Deze blog bestaat uit drie delen. Onderstaand vindt u de links naar de andere blogs.
Stel de goede vragen over Beveiliging
Ik onderscheid grofweg 5 disciplines die handig zijn om te begrijpen in relatie tot het onderwerp:
1. Identity & Access Management: alles rond gebruikersauthenticatie en toegang.
2. Data Security: alles rond encryptie en classificatie van data.
3. Security Operations: alles mbt detectie.
4. Network Security: alles rond de beveiliging van je netwerk.
5. Application Security: zijn de applicaties die je gebruikt (of schrijft) hackerproof.
Het kan complexer, maar als je dit als CEO weet dan ben je al een hele vent. Vroeger hoefde je niets van dit alles te weten. Maar met al die wetgeving en boetes kan je het maar beter wel begrijpen. Tot 20 meloen of 4% van je jaaromzet. En als het misloopt gaat je kop er af. IT is een hoofdzaak. Maar niet alleen maar als risico hoor. Veel meer als businesskans, benutten van nieuwe technologie enzo. Maar in dit blog gaat het over security.
Nog even een kleine disclaimer voor onze techneutenvriendjes, deze categorieën zijn niet los van elkaar te zien (vooral 4 niet), maar mensen hebben nu eenmaal behoefte aan hokjes. En zie ook de elegantie van een kader om eens goed over een onderwerp na te kunnen denken.
Alle vijf moeten goed geregeld zijn. Ziedaar de conclusie. Makkelijk gezegd, maar bijna nooit goed geregeld.
Maar nu eerst even een stapje terug. Je leidt een bedrijf en je weet dat het verschil tussen succes en teloorgang tegenwoordig bepaald wordt door technologie. Iedereen schreeuwt over de cloud, big data mogelijkheden en de AVG. Je ict beheerder wil niet naar de cloud of juist wel. Wat is wijsheid?
Met betrekking tot veiligheid, maakt het voor een hacker uit waar jouw data staat? Uit technisch oogpunt niet. Wat je wel moet doen is: je beveiliging goed regelen ongeacht waar je spul staat. Waar je data staat dat bepaalt maar 1 ding en dat is de jurisdictie. Staat het in Nederland, dan kan onder Nederlandse wetgeving vervolgd worden.
Maar het Nederlands recht zegt niet iedereen iets hoor. Aan de andere kant van de plas, bijvoorbeeld, behoudt men zich het recht voor om elk bedrijf (dochterondernemingen incluis) te dwingen om informatie af te staan, ongeacht waar die data zich bevindt. Althans, dat is hun mening. De processen hierover lopen. Maar bedenk verder dat ook de identiteit van een hacker achterhalen niet voor iedereen is weggelegd. Ook al in dat opzicht is Nederlandse jurisdictie minder interessant dan het klinkt. Wat je beter kunt onthouden is dat de meeste datalekken ontstaan door je eigen medewerkers. Zorg dus dat je IT controle heeft over de toegang tot je data, en dat zij die kunnen wissen op afstand.
Als je een Microsofthuis bent dan raad ik Enterprise Mobility Suite + Security met alle toeters en bellen aan. Daarmee kun je alle O365 bestanden op afstand volgen en wissen. Uitzonderlijk mooie tooling, waarmee je je risico met betrekking tot datalekken kunt beheersen.
Bovendien kun je eens een vraag stellen over data versleuteling. Hardeschijfencryptie bijvoorbeeld, dat is een standaardfunctionaliteit van Microsoft. Bitlocker Drive Encryption. Tsja, je moet ergens beginnen.
Er bestaan ook oplossingen die helemaal gericht zijn op het versleutelen van je data. Je hebt data-in-motion encryptie, dat is de versleuteling van data die in beweging is, bijvoorbeeld de https verbinding van je internetbankieren website. Of de data die in gebruik is op een server door een interne gebruiker… En je hebt versleuteling van data-at-rest, de hardeschijfencryptie waar ik hierboven over schreef is daar een voorbeeld van.
Er bestaat ook software voor gedeeltelijke versleuteling, bv. het onzichtbaar maken van tot gebruikers herleidbare gegevens in locatiegegevens van de mobiele telefoon. TomTom HD Traffic werkt zo via een contract met Vodafone dacht ik, geanonimiseerde locatiegegevens van mobiele gebruikers. Of denk aan het onzichtbaar maken van creditcardgegevens voor interne medewerkers.
Er bestaat ook software die je bestaande data scant op zoek naar informatie die tot personen is te herleiden, en deze vervolgens maskeert. Bijvoorbeeld Azure Information Protection, maar ook vele andere applicaties. Allemaal Data Security oplossingen. Versleuteling en ontsleuteling van data kost processorkracht. Dat is altijd een bottleneck bij het breed invoeren. Maar het is toch verstandig
Met betrekking tot Security Operations moet je denken aan software die oplet of er ingebroken wordt in je netwerk. Zeg maar van je virusscanner tot en met ‘user behavior analysis’. Grote clubs hebben hun eigen SOC (Security Operations Center) waarin analisten zitten die alles in de gaten houden met behulp van software voor dit doel. Belangrijke vuistregel voor de tools die je inzet, is dat je ervan uitgaat dat er ingebroken is. De stelling dat de kasteelgracht diep zat is voor inbrekers is niet meer van deze tijd maar komt nog wel veel voor.
Binnen Identity en Access Management zijn de laatste jaren goede stappen gezet, met tweestapsverificatie als extra zekerheid. Dan weet je vrij zeker dat het de persoon in kwestie is die inlogt op je netwerk. Gewoon doen, dat is een slimme maatregel. Laat je it het combineren met Single Sign On (SSO), dan hoef je het maar 1 keer te doen dus niet voor elke applicatie opnieuw.
Je hoort ook nog wel eens dat mensen denken dat wanneer het hele zwikkie in de cloud staat, dat er dan meer mensen bij kunnen. Dat argument klopt niet. In je eigen netwerk on premise zit net zo goed een gateway naar het grote (boze) wereld wijde webs, configureert men een firewall enzovoorts. Het is wennen als je netwerk- en firewallconfiguratie zonder het kastje en de kabel plaatsvindt. Exact hetzelfde als in de cloud is het niet, maar veel meer hetzelfde dan je denkt is het wel.
Met betrekking tot de Europese General Data Protection Regulation of de Algemene Verordening Gegevensbescherming is mijn advies om de weerbaarheid van je organisatie te testen op uitkomsten. Stel vragen over het proces en laat een paar uitkomsten testen.
Dit blog is eerder geplaatst op LinkedIn
0 reacties