zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Zeven snelle maar belangrijke stappen naar goede beveiliging

28 maart 2017 - Forbes Technology Council heeft 2017 als het jaar van cybersecurity zorgen benoemt. Hoewel veel organisaties beveiliging hoog op de agenda hebben staan, voelt het voor veel bedrijven nog steeds als een ver-van-mijn-bed show en niet als een acute noodzaak.

"Cyberbeveiliging moet niet langer worden gezien als een groot en complex probleem," vindt Mark-Peter Mansveld, Area Vice President bij RES Software. In dit artikel noemt hij de reële, veelvoorkomende dreigingen en stappen die organisaties kunnen nemen om te voorkomen dat zij het nieuws halen als slachtoffer van een grote datadiefstal. 


Bij de meeste bedrijven schort het aan tijd en middelen om beveiligingsrisco’s voldoende af te dekken. "IT-afdelingen hebben het vaak te druk met het faciliteren van werknemers, en reageren vooral op acute beveiligingsdreigingen," zegt Mansveld. "Het is dan ook van groot belang om de veelvoorkomende beveiligingsrisico’s aan te pakken, om zo de belangrijkste bedreigingen af te wenden. Goede beveiliging is makkelijker dan veel organisaties denken: de volgende zeven stappen vormen een goed en eenvoudig begin."
 
Stap 1. Centraliseer whitelisting-beleid
Dynamische whitelisting is een best practice voor bedrijfsbeveiliging, en een goede manier voor het bepalen van toegangsrechten: deze blijven beperkt tot veilige en toegestane situaties. Mansveld: "Goede whitelisting houdt rekening met zaken als context, tijd, locatie en op welk device er wordt gewerkt. Dit model van ‘exclusion by default’ is essentieel om allerlei bedreigingen buiten de deur te houden – zoals verdachte servers, gestolen gebruikersgegevens en interne beveiligingsrisico’s."
Een primair beveiligingsvereiste is dan ook dat er één centraal overzicht is van alle whitelisting-policies. Deze whitelisting-policies kunnen door verschillende geautoriseerde mensen binnen een organisatie worden beheerd, maar het is wel belangrijk dat er één centrale plek is waar deze worden geadministreerd voor alle apparaten, parameters en gebruikersgroepen.
 
Stap 2. Vertrouw niet op zelfgeschreven scripts
Beleid alleen maakt een bedrijf echter nog niet veilig: een organisatie moet dit beleid ook daadwerkelijk implementeren en handhaven. "De kans is groot dat bedrijven verschillende, opzichzelfstaande processen uitvoeren om gebruikers de juiste, goedgekeurde toegang te voorzien," zegt Mansveld. "Vaak is er een verscheidenheid aan beheertools voor verschillende applicaties en databases en zelfgeschreven scripts. Vanuit beveiligingsperspectief zijn zulke gefragmenteerde processen niet veilig: een menselijk fout is snel gemaakt en ze zijn niet daadwerkelijk verbonden aan het beleid waarvoor ze in het leven geroepen zijn.  Organisaties die nog steeds vertrouwen op zelfgeschreven scripts nemen onnodig risico." Een volledig gekoppeld en beheersbaar automatiseringsmechanisme kan deze risico’s wegnemen en op een veilige, compliant wijze het beveiligingsbeleid uitvoeren en handhaven.
 
Stap 3. Voorkom dat medewerkers die uit dienst treden bedrijfsgegevens meenemen
Eén van de meest belangrijk onderdelen van access management is het onmiddellijk intrekken van rechten nadat een werknemer uit dienst treedt. "Dat klinkt logisch, maar bij veel organisaties is er geen gemakkelijk, geautomatiseerd proces om met onmiddellijke ingang toegang te ontzeggen tot alle applicaties, databases en communicatie," zegt Mansveld. "De toegang tot al deze diensten en middelen moetenvaak een voor een worden ingetrokken. Daardoor blijven toegangsrechten vaak dagen en soms nog weken geldig, waardoor ex-werknemers met kwaad in de zin gevoelige informatie kunnen meenemen." Daarom is het van het grootste belang dat alle systemen voor identity en access management- geïntegreerd zijn, inclusief de HR-database. Alleen dan kan er verzekerd worden dat alle toegangsrechten tijdig en volledig worden ingetrokken.
 
Stap 4. Tref extra maatregelen voor access management
De meeste organisaties hebben een beperkte set van parameters om access management toe te passen. Om daadwerkelijk veilige toegang te bewerkstellingen moet er meer afhangen van de context van de gebruiker. Veelvoorkomende voorbeelden zijn:
 
- Geo-fencing: toegang op basis van locatie. Zo zou een dokter bijvoorbeeld binnen het ziekenhuis bepaalde medische gegevens kunnen inzien via een tablet, maar wordt deze toegang automatisch ontzegt buiten de muren van het ziekenhuis. 

- Beveiligde wifi: toegang tot data op basis van de status van de wifi-connectie (publiek/onbeveiligd/beveiligd). Zo kan iemand bijvoorbeeld alleen leesrechten hebben tot een document wanneer de verbinding publiek is.

- File hashing: door bestanden te ‘hashen’ (van een uniek kenmerk te voorzien) kunnen organisaties ervoor zorgen dat werknemers weten wanneer kwaadwillende hen proberen te verleiden tot het openen van bijvoorbeeld ransomware.

Mansveld: "Om dergelijke maatregelen in te voeren is een access management systeem nodig dat automatisch en in real-time reageert op de context en hash-gebaseerde identificatie kan toepassen. Zonder deze mogelijkheden is de beveiliging erg beperkt."
 
Stap 5. Zorg dat het beveiligingsproces flexibel is
Bedrijven zijn constant in beweging. Zeker de afgelopen jaren komt er, door de opkomst van onder anderen cloud- en SaaS-diensten, voortdurend nieuwe IT bij. Veel van deze diensten worden zonder tussenkomst van de IT-afdeling in gebruik genomen. "Ooit werd dat ‘shadow IT’ genoemd, maar dat is niet meer het geval," benadrukt Mansveld. "Het is een fundamenteel onderdeel geworden van de manier waarop software wordt gebruikt. Om onveilige situaties te voorkomen moeten organisaties deze voortdurende verandering wel aankunnen. Zo niet, dan kan het bijvoorbeeld gebeuren dat nieuwe applicaties niet gewhitelist worden en werknemers de beveiliging omzeilen om ze toch te kunnen gebruiken." Andersom is het ook gevaarlijk als nieuwe bronnen te gehaast worden gewhitelist zonder voldoende beveiligt te zijn door policies zoals geo-fencing of wifi-restricties.
"Geen van deze uitkomsten is acceptabel. Organisaties hebben daarom een snel, betrouwbaar en consistent proces nodig om nieuwe (cloud) applicaties toe te voegen aan de whitelist. Zonder een dergelijk proces kan de security de business niet bijhouden – wat zorgt voor beveiligingsrisico’s, of de business tegenhoudt in zijn ontwikkeling."
 
Stap 6. Biedt werknemers selfservice-mogelijkheden 
Millennials verwachten een zakelijke IT-omgeving die dezelfde ervaring biedt als hun persoonlijk gebruik van technologie. "Selfservice biedt een win-win situatie: zowel de IT-afdeling als de werknemers worden er beter van," zegt Mansveld. "Omdat standaardverzoeken automatisch kunnen worden uitgevoerd, hebben werknemers sneller wat ze nodig hebben en worden IT-medewerkers ontlast. Organisaties kunnen zelfs bepaalde taken delegeren aan line of businessmanagers, zoals het toekennen van toegang of het toevoegen van extra licenties. Enkel de IT-experts kunnen dergelijke, veilige taken volgens het beveiligingsbeleid maken en beheren. Zo kunnen medewerkers een hoop zelf regelen, maar geen schade aanrichten."
 
Stap 7. Bereid de organisatie voor op een audit
"Zelfs al zijn alle voorgaande  stappen doorlopen: indien een organisatie dit niet kan bewijzen tijdens een audit, is het praktisch voor niets geweest," onderstreept Mansveld. "Maar de organisaties die beschikken over een geautomatiseerd whitelisting-systeem, waarin wordt bijgehouden welke acties zijn uitgevoerd, zullen een audit met succes doorstaan."
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Kwart bedrijven heeft meer mensen ontslagen als gevolg van de coronacrisis
 Bumperkleven en smartphone grootste ergernis in het verkeer
 Bestuurders kunnen aansprakelijk zijn bij het aangaan van overeenkomsten
 

Gerelateerde nieuwsitems

 Biometrische beveiliging: het einde nabij?
 Security professionals worden beter
 Consumenten zijn zich bewuster van online beveiligingsrisico’s
 Behoefte aan meer vertrouwen in de beveiliging van de cloud
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
Plan van Aanpak: 3 stappen voor meer e-mail marketingsucces
In dit white paper / Plan van Aanpak legt Spotler uit hoe je 1) je doelen en doelgroepen in kaart brengt, 2) met welke middelen je je doelen en doelgroepen bereikt en 3) wie het uitvoert en wanneer. Download het handige document, inclusief checklist.
Download het Plan van Aanpak
Lees verder
Zo maak je een indrukwekkende online bedrijfspresentatie
reacties
Tien suggesties voor meer 'fun' op de werkplek (1) 
Bouw-cao zet aan tot fraude (1) 
Topmanagers vergaderen 100 procent van hun tijd (1) 
Manager moet werknemer los kunnen laten (4) 
Horeca start glimlachcursus voor medewerkers (1) 
Tips om online de perfecte werknemer te vinden (1) 
'Beleggers hebben binnen 3 tot 6 jaar hun geld terug' (1) 
top10
Van smart tv tot speelgoedpop: deze apparaten in huis bespioneren u
Nederlandse hackers nemen laptops over door ernstige kwetsbaarheden in Zoom
Een op zes mannen vindt dat partner te veel verdient
De favoriete vakgebieden van oud-horecapersoneel
Corona-versoepelingen in aantocht, maar bordspellen onverminderd populair
Kwart bedrijven heeft meer mensen ontslagen als gevolg van de coronacrisis
Jongere vindt werkgever verantwoordelijk voor de gezondheid van medewerkers
DDoS-aanvallen in 2020 krachtiger, complexer en langer
Door pandemie meer behoefte aan duurzame en flexibele mobiliteitsoplossingen
Medewerker overschat zichzelf in het herkennen van cyberincidenten
meer top 10