IT én medewerkers samen verantwoordelijk voor IT-beveiliging
Vol overgave storten veel organisaties zich op nieuwe technologie, zoals mobile computing, cloud computing en sociale media. De mogelijkheden zijn legio, maar de risico’s helaas ook. Criminelen zoeken de kwetsbaarheden op en het is heus niet alleen aan de IT-afdeling om misbruik te voorkomen. Een grote verantwoordelijkheid ligt bij medewerkers zelf.
In het verleden probeerden IT-afdelingen de gevaren buiten de deur te houden door de toegang tot bedrijfsinformatie van buitenaf volledig te blokkeren. Deze benadering is nu niet meer houdbaar. Medewerkers verwachten dat ze anytime, anywhere, anyplace kunnen werken en toegang hebben tot alle benodigde informatie. De verwachtingen van de medewerkers in combinatie met een forse toename van het aantal cyberaanvallen, vereisen een nieuwe benadering. De tijd is voorbij dat organisaties de verantwoordelijkheid voor de beveiliging volledig bij de IT-afdeling konden neerleggen. Veel organisaties gebruiken firewalls, virusscanners, spam-, phishing- en rootkitfilters. Deze tools zijn weliswaar IT-gerelateerd, maar de problemen die ze moeten voorkomen zijn voornamelijk business-gerelateerd. Het is daarom van groot belang dat business- en IT-management gezamenlijk de verantwoordelijkheid nemen voor het beveiligingsbeleid.
Risicomanagement
Risicomanagement is daarbij de eerste noodzakelijke stap. Het is vanuit zowel praktische als kostentechnische overwegingen vrijwel ondoenlijk om alles 100% te beveiligen. En dat is ook niet nodig: niet alle data zijn zo waardevol dat daarop het allerhoogste niveau van beveiliging moet worden losgelaten. Daarom moet eerst worden vastgesteld welke informatie, kennis, databases en patenten de core assets van de onderneming vormen en dus beschermd moeten worden. Daarna dienen de risico’s in kaart te worden gebracht en op basis van deze analyse kan vervolgens een overkoepelend beveiligingsbeleid ontwikkeld worden. Pas dan volgt de invulling van het beleid met concrete tools.
Centralisatie en integratie
Gezien de vele nieuwe technologische ontwikkelingen en bijbehorende risico’s, volstaat het niet om een nieuwe tool aan te schaffen voor elk gevaar dat opdoemt. Dat leidt tot een onoverzichtelijk woud van toepassingen die met elkaar conflicteren of slechts gedeeltelijk op elkaar aansluiten. De huidige trends vragen om een holistische visie en een gecentraliseerd, geïntegreerd beveiligingssysteem dat alle onderdelen van het IT-landschap omvat, inclusief sociale media, mobiele apparaten en cloud services. Een systeem dat beveiliging automatisch regelt en zodanig afdwingt dat gebruikers er geen last van hebben.
Het succes van het beveiligingsbeleid staat of valt bovendien met inzicht en discipline bij gebruikers. Ook op dat gebied valt nog de nodige winst te behalen, toont onderzoek van leverancier van beveiligingssoftware Sophos. Daaruit blijkt dat 48% van de ondervraagde IT-professionals minstens eenmaal per week beveiligingszaken moet herstellen vanwege onoplettendheid van eindgebruikers.
Mobile computing
IT-beheerders weten zich vaak geen raad met ontwikkelingen met mobile computing en ‘consumerisation of IT’. Medewerkers kunnen bedrijfskritische informatie en applicaties altijd, overal en vanaf elk mobiel apparaat benaderen. Zonder gedegen wachtwoordbeveiliging kan verlies of diefstal van het apparaat echter grote risico’s met zich meebrengen.
En vergeet de gevaren van mobiele malware niet, schadelijke software om processen te verstoren en/of toegang te krijgen tot gevoelige informatie of computersystemen. Mobiele malware is aan een enorme opmars bezig en zelfs voor kenners vaak moeilijk te herkennen vanwege de slinkse wijze waarop deze verpakt wordt, bijvoorbeeld als onschuldig ogende app.
Ander onderzoek van Sophos toont dat van 500 ondervraagde smartphonebezitters maar liefst 33% geen wachtwoord had ingesteld. 13% gaf ook nog eens toe hun smartphone eens of vaker te zijn kwijtgeraakt.
Het meest doeltreffende recept voor de beveiliging van mobiele apparatuur telt vier ingrediënten: moeilijk te kraken wachtwoorden, data encryptie, patching en gebruikerseducatie. De mogelijkheid om mobiele apparaten centraal te beheren en op afstand te lokaliseren, te blokkeren en te wissen, is essentieel.
Cloud computing
Ook cloud computing stelt IT-afdelingen voor grote uitdagingen. Het kan belangrijke voordelen opleveren, zoals schaalbaarheid, flexibiliteit en besparing, maar er kleven enkele belangrijke risico’s aan.
Een van de privacyaspecten heeft te maken met de Amerikaanse Patriot Act. Veel Europese klanten van Amerikaanse cloudleveranciers beseffen niet dat hun data kunnen worden opgevraagd door de autoriteiten in de VS, als deze daartoe aanleiding zien. Dat geldt zelfs als de gegevens zijn opgeslagen op systemen die zich fysiek in de EU bevinden.
Daarnaast is ook beveiliging cruciaal bij cloud computing. Er zijn spraakmakende voorbeelden waarbij clouddiensten ten prooi vielen aan hackers. Een dataopslagservice als Dropbox, die binnen veel bedrijven al ’common practice’ is, kan een potentieel gevaar vormen.
Belangrijke advies is om data die in de cloud worden opgeslagen, automatisch te versleutelen. Hierdoor ligt de verantwoordelijkheid voor encryptie niet bij individuele gebruikers. Zorg wel dat de sleutels voor en- en decryptie binnen de organisatie blijven.
Sociale media
Een andere uitdaging voor de IT-afdeling vormen sociale media. Deze bieden cybercriminelen legio mogelijkheden om organisaties aan te vallen. Door zwakke wachtwoorden kunnen accounts gemakkelijk worden gekaapt.
Gebruikers van sociale media moeten zich bewust worden van het belang van sterke wachtwoorden die moeilijk te kraken zijn. Daarnaast ligt er een taak om gebruikers te attenderen op de gevaren die het klikken op links en advertenties en het downloaden van apps met zich meebrengen.
Criminele netwerken
Cybercriminelen maken dankbaar gebruik van de beveiligingslekken die vaak ontstaan bij de opkomst van nieuwe technologie. Ze gaan daarbij steeds professioneler te werk. We hebben te maken met internationale, commerciële criminele netwerken die innovatieve tools ontwikkelen en wereldwijd verspreiden. Inmiddels is een derde van alle malware voor 700 tot 2000 dollar online te koop.
We zullen de komende jaren dan ook een grote toename zien van uiterst geavanceerde aanvallen. Het is daarom van cruciaal belang dat organisaties zich van alle gevaren bewust zijn en preventieve maatregelen nemen.
Handen ineenslaan
Om de cyberrisico’s het hoofd te bieden, moeten IT en business dus de handen ineenslaan. Een reële inschatting van de risico’s, het optuigen van een gecentraliseerde beveiligingssysteem en bewustwording bij de medewerkers zijn daarbij de kernpunten.
IT én medewerkers samen verantwoordelijk voor IT-beveiliging
Vol overgave storten veel organisaties zich op nieuwe technologie, zoals mobile computing, cloud computing en sociale media. De mogelijkheden zijn legio, maar de risico’s helaas ook. Criminelen zoeken de kwetsbaarheden op en het is heus niet alleen aan de IT-afdeling om misbruik te voorkomen. Een grote verantwoordelijkheid ligt bij medewerkers zelf.
In het verleden probeerden IT-afdelingen de gevaren buiten de deur te houden door de toegang tot bedrijfsinformatie van buitenaf volledig te blokkeren. Deze benadering is nu niet meer houdbaar. Medewerkers verwachten dat ze anytime, anywhere, anyplace kunnen werken en toegang hebben tot alle benodigde informatie. De verwachtingen van de medewerkers in combinatie met een forse toename van het aantal cyberaanvallen, vereisen een nieuwe benadering. De tijd is voorbij dat organisaties de verantwoordelijkheid voor de beveiliging volledig bij de IT-afdeling konden neerleggen. Veel organisaties gebruiken firewalls, virusscanners, spam-, phishing- en rootkitfilters. Deze tools zijn weliswaar IT-gerelateerd, maar de problemen die ze moeten voorkomen zijn voornamelijk business-gerelateerd. Het is daarom van groot belang dat business- en IT-management gezamenlijk de verantwoordelijkheid nemen voor het beveiligingsbeleid.
Risicomanagement
Risicomanagement is daarbij de eerste noodzakelijke stap. Het is vanuit zowel praktische als kostentechnische overwegingen vrijwel ondoenlijk om alles 100% te beveiligen. En dat is ook niet nodig: niet alle data zijn zo waardevol dat daarop het allerhoogste niveau van beveiliging moet worden losgelaten. Daarom moet eerst worden vastgesteld welke informatie, kennis, databases en patenten de core assets van de onderneming vormen en dus beschermd moeten worden. Daarna dienen de risico’s in kaart te worden gebracht en op basis van deze analyse kan vervolgens een overkoepelend beveiligingsbeleid ontwikkeld worden. Pas dan volgt de invulling van het beleid met concrete tools.
Centralisatie en integratie
Gezien de vele nieuwe technologische ontwikkelingen en bijbehorende risico’s, volstaat het niet om een nieuwe tool aan te schaffen voor elk gevaar dat opdoemt. Dat leidt tot een onoverzichtelijk woud van toepassingen die met elkaar conflicteren of slechts gedeeltelijk op elkaar aansluiten. De huidige trends vragen om een holistische visie en een gecentraliseerd, geïntegreerd beveiligingssysteem dat alle onderdelen van het IT-landschap omvat, inclusief sociale media, mobiele apparaten en cloud services. Een systeem dat beveiliging automatisch regelt en zodanig afdwingt dat gebruikers er geen last van hebben.
Het succes van het beveiligingsbeleid staat of valt bovendien met inzicht en discipline bij gebruikers. Ook op dat gebied valt nog de nodige winst te behalen, toont onderzoek van leverancier van beveiligingssoftware Sophos. Daaruit blijkt dat 48% van de ondervraagde IT-professionals minstens eenmaal per week beveiligingszaken moet herstellen vanwege onoplettendheid van eindgebruikers.
Mobile computing
IT-beheerders weten zich vaak geen raad met ontwikkelingen met mobile computing en ‘consumerisation of IT’. Medewerkers kunnen bedrijfskritische informatie en applicaties altijd, overal en vanaf elk mobiel apparaat benaderen. Zonder gedegen wachtwoordbeveiliging kan verlies of diefstal van het apparaat echter grote risico’s met zich meebrengen.
En vergeet de gevaren van mobiele malware niet, schadelijke software om processen te verstoren en/of toegang te krijgen tot gevoelige informatie of computersystemen. Mobiele malware is aan een enorme opmars bezig en zelfs voor kenners vaak moeilijk te herkennen vanwege de slinkse wijze waarop deze verpakt wordt, bijvoorbeeld als onschuldig ogende app.
Ander onderzoek van Sophos toont dat van 500 ondervraagde smartphonebezitters maar liefst 33% geen wachtwoord had ingesteld. 13% gaf ook nog eens toe hun smartphone eens of vaker te zijn kwijtgeraakt.
Het meest doeltreffende recept voor de beveiliging van mobiele apparatuur telt vier ingrediënten: moeilijk te kraken wachtwoorden, data encryptie, patching en gebruikerseducatie. De mogelijkheid om mobiele apparaten centraal te beheren en op afstand te lokaliseren, te blokkeren en te wissen, is essentieel.
Cloud computing
Ook cloud computing stelt IT-afdelingen voor grote uitdagingen. Het kan belangrijke voordelen opleveren, zoals schaalbaarheid, flexibiliteit en besparing, maar er kleven enkele belangrijke risico’s aan.
Een van de privacyaspecten heeft te maken met de Amerikaanse Patriot Act. Veel Europese klanten van Amerikaanse cloudleveranciers beseffen niet dat hun data kunnen worden opgevraagd door de autoriteiten in de VS, als deze daartoe aanleiding zien. Dat geldt zelfs als de gegevens zijn opgeslagen op systemen die zich fysiek in de EU bevinden.
Daarnaast is ook beveiliging cruciaal bij cloud computing. Er zijn spraakmakende voorbeelden waarbij clouddiensten ten prooi vielen aan hackers. Een dataopslagservice als Dropbox, die binnen veel bedrijven al ’common practice’ is, kan een potentieel gevaar vormen.
Belangrijke advies is om data die in de cloud worden opgeslagen, automatisch te versleutelen. Hierdoor ligt de verantwoordelijkheid voor encryptie niet bij individuele gebruikers. Zorg wel dat de sleutels voor en- en decryptie binnen de organisatie blijven.
Sociale media
Een andere uitdaging voor de IT-afdeling vormen sociale media. Deze bieden cybercriminelen legio mogelijkheden om organisaties aan te vallen. Door zwakke wachtwoorden kunnen accounts gemakkelijk worden gekaapt.
Gebruikers van sociale media moeten zich bewust worden van het belang van sterke wachtwoorden die moeilijk te kraken zijn. Daarnaast ligt er een taak om gebruikers te attenderen op de gevaren die het klikken op links en advertenties en het downloaden van apps met zich meebrengen.
Criminele netwerken
Cybercriminelen maken dankbaar gebruik van de beveiligingslekken die vaak ontstaan bij de opkomst van nieuwe technologie. Ze gaan daarbij steeds professioneler te werk. We hebben te maken met internationale, commerciële criminele netwerken die innovatieve tools ontwikkelen en wereldwijd verspreiden. Inmiddels is een derde van alle malware voor 700 tot 2000 dollar online te koop.
We zullen de komende jaren dan ook een grote toename zien van uiterst geavanceerde aanvallen. Het is daarom van cruciaal belang dat organisaties zich van alle gevaren bewust zijn en preventieve maatregelen nemen.
Handen ineenslaan
Om de cyberrisico’s het hoofd te bieden, moeten IT en business dus de handen ineenslaan. Een reële inschatting van de risico’s, het optuigen van een gecentraliseerde beveiligingssysteem en bewustwording bij de medewerkers zijn daarbij de kernpunten.
