Zorg ervoor dat u weet welke apparaten gebruikmaken van uw infrastructuur!
De afkorting ‘GDPR’ zou intussen ingeprent moeten staan bij iedere ondernemer en iedere manager die gebruikmaakt van privacygevoelige gegevens van klanten en partners. 25 mei is het zo ver. Vanaf dat moment moeten organisaties in Europa voldoen aan de verplichtingen van de GDPR, ook wel bekend als de ‘Algemene Gegevens Verordening’ (AGV). Maar als ik dan even kijk naar de sterk toenemende aanvragen van klanten die wij bij Avit ontvangen op dit gebied, gaan het nog een paar ‘interessante’ en vooral drukke maanden worden. Veel organisaties zijn er al druk mee bezig, maar bij veel andere moet nog een hoop gebeuren. Gelukkig hebben we de afgelopen jaren fors geïnvesteerd in mankracht en kennis op het gebied van security, waardoor we nu in staat zijn om klanten goed te adviseren en te ondersteunen bij hun GDPR-uitdagingen.
Hoe zit het met de firmware?
Wat mij opvalt als ik de diverse artikelen rondom GDPR lees, is dat er vooral veel aandacht is voor beleid, voor het aanpassen van procedures en voor het beveiligen van de diverse toepassingen en van het netwerk in het algemeen. Allemaal facetten die veel aandacht verdienen. Maar een belangrijk aspect wordt nog wel eens vergeten: de status en het updaten van de netwerk- en beveiligingsapparatuur zelf. Het updaten van servers, PC’s en laptops is inmiddels bij veel organisaties (gelukkig!) intussen tot een vaste discipline geworden. Maar dat geldt vaak nog niet voor de routers, de switches, de firewalls, etc. Sterker nog, veel organisaties hebben geen idee hoeveel apparaten en systemen er nu daadwerkelijk op de netwerkinfrastructuur zijn aangesloten, laat staat dat ze weten wat de status daarvan is. Onlangs hebben wij bij een van onze klanten een complete netwerkinventarisatie gedaan, als onderdeel van de securitydiensten die wij aanbieden. Daaruit bleek dat er in plaats van de verwachtte 500 componenten, maar liefst 700 componenten waren aangesloten op de infrastructuur. Dat was even schrikken voor die klant. En van zowel de bekende als de onbekende systemen was tot op dat moment niet duidelijk of de laatste firmwareversie geïnstalleerd was.
Op basis van inzicht stappen nemen
Bedenk even wat dat betekent. Een organisatie kan alle procedures en beleid op orde hebben, de meest recente updates geïnstalleerd hebben op de servers en de endpoints, en up-to-date securityoplossingen gebruiken. Maar als er dan nog oude firmware met een beveiligingslek draait op een van de routers of firewalls, staat de deur in feite nog steeds open. En – zeker in het kader van de GDPR – zonder actueel inzicht in de status zal het niet meevallen om bij een eventuele datadiefstal na te gaan wat er nu eigenlijk gebeurd is. Natuurlijk ben je er niet met alleen inzicht in de status. Als je weet hoe de zaken ervoor staan, kan je vervolgens stappen nemen, indien nodig. En het is dan wel zo prettig als je daarover proactief wordt geïnformeerd door je securitypartner. Zo hebben wij onlangs gekeken welke van onze klanten getroffen werden door de recentelijk ontdekte kwetsbaarheid met het WiFi WPA2-beveiligingsprotocol en ze direct geïnformeerd en geadviseerd over de te nemen stappen.
Wat doet een gast allemaal op uw netwerk?
Daarnaast is het voor sommige sectoren extra belangrijk dat zij inzicht hebben in de apparaten die gebruikmaken van hun infrastructuur en wat die daarop doen. Neem de hotelsector, waar jaarlijks honderden, misschien duizenden gasten gebruikmaken van het gastennetwerk. Het gebeurt regelmatig dat hotels een waarschuwing krijgen van contentleveranciers, omdat gasten illegaal content downloaden als ze in het hotel verblijven. Het vervelende is dat de hotels dan potentieel een boete kunnen krijgen. Tegelijkertijd is het zeker niet ondenkbaar dat een slecht beveiligd of reeds besmet device van een van de hotelgasten via het gastennetwerk probeert om devices van andere gasten te besmetten of om logingegevens te stelen. Opnieuw is dit te voorkomen met behulp van actueel en compleet inzicht in de aangesloten componenten. Slecht beveiligde devices kunnen geblokkeerd worden en het hotel kan gasten aanspreken op ongeoorloofde internetactiviteiten.
Of het nu gaat om zekerheid rondom GDPR-compliance, om het beveiligen van de apparaten die gebruikmaken van uw netwerk of om het monitoren van netwerkactiviteiten, het begint met een compleet en actueel inzicht in de infrastructuur. Want het is nog steeds waar: meten is weten.
