From top to bottom: alle neuzen dezelfde security-kant op!

Data (en met name het gebruik ervan) is goud waard. Maar wat als je slachtoffer dreigt te worden van ransomware, er onbewust een datalek plaatsvindt, of je gewoon kriegel wordt van het gevaar van ongewenst dataverlies dat dagelijks op de bedrijfsdeur bonst?

Het begint allemaal bij de kennis van de data die je ‘in huis’ hebt. Drie vragen zijn daarbij essentieel: hoe krijg je data in je bedrijfsomgeving, wat doe je er vervolgens mee en hoe verlaat deze data je omgeving?

Om bij de eerste vraag te beginnen: wat voor data dient zich aan bij je bedrijf? Wie is de afzender: een partner met wie je al jaren zakendoet en te vertrouwen is, of is het een onbekende c.q. anonieme persoon? Dit geeft al aan hoe vertrouwelijk die informatie kan zijn. En op wat voor point of contact wil data je bedrijf binnenkomen? ‘Gewoon’ via de mail, of toch via een weblink, downloadlink of tikt iemand de data hoogstpersoonlijk over?

Vervolgens is het essentieel wat je met de binnengekomen informatie doet en wie er bijvoorbeeld bij mag en deze informatie kan wijzigen of zelfs verwijderen. Waar sla je bijvoorbeeld informatie op als je in de medische branche actief bent? Bewaar je het eerst op de grote hoop voordat je het gaat classificeren of verdwijnt het meteen in versleutelde mapjes op de bedrijfsserver (of niet)?

De derde vraag is zeker niet de minst belangrijkste: duidelijk moet zijn hoe deze opgeslagen data te benaderen is of welke erg gevoelig is voor inbreuk. Er zijn genoeg voorbeelden van sites die gevoelig zijn voor SQL injections waarvan de gevolgen desastreus kunnen zijn. Om nog maar te zwijgen van CMS-systemen die gaten bevatten en hierdoor gefundenes Fressen voor hackers zijn.

Het is bijna logisch om ervan uit te gaan dat de IT-afdeling verantwoordelijk is voor het veilig reilen en zeilen van de IT-omgeving, toch?

Ik hoop uiteraard van niet, maar er zal mogelijk een aantal mensen zijn dat zich na het lezen van het bovenstaande oprecht afvraagt of een dergelijk scenario ook op zijn organisatie van toepassing is. Het is bijna logisch om ervan uit te gaan dat de IT-afdeling verantwoordelijk is voor het veilig reilen en zeilen van de IT-omgeving, toch?

Beleid nodig

First things first: de noodzaak voor security dient in het beleid van de organisatie vastgelegd te worden. Het spreekt voor zich dat securitymensen deze noodzaak inzien, maar de directie/bestuur moet dit zich ook realiseren. En dat is niet altijd het geval; security is in de ogen van de directie vaak een overbodige luxe met een te hoog prijskaartje. Een CISO staat meestal in contact met een der directieleden die vervolgens de rest van de directie op de hoogte brengt.

Kortom: de broodnodige securitymaatregelen bereiken op zwaar gefilterde wijze de top van een organisatie. Hun enige motto – “produceren, produceren en produceren” – weegt vele malen zwaarder dan een ‘bijzaak’ als databeveiliging. Maar als je een vrachtwagen hebt zonder goede veiligheidsgordel kamp je als bedrijf toch echt met een probleem (even los van de vracht achterin en de veiligheid van de chauffeur voorin). En neem het van mij aan: een datalek kan er eigenhandig voor zorgen dat je bedrijf failliet gaat.

Een goede directie luistert dus goed naar zijn CISO en stemt (in overleg) het bedrijfsbeleid hierop af. Is dat beleid eenmaal gemaakt, zul je iedereen – van directie tot de medewerkers – in de organisatie moeten meekrijgen in dit security awareness-traject.

Een goede directie luistert goed naar zijn CISO en stemt (in overleg) het bedrijfsbeleid hierop af.

Veel bedrijven hebben in de afgelopen periode al veel over een veiliger bedrijfs- c.q. werkomgeving nagedacht en hebben de stap naar de cloud gemaakt. Ook al is de cloud een verademing en voelt het als een schaar in een pak koffie, toch heeft de cloud ook zijn zwakheden. Daarom is het voor iedere directie goed te weten hoe het met de veiligheid van de cloud staat. Een Cloud Security Posture Management-scan is makkelijk te maken (Sophos Optix kan dit bijvoorbeeld, maar er zijn meerdere opties) en geeft in één klap aan hoe veilig je in de cloud acteert.

Ontzorgen

Maar net zoals het invullen van je IB-aangifte zijn er volksstammen die security liever uitbesteden aan professionals die de taal spreken en weten waar ze mee bezig zijn. Met betrekking tot security binnen een bedrijf is het geen overbodige luxe om een Managed Service Provider in de hand te nemen. ‘Ontzorgen’ mag dan een woord zijn dat je de laatste tijd te pas en te onpas hoort, en dat is niet verwonderlijk. Een MSP ontzorgt op vele fronten: zo zorgt hij niet alleen voor de security van (nieuwe) medewerkers, maar maakt hij ook nieuwe accounts aan, bepaalt wanneer een collega een VPN kan gebruiken en zorgt hij er tevens voor dat wanneer iemand een andere baan heeft alles netjes wordt afgemeld. Een beter ‘slot op de deur’ kan geen enkel bedrijf zich wensen, maar dat bedrijf moet dan wel van de noodzaak van een gedegen securitybeleid overtuigd zijn en ernaar handelen.

Ik realiseer mij dat door een verloren telefoon of laptop evengoed datalekken ontstaan, maar met de komst van de cloud is er wat dat betreft een serieuze concurrent bijgekomen. Daarom is het zaak om er alles aan te doen om de cloud zo goed mogelijk te beschermen teneinde donkere wolken (en daarmee gepaard gaande wolkbreuken) te voorkomen.

Dit is een ingezonden gastbijdrage van John Veldhuis, senior system consultant bij Sophos Nederland. Via deze link vind je meer informatie over de oplossingen van het bedrijf.