Security: Welke maatregelen zijn nu nog effectief?
28-09-2015

Security: Welke maatregelen zijn nu nog effectief?

 

Er is tegenwoordig veel vraag naar het leveren van diensten via het internet. We willen altijd verbonden zijn met het internet en onze bedrijfsmiddelen moeten altijd en overal, waar ook ter wereld bereikbaar zijn. Wat we zakelijk en privé doen met onze telefoons, tablets, laptops en pc’s kent geen grenzen meer. Door deze Cloud en Consumerization behoefte volgen ontwikkelingen elkaar in een rap tempo op en is de ICT steeds complexer geworden. De technologische mogelijkheden van Cloud en Consumerization hebben zich de afgelopen 5 jaar in een exponentieel tempo ontwikkeld. En bij iedere ontwikkeling ontstonden nieuwe risico’s, die bestreden werden met een bepaald type securityproduct. Hierdoor is het aantal security-oplossingen in een gemiddeld bedrijf niet meer te managen naast het dagelijkse beheer.

Los van de technische complexiteit is er de laatste tijd sprake van steeds striktere wet- en regelgeving waar organisaties aan moeten voldoen. Compliance regels die branche specifiek zijn, maar ook wetgeving die steeds verder gaat als het gaat om de bescherming van privacy en persoonsgegevens. Als organisatie zal je meer dan voorheen overtuigd moeten zijn dat je - in alle redelijkheid - er alles aan gedaan hebt om de persoonsgegevens van de klanten en leveranciers te beschermen. Net als dat je ervan overtuigd wilt zijn, dat er alles aan gedaan is om de bedrijfsgeheimen die concurrentiegevoelig zijn niet op straat kunnen komen te liggen.

“Naast deze ontwikkelingen wordt de digitale criminaliteit steeds doelbewuster” stelt Alain Rees, manager Cyber Security bij SLTN Inter Access. “Het belang om continue te weten welke risico’s de organisatie loopt wordt steeds groter, maar ook ingewikkelder. Cybercriminelen benutten niet geüpdatete kwetsbaarheden binnen besturingssystemen en applicaties voor hun gerichte aanvallen. Vooral populaire besturingssystemen en applicaties, zoals Adobe Reader, Internet Explorer, Microsoft Office en Java, worden misbruikt voor deze gerichte aanvallen. En ook andere kwetsbaarheden zoals informatie over uw organisatie en zwakheden in processen. Ransomware is denk ik voor veel organisaties het meest tastbare wat de laatste tijd een vlucht heeft genomen. Door informatie en kwetsbaarheden van de organisatie te combineren kunnen cybercriminelen bestanden of systemen versleutelen, die alleen toegankelijk worden als er geld betaald wordt.”

“Om onze klanten in de strijd tegen deze vorm van cybercriminaliteit te helpen heeft SLTN Inter Access een Cyber Security Awareness programma ontwikkeld”, vult CEO Eugene Tuijnman aan. “We beginnen met een workshop om de hele organisatie security bewust te maken in de vorm van een game. Zelf heb ik ook deelgenomen aan deze leerzame workshop. De teams strijden tegen elkaar en vormen de leiding van een bedrijf. Het bedrijf wordt onderworpen aan een reeks cyberaanvallen die van invloed zijn op de productie en de omzet. De deelnemers moeten reageren met een diversiteit aan engineering of IT-beveiligingsmaatregelen om de impact te minimaliseren en de inkomsten te beschermen. Nadat de game is gespeeld volgt de e-learning module. Deze module geeft de medewerkers kennis van de regels binnen het bedrijf maar ook van de landelijke wet- en regelgeving waar het bedrijf aan moet voldoen. Tevens wordt behandeld wat een medewerker moet doen als het een phishing mail krijgt of een vermoeden heeft van een hack. Het nieuws over andere organisaties die gehackt zijn en ander relevant nieuws spreekt hierna nog meer tot de verbeelding, waardoor de houding binnen organisaties meetbaar verandert. Het spreekt vanzelf dat wij ook de gedragsverandering toetsen. Organisaties gaan hierna steeds meer afwegen welke informatie ze wel en niet online prijsgeven, wat enorm helpt.”

Alain: “Ik kom nog weleens vacatures tegen waar zoveel informatie in staat, dat ze het cybercriminelen wel heel gemakkelijk maken. Daar worden merk en versie van systemen en applicaties benoemd, waardoor het kinderspel is om de kwetsbaarheid erbij te zoeken en te benutten. Maar ook organisaties die zo trots zijn op hun wachtwoordpolicy dat ze deze online hebben gezet. De cybercrimineel wordt zo heel veel tijd bespaard. En dat is nou juist bij security in het algemeen één van de belangrijkste elementen. Hoeveel tijd het kost om een fietsslot te openen bepaalt de kwaliteit van het slot. En om de metafoor verder door te trekken: hoe ouder het slot, hoe meer kennis en tools er voor beschikbaar zijn om nog sneller het slot te openen.”

Cybercriminelen en malware maken steeds vaker gebruik van kwetsbaarheden binnen besturingssystemen en applicaties om ICT-systemen aan te vallen. Eugene: “Ook daar helpen we onze klanten mee. Zo hebben we een Cyber Security Vulnerability programma om besturingssystemen en applicaties automatisch te voorzien van patches tegen het misbruik. Door deze belangrijke activiteiten te automatiseren en te centraliseren, kost het minder tijd om kwetsbaarheden te elimineren en krijgen onze klanten extra beschermingslagen. En dat testen we ook. Onze ethische hackers testen of de kwetsbaarheden inderdaad niet meer te gebruiken zijn. En ze controleren meteen hoe het staat met de processen, procedures en informatie over de organisatie.” Alain: U kunt de beste sloten op de deur hebben, maar als u de sleutel onder de deurmat legt kan een inbreker alsnog naar binnen.”

Terug naar nieuws overzicht