‘Gevaarlijke’ mens staat centraal

Niet de technologie, maar de mens is leidend in de beveiliging van organisaties. Daarvoor is het noodzakelijk dat partijen in de securityketen beter met elkaar gaan praten en naar elkaar luisteren, dat er meer transparantie komt en dat medewerkers continu worden getraind. Dat stelt Jeroen Renard, security officer bij Odin Group, waaronder Sophos-partner Previder valt.

Bron: ICTMagazineles

Security zit vooral aan de menselijke kant”, zegt Renard. Hij pleit voor een geïntegreerde en transparante keten waarin de partijen zich realiseren dat Fort Knox niet het streven moet zijn. “Met technologie kunnen we veel basiszaken beveiligen, maar het is algemeen bekend dat de mens nog immer de zwakste schakel is. Met die wetenschap moeten bedrijven nu flink aan de slag.” Hij doelt daarmee op de berichten dat steeds meer bedrijven – groot en klein – worden getroffen door cyberaanvallen. “In deze wereld waarin IT zich steeds meer verplaatst van on premise naar de cloud, wordt beveiliging steeds meer een kwestie van vertrouwen.”

IT-gasten in een kelder

Vertrouwen dat begint in de keten. Dat is een van de uitdagingen die Renard bij veel organisaties ziet. Dat de afstemming tussen klant en leverancier stukken beter kan. “Security is niet meer een ding van één organisatie, het is iets dat je gezamenlijk doet met de leverancier, een partner of cloudprovider.” Afstemming in die keten is belangrijk, evenals het genoemde vertrouwen – met de kanttekening dat het vertrouwen gefundeerd is, met periodieke toetsing en herijking. Dat betekent dat, ook als de IT-omgeving uitbesteed is, het geen black box mag zijn voor een organisatie. “Vroeger had je in de kelder een serverruimte met jongens in T-shirts die ieder jaar de IT-omgeving lieten groeien met een paar extra Linux-dozen. Omdat de directie geen enkel benul had wat die gasten aan het doen waren, konden zij eenvoudig hun hobby in stand houden. Directies vonden dat als de systemen volgens de service level agreements werkten, ze verder niets hoefden te weten. Die tijd is voorbij.” Volgens Renard is het belangrijk dat organisaties in contact blijven met hun ketenpartners, zodat kennis kan worden gedeeld over nieuwe ontwikkelingen, trends, maar ook risico’s en bedreigingen. Bovendien leert een leverancier of partner de organisatie zo steeds beter kennen, waardoor die eenvoudiger op wensen kan inspelen. “Voor een bedrijf is het ook belangrijk om te weten hoe de werknemers de omgeving gebruiken. Men denkt al snel dat Johan van de administratie de hele dag alleen in administratieve systemen werkt, maar mensen doen meer dan alleen die ene specifieke bedrijfsomgeving kan. Hoe werk je dan precies? Moeten er misschien contracten of privacygevoelige gegevens worden verzonden? Wordt daar encryptie voor gebruikt? Hoe gaat dat als Johan een dag thuis werkt? Over die dingen moet je praten met je leveranciers en partners.”

IT-systemen omzeilen

Een tweede security-uitdaging die Renard veelvuldig ziet is schaduw-IT. “Ik heb twintig jaar geleden bij een grote organisatie de implementatie van Windows-95 begeleid. De IT-afdeling daar wilde de omgeving helemaal dichttimmeren, maar al gauw ging de hele organisatie op zoek naar manieren om toch datgene te kunnen doen wat ze wilde”, vertelt de security officer glimlachend. “Nou was dat met Windows-95 natuurlijk ook kinderlijk eenvoudig.” Hij wil maar zeggen dat werknemers vaak een eigen manier van werken hebben. Voor werkgevers is het juist zaak om hun mensen zoveel mogelijk te faciliteren in plaats van te beperken. “Welke tooling heb je nodig voor het werk dat je gaat doen? Als organisatie moet je faciliteren wat een werknemer nodig heeft, en dat doen vanuit een professionele omgeving. Op die manier houdt je zicht op wat er gebeurt en heb je grip op de security. Dat heb je niet als iedereen zijn eigen apps en maniertjes gebruikt om zijn werk te vergemakkelijken.”

“Het minimale wat een organisatie moet doen om met persoonsgegevens te mogen werken, wordt vaak als onbegonnen werk gezien”

Zijn IoT-producten wel veilig?

De privacywetgeving is voor veel organisaties een voortdurende security-uitdaging. Sinds begin dit jaar is de meldplicht datalekken van kracht en vanaf 25 mei 2018 krijgen bedrijven in alle EU-lidstaten te maken met de Algemene Verordening Gegevensbescherming. Een dingetje, vindt Renard. “Kijk naar hoeveel legacy er nog bij bedrijven staat en hoe snel een IT-asset legacy wordt. Zeker met trends als het Internet of Things wordt privacy by design van levensbelang. Bij veel IoT-producten is security geen integraal onderdeel geweest van het ontwerp- en ontwikkelproces. Terwijl security op alle fronten, dus vanaf ontwerp tot gebruik, een hoofdstuk is.” Hij adviseert ook scrumteams om na iedere sprint de security baseline door te nemen. “Zodat je weet dat er iets gemaakt wordt dat straks werkt vanuit privacy en security optiek.”

Minimale inspanning is onbegonnen werk

Renard adviseert bedrijven een gedegen gap-analyse uit te voeren. “We hebben al een aantal jaren CBP richtsnoeren beveiliging van persoonsgegevens. Ik adviseer ook externe bedrijven over security en wat ik merk is dat bedrijven de betreffende procedures en maatregelen nog niet echt hebben ingevoerd, terwijl die wel heel goed te mappen zijn met andere security-standaarden zoals bijvoorbeeld ISO 27001. Het komt er op neer dat organisaties zeggen dat het minimale wat je moet doen om met persoonsgegevens te mogen werken onbegonnen werk is. Dat kan niet, hier moeten bedrijven mee aan de slag.” Hij geeft een voorbeeld van een systeem waar mogelijk in 2019 een groot lek in optreedt omdat het systeem in 2012 is gebouwd en er destijds onvoldoende security by design is toegepast. 99 Procent van de exploits zijn zaken die een jaar geleden al bekend waren. Het aantal DDoS-aanvallen neemt toe en ook de meldingen van ransomware stijgen navenant. “Het is essentieel dat bedrijven zich afvragen wat ze gaan doen met oude systemen en aan welke eisen nieuwe pakketten moeten voldoen die men nu aanschaft. Security is geen separaat onderwerp, als het niet is ge-embed in het denken van mensen, in je systemen, ontwerpen en implementaties, dan kom je er simpelweg niet.”

Mail van de directeur?

Maar alle technologie en tooling ten spijt is nog altijd de mens het grootste gevaar van de digitale veiligheid. Bewustzijn is dan ook enorm belangrijk. “Dat is iets waar je als bedrijf continu mee bezig moet zijn”, stelt Renard. Iedere werknemer moet regelmatig cursussen volgen en daarnaast proefondervindelijk de mogelijkheid krijgen zich te verbeteren, bijvoorbeeld via het aanbieden van phishingtests (pentests). “Wat maakt dat awareness werkt, is dat er in eerste instantie een goede procedure wordt gemaakt die je steeds herhaalt en test. Herkennen medewerkers phishingmails? Wat maakt dat ze toch op een malafide link klikken?” Zaken die je technisch in de architectuur kunt afdichten, moet je uiteraard doen, zoals een SPF-record op een domein en een digitale handtekening op e-mails. “Daarmee kun je al een heleboel ellende voorkomen, zeker op het gebied van ransomware.” Zo’n digitale handtekening – een maatregel die overigens weinig moeite en investering kost en een groot rendement oplevert – wordt gebruikt voor de identificatie van de afzender. Mocht die discutabel zijn, dan wordt de mail automatisch naar de spamfolder gestuurd. Met een SPF-record wordt ervoor gezorgd dat er niet gespoofd kan worden, oftewel dat een ongeautoriseerd iemand geen mails kan versturen vanaf het organisatiedomein. “De kritische houding van veel Nederlanders naar leidinggevenden en directie ten spijt , zijn er nog genoeg mensen die direct in de houding springen als onderaan een mailtje de naam van hun baas prjikt, maar als een domein gespoofd is, kan een cybercrimineel eenvoudig met zijn mailadres berichten sturen met malafide links. In de praktijk blijkt dat het gros van de mensen echt wel op een linkje klikt als hun directeur daar in een mailtje om vraagt.”

Samen staan we sterk

Luisteren, samenwerken en transparantie in de keten. Dat zijn de drie ingrediënten voor een solide beveiliging. “We moeten naar elkaar luisteren. Het is een samenspel waarbij we ook realistisch moeten zijn voor de business. Welk minimaal niveau van beveiliging is acceptabel en wat is het ambitieniveau van de organisatie? We moeten ons als keten realiseren dat we op weg zijn naar nieuwe tijden, dat de cloud een steeds grotere plek gaat innemen en dat on premise IT-systemen gaan verdwijnen. Privacy, en daarmee security, wordt steeds belangrijker, wat betekent dat we als keten samen moeten zorgen voor veilige IT-omgevingen.”

Blijf op de hoogte!

Wil jij op de hoogte blijven van vacatures, traineeships en loopbaanontwikkeling?
Meld je dan aan voor de nieuwsbrief.

aanmelden