Jeremy van Doorn, VMware: in de toekomst blijft de menselijke factor belangrijk
Organisaties moeten razendsnel nieuwe technologieën adopteren om op flexibele wijze de concurrent te snel af te zijn. Tegelijkertijd is het – met de GDPR op komst – belangrijker dan ooit om de juiste aandacht aan security te besteden. Jeremy van Doorn, directeur pre-sales, EMEA Network & Security Division bij VMware vertelt over dit spanningsveld en de ontwikkelingen die we kunnen verwachten nu bedrijven steeds meer door technologie gedreven worden.
Eigenlijk is er volgens Van Doorn geen bedrijf meer dat zonder technologie kan blijven functioneren. “Zelfs de schilder van je huis heeft technologie nodig. Hij moet een planning maken voor het personeel en reclame maken via sociale media. Alle bedrijven worden afhankelijker van technologie, en dat geldt voor grotere bedrijven nog eens extra.”
Hij ziet de invloed van technologie dan ook rap toenemen. Om de concurrentiepositie te behouden en te verbeteren zie je dat organisaties zelf van alles gaan bouwen. Van websites tot applicaties met eigen backend. Zelf bouwen gaat snel en er is meer mogelijk dan bij een standaardoplossing, maar er ontstaan microservers en uiteindelijk heb je als organisatie wel een zeer complexe omgeving om te beheren.”
Slimme technologie
Ook via Internet of Things (IoT) komt er steeds meer informatie beschikbaar, waar je als bedrijf je voordeel mee kunt doen als je gebruik maakt van slimme technologie. “Allerlei apparaten komen online en steeds meer voorwerpen zijn aangesloten op sensoren. Kijk naar een vliegveld waar bijvoorbeeld alle trappen slim gemaakt worden, waarmee het onderhoud, de doorstroming en de storingen geregeld worden. Die slimme apparaten produceren allemaal data.”
Van Doorn ziet dat veel van de systemen die bedrijven zelf ontwikkelen vooral vanuit een functionele gedachte ontworpen zijn, en niet per sé door mensen die expert zijn op het gebied van beveiliging. Daarnaast neemt de hoeveelheid data in bedrijven onder invloed van IoT rap toe. En daar ziet van Doorn een spanningsveld ontstaan. “Organisaties moeten snel en flexibel handelen, maar tegelijkertijd veel meer aandacht besteden aan security en daar de tijd voor nemen.”
Wetgeving
Nu de nieuwe Europese privacywetgeving GDPR bijna van kracht wordt, neemt het belang van beveiliging alleen maar toe. Niet alle bedrijven zijn zich daar voldoende van bewust, merkt van Doorn: “Verreweg het grootste onderschatte gedeelte is de beveiliging. Met een firewall en een VPN ben je er niet. Het technische deel van de beveiliging is nog het makkelijkst, maar de mensen moet je blijven onderrichten.”
Dat technische gedeelte van de beveiliging zou volgens Van Doorn in ieder geval moeten bestaan uit een stevige basisbeveiliging. “Denk bijvoorbeeld aan microsegmentation, twee-factor-authenticatie en ervoor zorgen dat medewerkers nooit meer toegangs- en bewerkingsrechten hebben dan strikt noodzakelijk.”
Medewerkers spil in security
Nu bedrijven zich voorbereiden op de GDPR ziet Van Doorn bij klanten dat één beveiligingsthema steeds terugkomt: de menselijke factor. “De impact van businesstechnologie op bedrijven is groot, maar de grote verandering moet uiteindelijk toch bij de mensen vandaan komen. Hoe gaan we om met USB-sticks? Moeten we daar een pincode op zetten? Gaan we de inhoud versleutelen? Mag je ze meenemen het pand uit?”
“In Nederland is het gros van de bedrijven nog niet klaar voor de GDPR. Met name op het gebied van bewustwording – people and process – is er nog veel werk aan de winkel.” Organisaties zitten met zoveel vragen op het gebied van bewustwording, dat Van Doorn zelfs verwacht dat er de komende tijd serviceproviders zullen ontstaan die de beveiliging van organisaties gaan overnemen.
Risico’s
Als het misgaat met de beveiliging, dan gaat het al snel goed mis. Naast een boete van de Autoriteit Persoonsgegevens en imagoschade, kan de organisatie ook gewoon veel geld kwijtraken. “Stel je voor dat je als organisatie geïnvesteerd hebt in cryptocurrency. Als een hacker jouw private key steelt terwijl je een paar ton hebt geïnvesteerd in bitcoins, kun je zo je geld kwijtraken.”
Ook kunnen zich situaties voordoen waarbij de gezondheid van mensen op het spel komt te staan. “Neem bijvoorbeeld de farmaceutische industrie, die automatisch pillen maakt. Kijk wat een hacker teweeg kan brengen wanneer er ingebroken wordt en de samenstelling van de medicijnen ineens is aangepast. Iedereen gaat voor flexibiliteit, maar security is absoluut een aandachtspunt.”
Beveiliging prioriteit
“Vaak zie je dat er pas na het ontwikkelen en het testen aan de security wordt gedacht. In de ontwikkeltestacceptatie moet je eigenlijk al aandacht schenken hieraan. Aan de ene kant betekent dit dat security architecten meer samen moeten werken, maar aan de andere kant moet de Security Officer ook een veto kunnen uitspreken wanneer hij denkt dat gevoelige gegevens van de organisatie niet veilig zijn.”
Naast procedures en training van medewerkers in dataveiligheid, ziet Van Doorn dat bedrijven ook nieuwe manieren inzetten om medewerkers bewust te maken van security-risico’s. “We zien de laatste tijd veel social engineering tests. Je hebt in Nederland een aantal bedrijven die dit kunnen verzorgen. Ze sturen mensen langs en stellen zich voor als collega. Ze gaan kijken waar ze naar binnen kunnen, sturen valse e-mails, om het menselijke aspect van de beveiliging te checken. De resultaten worden gebruikt als educatie.”
Volgens Van Doorn kunnen we de komende tijd verwachten dat snelheid en flexibiliteit alleen maar belangrijker worden voor bedrijven. Hij benadrukt dat het cruciaal is om die snelheid en flexibiliteit gelijk op te laten gaan met security. “Steek veel tijd in de bewustwording van medewerkers. Je kunt nog zoveel technologie hebben, uiteindelijk blijft de menselijke factor bepalend of een bedrijf goed beveiligd is of niet.”
Door: Marco van der Hoeven en Witold Kepinski
