Bij veel organisaties is de ict-beveiliging op systeemniveau ingericht. Daardoor ontbreekt het vaak aan een bedrijfsbrede aanpak van beveiliging waarbij de bescherming van de strategische assets, zoals data, centraal staat. Wanneer organisaties hun ict-beveiliging op systeemniveau hebben georganiseerd, is de benadering meestal erg technisch of operationeel en gericht op de beveiliging van individuele systemen. Maar het draait juist om databeveiliging.
Over deze blogger
Martijn Sprengers MSc is werkzaam als IT Security Consultant bij KPMG IT Advisory. Hij studeerde af op het gebied van Computer Security en heeft meer dan 5 jaar relevante ervaring met IT-beveiliging. Hij is gespecialiseerd in de vele facetten van het beoordelen van IT-beveiliging: ethisch hacken, social engineering, penetratie testen, red teaming en IT-auditing. Klanten zijn onder meer grote bedrijven, zoals financiële instellingen, overheden en petrochemische organisaties. Onlangs heeft Martijn zich verder gespecialiseerd op het gebied van industriële IT-beveiliging (Industrial Control Systems), met een focus op nieuwe ontwikkelingen en bedreigingen.
Waar staat nu de data die echt belangrijk is voor de uitvoering van je bedrijfsstrategie? En hoe is die data verspreid over de applicaties, systemen en (netwerk)componenten. Dat zijn belangrijke vragen. We weten namelijk allemaal dat de gestructureerde databronnen, bijvoorbeeld de SAP-applicatie of Oracle-database, digitale kroonjuwelen bevatten.
Maar de vraag is juist wat er in de ongestructureerde databronnen staat, zoals mail van medewerkers, bedrijfsfolders en bestanden die online gedeeld worden via platformen als Sharepoint of cloud-diensten? En hoe zijn die gegevens eigenlijk beveiligd?
Steeds vaker hoef ik tijdens penetratietesten niet eens meer de gestructureerde databronnen aan te vallen, het infecteren van één medewerker die toegang heeft tot Sharepoint of gedeelde mappen is vaak genoeg om de kroonjuwelen te stelen. Dat patroon zie je ook terug in de digitale onderwereld.
Een populaire hackersgroep die op dit moment veel slachtoffers maakt is bijvoorbeeld FIN4. Zonder diep in het bedrijfsnetwerk door te dringen, kopiëren ze de mailbox van slachtoffers. Zo vangen ze allerlei informatie uit e-mailverkeer af, waaronder informatie over bijvoorbeeld aanstaande overnames. Die data wordt vervolgens op illegale online marktplaatsen verkocht of gebruikt om te handelen met voorkennis. Het gaat bijvoorbeeld om aanvallen op mensen die werken voor multinationals en financiële instellingen.
Wie moet de verantwoordelijkheid nemen?
Het management moet een belangrijke rol spelen om de aandacht te vestigen op beveiliging van bedrijfsgevoelige informatie. Het besef dat security niet de taak van één team of verantwoordelijke is, maar van iedereen, moet doordringen tot alle lagen van de organisatie. Daar komt bij dat bedrijven of organisaties zich vaak alleen op de dreigingen focussen en pas reageren als er grote incidenten plaatsvinden, zoals de Gemalto-hack of diefstal van gegevens over chauffeurs van taxi-dienst Uber. Door het focussen op dit principe van “Fear, Uncertainty and Doubt” (FUD) wordt security eerder symptoombestrijding.
Van dreigingen naar kansen
Hoe kun je die cyber-risico’s voor de belangrijkste data (assets) binnen de bedrijfsvoering dan beperken? Stel daartoe eerst vast wat je strategische bedrijfsdoelen zijn. Op basis daarvan kun je dan bepalen wat je belangrijkste data zijn en waar deze staan. Stel vragen als: ‘wat zouden de gevolgen zijn van het gebrek aan beveiligingsmaatregelen voor onze bedrijfsstrategie?’
Een voorbeeld: voor een zorgverzekeraar is een DDOS-aanval of ‘SQL-injection’ op een marketingwebsite natuurlijk vervelend, maar het hoeft nog niet te betekenen dat dan de strategische bedrijfsdoelen in gevaar zijn. Echter op het moment dat medische gegevens op grote schaal lekken is dat direct een nachtmerrie voor de betreffende zorgverzekeraar. Als dat één van je strategische risico’s is, kijk je dus met name hoe je die data beveiligd. Met name voor de “chief information security officer” (CISO) is hier een belangrijke rol weggelegd.
Die moet de vertaling kunnen maken tussen de wijzigende (externe) factoren zoals technologische omstandigheden, marktontwikkelingen, dreigingen, wet en regelgeving, enerzijds en wat deze veranderingen betekenen voor de daadwerkelijke impact op de bedrijfsstrategie en het informatiebeveiligingsbeleid anderzijds.
Maar let op de CISO is niet verantwoordelijk voor de implementatie van beveiliging in de organisatie. Dat is lijn-management, want beveiliging moet je juist integreren in de bedrijfsvoering waardoor het een regulier proces voor verbetering wordt. Vergelijk het met het sturen op ‘kwaliteit’. Dat is een verantwoordelijkheid voor de eerste lijn en niet voor ‘het kwaliteitsteam.’
Daarmee wordt beveiliging verankert in de basis van de bedrijfsvoering en biedt beveiliging geen symptoombestrijding van incidenten maar een degelijk fundament voor het veilig stellen van de bedrijfsvoering. Organisaties die kun klanten, stakeholders en medewerkers kunnen aantonen dat hun data goed beschermd is, hebben een competitief voordeel en een beter imago.
Wat een verrassend artikel. Zou graag eens contact opnemen.