Redactie - 16 september 2014

‘Bescherm de Kroonjuwelen van uw bedrijf’

Een duidelijke trend in cybersecurity is dat aanvallen steeds groter en talrijker worden. De investeringen die bedrijven doen in security groeien daarom exponentieel. “Maar het resultaat van die investeringen is nog steeds niet goed zichtbaar”, zegt Gökmen Kiremit, Director Security Services, Avensus. De reden daarvoor is volgens hem dat organisaties nog niet de juiste maatregelen nemen tegen cybercriminelen.

“Veel bedrijven investeren vooral in technologie om zichzelf te beschermen, de huidige strategie is veelal pogen aanvallers buiten de deur te houden”, zegt Kiremit. Maar dat is een strategie die volgens Avensus niet meer aansluit bij de huidige manier waarop IT is georganiseerd. "Een aantal jaren terug was alle data in een organisatie gecentraliseerd op één plek, wat het eenvoudiger maakt om die data te beschermen. Maar door het moderne gebruik van mobiele toepassingen zweeft kostbare data nu overal. Dat heeft grote invloed op de manier waarop je je security organiseert.”

Hij benadrukt dat er met de huidige securitytechnologie niets mis is. “Maar is dat toereikend? Daar zet ik mijn vraagtekens bij. Zaken als firewalls en networkcontrol zijn prima, maar er is meer nodig. De huidige bedreigingen vragen om een andere security strategie, met andere verantwoordelijkheden. Het aanstellen van een security officer is niet meer voldoende, ik zou willen pleiten voor een chief data security officer. Daarmee geef je al aan dat het allemaal draait om het beschermen van data.”

Paradigm shift

Daarvoor is bij organisaties een paradigm shift nodig. “Je zult je bescherming veel dichter bij de data moeten hebben. In dat verband spreken wij altijd over het beschermen van de kroonjuwelen van de onderneming. Juwelen leg je thuis ook niet achteloos op tafel neer, die stop je in een kluis en die bescherm je. Op een vergelijkbare manier moet je met belangrijke data omgaan. Naast de traditionele bescherming die nodig blijft, zoals firewalls, is er voor die data extra bescherming nodig in de vorm van encryptie.”

Een belangrijke voorwaarde hiervoor is wel dat het nodig is om te bepalen wat eigenlijk de data-kroonjuwelen zijn binnen een organisatie. Denk goed na over wie toegang en rechten tot deze cruciale data hebben. Vervolgens komt de bescherming in de vorm van encryptie en identity access management. “Encryptie en identity access management klinken ingewikkeld, maar is met hedendaagse technologiegoed in te richten.”

Het is dus niet primair de technologie die aandacht vraagt, maar de manier waarop bedrijven omgaan met beveiliging en de inrichting/toepassing ervan. “Wij zijn traditioneel gewend ons te beschermen tegen aanvallen van buiten af, waardoor de nadruk ligt op preventie. We proberen mensen niet toe te laten. Maar waar we naartoe moeten is acceptatie en in het verlengde daarvan een goede secure breach strategie. Ga er maar vanuit dat de aanvallers al binnen zitten! Het is een utopie om te denken dat je iedereen buiten kunt houden. Bovendien zijn er veel organisaties die een lek in de organisatie zelf hebben.”

Omslag

Bij die omslag in het denken over security kan een Chief Data Security Officer een belangrijke rol spelen. “Het gaat om een andere denkwijze, een omslag van preventie naar het veilig maken van een kleiner onderdeel van je organisatie. “Ook de wetgeving speelt hierin een belangrijke rol, die staat niet stil. Het parlement heeft zich inmiddels voorstander verklaard van een nieuwe Europese privacywet. Europese bedrijven en overheden die zich niet aan deze wet houden staan fikse boetes te wachten. Reden temeer om stappen hierin te ondernemen.

Daarnaast speelt steeds duidelijker het financiële component. “Diefstal van de kroonjuwelen van organisaties zijn een schadepost. Dat vereenvoudigt de langlopende discussie over de return on investment van IT-security; dat blijft nou eenmaal lastig aan te geven. Goede security vereist investeringen en hoe verdienen die zich terug? Dan kom je al snel uit op zaken als imagoverlies en data-vernietiging/diefstal. In het ergste geval leidt dat tot faillissement.
De invoering van boetes op dataverlies, middels de wet bescherming persoonsgegevens; verandert deze discussie al. Dat ´helpt´organisatiesna te denken over de vraag hoe ze hun security organiseren.”

Kiremit beseft dat het voor veel bedrijven moeilijk is om de benodigde omslag op korte termijn te maken. “Encryptie is een andere tak van sport en voor veel mensen een moeilijk onderwerp. Het embedden van de technologie erachter kan complex zijn. Maar er zijn al veel voorbeelden van organisaties die er ervaring mee hebben. De financiële sector loopt voorop in encryptietechnologie. Zij hebben daar al intensief over nagedacht en hebben hun eigen datasecurity officers. Wij helpen en adviseren organisaties hierover na te denken, want het is meer dan alleen het kopen van hardware en software.”

Selectie

“Strategisch nadenken over je data dwingt je om een selectie te maken. Alles beschermen is ondoenlijk. Heel veel bedrijven hebben tegenwoordig in de een of andere vorm cloudoplossingen, dat is een belangrijke ontwikkeling met verstrekkende gevolgen voor security. Dat kun je niet tegenhoudenen dat moetje ook niet willen. Maar het gevolg is wel dat de kostbare data op veel plaatsen te vinden is. Als je bijvoorbeeld toegang hebt met je iPad dan staat de data even op die iPad. Hoe ga je dat oplossen? Waar data vijf jaar terug centraal stond, staat het nu aan de grenzen van je organisatie en in sommige gevallen zelfs erbuiten.”

Naast encryptie en identity access management wordt “Logging en Monitoring” oftewel Security Information and Event Management (SIEM) steeds belangrijker. “Hiermee is het mogelijk om inzichtelijk te krijgen welke kwaadwillende activiteiten binnen de organisatie plaatsvinden, doordat afwijkingen in de reguliere activiteiten direct zichtbaar worden. Iemand die bijvoorbeeld inlogt vanuit een vreemde locatie ergens ter wereld. Dat wordt direct gedetecteerd door het systeem. En al heb je daarmee nog niet direct een oplossing, je hebt wel gelijk inzicht in wat er met het systeem gebeurt en welke data daarmee gevaar loopt. Encryptie kan vervolgens voorkomen dat die indringer iets doet met deze data.”

Encryptie is volgens Kiremit momenteel veruit de beste bescherming tegen cybercrime. Daarmee voldoe je ook aan de nieuwe regels. “De wetgever stelt immers dat als er belangrijke data gestolen is, die goed geëncryptbleek, het niet nodig is deze inbreuk openbaar te maken. Ondanks dit gegeven wordt IT-security nog steeds als kostenpost gezien en geldt maar al te vaak ‘als het kalf verdronken is dempt men de put.”

Redacteur:

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024