. Deze aanpak stelt organisaties in staat om een genuanceerder, eenduidiger en vollediger beeld te vormen van hun risicoprofiel voor leveranciers.
Het model omvat het niet-binaire aspect van vertrouwen en richt zich op specifieke controlegebieden, met als algemeen doel het leveren van input die de dialoog ondersteunt tussen het ecosysteem voor cybersecurity, de leveranciers met risicoprofielen, leveranciers in het algemeen en hun klanten. Hiermee wordt de algehele maturiteit in continue bewaking van het hele ecosysteem vergroot, het vertrouwen verbeterd en de cyberweerbaarheid versterkt.
De begrippen ‘trust’ en ‘confidence’
Bij het aangaan van een dialoog met andere betrokkenen is het belangrijk om te beseffen dat de Engelse termen ‘trust’ en ‘confidence’ vaak door elkaar worden gebruikt. Echter, zoals het Trust, Confidence and Cooperation (TCC) model laat zien (zie figuur 1), is ‘trust’ sociaal en relationeel, terwijl ‘confidence’ instrumenteel en calculatief is. Bij het definiëren van veiligheidskenmerken hebben we ons gericht op instrumentele en berekenende variabelen en met dit als basis zijn we doorgegaan met het verbeteren van meetgegevens in relatie tot vertrouwen (confidence). Het TCC-model geeft aan dat het sociale aspect van trust de confidence-resultaten kan beïnvloeden. In ons project gaan we ervan uit dat dit organisatiespecifiek is. Hoewel zeer relevant, is het niet onze primaire focus.
Figuur 1. Het TCC-model van Trust, Confidence en Cooperation
Verschillende aspecten van vertrouwen
Bij het ontwikkelen van het model werd het duidelijk dat het nodig was om componenten van meetgegevens te herkennen. In plaats van een bevestiging te baseren op een meetgegeven, gebruiken we het model in figuur 2 om het niveau van vertrouwen te onderscheiden voor de verschillende elementen die resulteren in de meetgegevens. Een van de doelen van het project is om fit-for-purpose niveaus te bepalen voor elk aspect dat van invloed is op het algehele vertrouwen in de meetgegevens.
Figuur 2. Model van vertrouwen en onzekerheid
We onderscheiden de volgende factoren die bijdragen aan het algemene vertrouwen:
- Vertrouwen in het resultaat van de meting
- Vertrouwen in de meetmethode/-procedure
- Vertrouwen in het meetinstrument
- Vertrouwen in de organisatie die de meting verricht
- Vertrouwen in de relevantie van de reikwijdte van de meting
Een concreet voorbeeld hiervan is het gebruik van een geijkte thermometer (instrument) om de temperatuur (meetgegeven) in Groningen (meetbereik) te meten (methode). Dit resulteert in een bepaalde mate van bevestiging dat de gemeten temperatuur de werkelijke temperatuur in Groningen is op het moment van de meting. De bevestiging dat dit de werkelijke temperatuur in Den Haag is (relevantie van de reikwijdte van de meting) is aanzienlijk lager, maar geeft wel een indicatie. Het eerste deel van het PCSI-model bevat elementen die de relatie uitdrukken tussen aspecten die relevant zijn voor een meetgegeven en ondersteunt variaties in vertrouwen voor elk van deze elementen. Het resulterende meetgegeven geeft het vertrouwensniveau aan. Het tweede deel van het model bestaat uit modules die de relatie tussen de verschillende meetgegevens uitdrukken. Dit maakt integratie en flexibel hergebruik mogelijk van een aantal verschillende soorten meetgegevens die binnen een organisatie beschikbaar zijn.
De verwachte toegevoegde waarde van het model
Het doel van leveranciers van meetgegevens is om bestaande meetgegevens beter te positioneren en zo hun waarde te verhogen. Dit hangt af van de mogelijkheid om metingen en meetgegevens te verenigen. Misschien niet voor alle meetgegevens, maar in ieder geval voor meetmethoden die worden gebruikt om algemene meetgegevens te produceren. Men denkt dat dit de toegevoegde waarde van individuele diensten zal vergroten en tegelijkertijd de volwassenheid van het domein van leveranciers van meetgegevens als geheel zal verhogen.
Het doel voor leveranciers is om de transparantie en bruikbaarheid van bestaande meetgegevens van producten en diensten te vergroten voor rapportagedoeleinden. Wij geloven dat het gebruik van deze modelgebaseerde aanpak helpt bij het identificeren van meetgegevens en metingen die voor verschillende organisaties kunnen worden hergebruikt. Dit vergroot de transparantie voor (interne) klanten door hun overwegingen expliciet te maken en creëert een mogelijkheid om de dienstverlening te verbeteren en tegelijkertijd verspilling in het risicoproces voor derden te verminderen.
Het doel voor klanten en/of gebruikers is om bij te dragen aan een geïnformeerde risicoverklaring die kan worden gebruikt als input voor besluitvorming door het potentieel voor hergebruik van meetgegevens die zijn verzameld voor een specifiek doel te vergroten, waardoor ze meer algemeen toepasbaar worden. Dit zal resulteren in betere meetgegevens die worden ondersteund door een beter begrip van de vertrouwensniveaus, terwijl tegelijkertijd de verspilling in het risicoproces voor derden wordt verminderd.
Vervolgstappen
Het model zal verder worden ontwikkeld tot een interactief dashboard en worden getest in een specifieke gebruikssituatie die zich richt op een of meer beveiligingscontroles, zoals patchbeheer. De op dit moment betrokken PCSI-leden zijn grote bedrijven die zowel dienstverleners als afnemers zijn van veel leveranciers in Nederland. Om hen in staat te stellen de volgende stap te zetten, hebben ze aanvullende partners nodig die gespecialiseerd zijn in risicobeheer voor leveranciers en betrouwbare derden die bereid zijn een open dialoog aan te gaan met alle deelnemers en wetenschappers met als doel manieren te vinden om bij te dragen aan een veiligere samenleving.
Als u wilt bijdragen aan of discussiëren over dit PCSI-project, neem dan contact op met de projectleider, Puck van den Brink: puck.vandenbrink@tno.nl.
1 Zoals Trust Centres en witboeken over beveiliging, privacy en compliance.
2 Zoals ISO27001, SOC1 Type II, PCI DSS, HIPAA en BAA.
3 Zoals gegevensverwerkingsovereenkomsten, online servicevoorwaarden, standaard contractbepalingen van de EU en overeenkomsten inzake dienstverleningsniveau.
4 ISF. 2020. Continu waarborgen van de toeleveringsketen. De veiligheid van leveranciers bewaken. Continu waarborgen van de toeleveringsketen: De veiligheid van leveranciers bewaken - Information Security Forum
5 Earle, Timothy & Siegrist, Michael & Gutscher, Heinz. (2012). Vertrouwen, risicoperceptie en het TCC-model van samenwerking. Vertrouwen in coöperatief risicobeheer: Onzekerheid en scepsis in de publieke opinie. 10.4324, 9781849773461.
Deel deze pagina