Cybersecurity is belangrijk voor alle medewerkers binnen een organisatie. Maar welke stappen kunnen ict’ers maken om de strijd tegen hackers te winnen? Deze vraag werd de security-experts van Computable voorgelegd. Zij komen tot zes tips.
1. Integrale benadering
‘Medewerkers wanen zich vaak veilig achter hoogstaande technologie, maar er bestaat geen oplossing die 100 procent veiligheid biedt. Het is een misvatting cybersecurity enkel als een technische uitdaging te zien’, meent Gerard Stroeve, manager security en continuity services bij Centric. ‘Technische maatregelen zijn essentieel, maar een succesvolle aanpak bestaat uit een integrale benadering, waarbij ook de organisatorische aspecten en de menselijke factor aandacht krijgen.’
Stroeve maakt de vergelijking met het vangen van muizen op zolder. ‘Kwalitatief goede muizenvallen, met het juiste lokvoer en strategisch gepositioneerd, zijn absoluut belangrijk. Dat zijn de technische maatregelen bij security. Het afdichten van de kieren in de muren, het voorkomen dat voedselresten blijven slingeren en het periodiek legen van de vallen zijn echter minstens zo cruciaal.’
Dennie Spreeuwenberg, eigenaar van NextTech Security, vult aan dat security een multidisciplinaire taak is van het bestuur, de ict-afdeling en de medewerkers van de organisatie. ‘Alleen wanneer de combinatie tussen deze drie werkvelden goed georganiseerd is, kun je een organisatie maximaal tegen cybercrime wapenen. Het bestuur zorgt voor een beleid, de ict-afdeling voor de juiste technische maatregelen en de medewerkers bepalen hoe ze hier mee om gaan.’
2. Draaiboek
Cybersecurity is dus een zaak van de hele organisatie en alle medewerkers dienen zich bewust te zijn van de risico’s en gevaren. Een volgende stap is om adequaat te kunnen reageren, vertelt André Zegers, consultant bij Grabowsky. ‘Als een organisatie is gehackt, heeft ontkennen geen zin. Er moet juist een focus uitgaan naar een goede afhandeling van de cyberaanval. Zorg daarom voor een draaiboek waarin staat hoe de organisatie moet handelen in het geval van een hack. Zorg ook dat dit draaiboek daadwerkelijk wordt nageleefd.’
3. Tests en audits
Bedrijven moeten doorlopend audits en tests doen, vertelt Dave Maasland, managing director bij Eset Nederland. Als voorbeeld noemt hij een penetratietest. ‘Dit maakt inzichtelijk hoe gemakkelijk iemand bij je kroonjuwelen komt. Voer de aanbevelingen door en maak periodiek verbeteringen. Dan ben je nog altijd kwetsbaar, maar wel weerbaar en een minder gewild doelwit!’
Tijdens de ontwikkeling van software adviseert Ruud Poels, manager communications bij SQS Benelux, het Open Software Assurance Maturity Model (OpenSAMM) te gebruiken. ‘Dat kader helpt organisaties bij het formuleren en implementeren van een strategie voor softwarebeveiliging. Wanneer software of een applicatie af is, is het slim om de beveiliging te laten controleren door een onafhankelijke partij voordat de applicatie live komt.’
Sjon Post, programmamanager bij Computrain, voegt er aan toe dat deze testen niet beperkt moeten worden tot enkel het netwerk, een nieuwe applicatie of de techniek. ‘Denk ook aan mystery guests die gebouwen proberen binnen te komen of de bureaus en papierbakken waar data van gebruikers kan rondslingeren.’
4. Mindset van een hacker
Organisaties moeten leren denken als een cybercrimineel. ‘Zo maak je beveiliging proactief in plaats van reactief’, vertelt Christiaan Ottow, cto bij Computest. ‘Verplaats je in de wereld van de hacker en maak die manier van denken eigen. Dit kan bijvoorbeeld door deel te nemen aan hacking challenges of Capture the Flag (CTF)-games te spelen. Het ook goed om te beseffen wat de motieven van hackers zijn en welke middelen ze daarvoor inzetten. Je moet je verplaatsen in de belevingswereld van je tegenstander en vanuit hem redeneren wat een logische stap zou zijn. In cybersecurity heet dit threat modeling. Je brengt in kaart welke bedreigingen voor je organisatie relevant zijn en je handelt daar vervolgens naar.’
5. Opbreken in stukjes
‘Je kunt niet alle hackers in één keer tegenhouden. Er bestaat namelijk geen oplossing die antwoord biedt op alle mogelijke dreigingen’, vervolgt Ottow. ‘Identificeer de mogelijke bedreigingen en breek dit op in stukjes. Adresseer deze één voor één. Dat betekent soms een investering in bijvoorbeeld producten of diensten, soms een awareness-programma binnen de organisatie en soms gewoon een kleine proceswijziging die je meer voordelen brengt dan alleen security.’
6. Overkoepelend beveiligingsbeheer
Cybercriminelen ontwikkelen steeds meer kwaadaardige software voor zowel de desktop als een mobiel device. Daarom valt er volgens Michael Flossman, security-onderzoeker bij Lookout, veel winst te halen uit een gedegen byod-beleid. ‘Bedrijven moeten beschikken over een overkoepelend beveiligingsbeheer om de volledige omgeving te controleren. De securityoplossing moet zowel de desktop als mobiele apparaten monitoren om zo alle mogelijke gevaren inzichtelijk te maken. Je creëert meer zichtbaarheid en kunt naar oplossingen zoeken voor exploits op mobiele apparatuur die nu vaak nog onopgemerkt blijven. Wat je niet ziet kun je tenslotte ook niet bestrijden.’
Veel zaken zijn genoemd, toch zou ik nog wel wat aanvullingen willen doen.
Zo wordt de mens wel impliciet genoemd, maar zou ik hier een veel grotere nadruk op willen leggen als het gaat om security, zo verbaas ik me erover dat er nergens een gemakkelijke online cursus is (liefst gratis en met een zo laag mogelijke drempel) waarheen in mijn medewerkers kan sturen zodat ze leren dat:
– Je voor ieder account een ander wachtwoord gebruikt
– Je hier het best een password manager kan gebruiken
– Wat zijn phishing mails en hoe herken ik deze? (WannaCry gebruikte besmette bijlagen om binnen te komen)
– Hoe biedt ik weerstand aan social engineering (en vissen naar gegevens via websites)
– Hoe zie ik of een website de basis veiligheid op orde heeft en dat ik werkelijk op de website zit die waar je verwachtte op te zitten.
– Waarom is het een slecht idee om te kijken wat er op een gebonden USB stick staat?
– Gebruik de webbrowser als e-mail client, het liefst van een grote provider.
Etc.
Want als medewerkers dit in de vingers hebben, dan is er al een hele wereld gewonnen.
Wat ik ook niet lees is logging en het automatisch doorlopend analyseren van deze logging met alerts ofwel Intrusion Detection Systemen (IDS) één van de belangrijkste middelen is om te zien OF je een data breach hebt.
Maar goed, het kan ook allemaal niet in een kort artikel met een paar quotes. Toch wilde ik het even delen.
Ik zucht maar weer eens. Prachtig commercieel riedeltje voor de eigen buhne. Nergens lees ik,:
‘Gij is en blijft verantwoordelijke E2E, voor hetgeen u produceert en oplevert. ‘
Er is een eenvoudige IT keten, er is een eenvoudig E2E proces, voor elke discipline, in elk echelon in en rond IT. Voor zowel de producenten, gebruikers, ondersteuners. Wat schetst na jaren van toenemende cybercrime nog steeds mijn verbazing, dat heel veel ‘aapjes’ , met alle respekt, enorm bedreven zijn in hun trucje, maar wanneer je het hebt over basale ketenkennis, zijn ze vaak ‘L.O.S.T.’
U hoeft niet te denken als een crimineel. Het is wel handig dat je begrijpt dat wanneer je een produkt of dienst op of aanlevert, waar je niet verder hebt gekeken naar de werking, uitgebreid testen, het laten testen, de implementatieprocessen, het gebruik, dat je dan weet dat er mensen zijn die dat maar wat graag voor jou doen.
Als dit gegeven geen ‘eye opener’ voor u is, ben ik bijna geneigd te zeggen, dan heeft u in de IT niet zoveel te zoeken. U wordt dan een liability, voor uzelf, voor uw klant. En zoals ik wel vaker zeg, men is altijd één stap te laat. Want wat een professional kan en behoort te doen, doet dan graag een ander voor je.
Nadeel, die ander komt het vaak niet vertellen. En byod …. is als het open laten van je achterdeur.
Nou nou Rene, zo commercieel is het ook weer niet en jouw aanvullingen met die van Henri zijn prima.
Ik denk dat het lijstje zo kan worden opgepakt en er een begin mee gemaakt wordt. Vooral de hele keten in stukjes op delen. Ik zie vaak organisaties tegen een olifant aan kijken bij dit onderwerp. Overigens is cybercriminaliteit een organisatie breed vraagstuk, niet alleen een IT feestje. En byod is een fact of life, je kunt wel zeggen, dat mag niet, maar die tijd is voorbij…..
@ Atilla :O)
In telegram stijl dan maar, bijna weekend.
Enige doel IT implementeren = WINST (maximaliseren) door automatiseren (gecontroleerd autonoom te laten verlopen) (Meer productie-minder energie/inzet)
Elke stap in en met IT, alle disciplines/echelons/proces/procedure 100% afhankelijk van vooraf volkomen gedefinieerde waarde
Geen volkomen gedefinieerde waarde? = Heel veel hele hoge rekeningen
Geen sluitende IT keten? = Heel veel hele hoge rekeningen
Omissie/hiaten in IT productie/proces/procedure = Heel veel hele hoge rekeningen
Foute IT implementatie = Heel veel hele hoge rekeningen
Inbreuk op lopende proces/procedure = Heel veel hele hoge rekeningen
Less is more. Byod en noodzakelijke ondersteuning/beveiliging, kosten onderhoud en implementatie? = Heel veel hele hoge rekeningen
Hiaten in produkt/proces/procedure = option cybercriminelen = Heel veel hele hoge rekeningen (+naam en reputatieschade)
Geen Ownership in IT? = Heel veel hele hoge rekeningen
Geen sluitende E2E procedure? = Heel veel hoge rekeningen.
Ergo, IT processen, procedures niet op orde? = Heel veel hele hoge rekeningen
Print het uit hang het op elk toilet wat je tegen komt. Het is namelijk standaard voor elke organisatievorm, kleur en grootte.
Heel veel hele hoge rekeningen? 100% zekerheid van omissie/hiaten in processen en procedures.
Het maakt mij werkelijk niet uit wat een ander hiervan denkt. Werkelijk niet….
Ik hoef namelijk al die overbodige rekeningen niet te betalen.
Njoy your weekend. ;O)
@Rene Civile:
Laten we vooral blijven hameren op verantwoordelijkheid en aansprakelijkheid – dat gaat echt wel helpen!?
In veel organisaties is het al zo dat je kop eraf gaat als je het lef hebt die boven het maaiveld uit te laten steken; met name als je zoiets doet als ervaringsdeskundoloog.
Het begint met een “preek” van een manager dat het zaak is om als team te blijven acteren.
Als dat niet het gewenste resultaat heeft gaat het (min-of-meer) vanzelf over in verborgen dreigementen zoals een slechte beoordeling, ontnemen van promotiekansen en uiteindelijk ontslag wegens niet functioneren in het team (lees: er is altijd wel een stok te vinden…).
En tot slot over “Ik hoef namelijk al die overbodige rekeningen niet te betalen.”:
Lekker naïef – indirect betaal je toch! De hoge(re) kosten vertalen zich terug naar een duurder product of dienst. En of je wil of niet – ook jij draagt daar je steentje aan bij – al was het maar in de vorm van hogere belastingen, hogere premies voor je ziektekostenverzekering en hogere nuts-tarieven.
Kortom Rene – misschien toch eens kijken naar wat jouw bijdrage hierin kan zijn? Versus steeds maar weer roepen dat het toch niet jouw probleem is omdat je die hoge(re) rekeningen niet hoeft te betalen?
😉
Beste Will,
Allereerst, ik weet dat ook telkens weer te valideren en te substantiëren dat het a: niet mijn probleem is en b: ik de rekening niet betaal. Ik acteer voor en namens een opdrachtgever met een helder doel. Uitgaven beperken, winst genereren/maximaliseren. Het gaat verder niet zo aan of ze mij nu wel of niet leuk/lief/aardig vinden. Ik ben a-politiek en a- commercieel.
Voor elke zg duurder wordende dienst of product staat weer een goedkopere versie/variant. Tenminste, dat is mijn ervaring en kan dat niet in Nederland dan gaan we tegenwoordig heel eenvoudig de grens over.
Maaiveld
Dat ‘maaiveld’ waar iedereen het telkens weer over heeft werkelijk zou bestaan, had mijn hoofd er al vele malen af moeten liggen. Ik denk niet in een maaiveld maar in toevoegende waarde. Als ik dat niet zie/voel/proef zal ik ook niet acteren voor de betreffende organisatie. Er moet een chemie zijn en daar hoort gewoon heldere taal en aanpakken bij.
Verantwoordelijkheid en accountabillity
Daarmee ben ik opgegroeid en was niet van plan daar iets in te veranderen. Ik heb daar in de praktijk a.i. nooit last van gehad. Ik kan dus erg weinig met die weinig zeggende beoordelingsgesprekken omdat ik die niet hou. Ik kijk naar toe en inpasbaar en toevoegende waarde van Talent. Ik heb geen weken nodig Talent te hoeven beoordelen. Dat doe je namelijk voor dat die over de drempel stapt.
Processen en het geven/nemen van verantwoordelijkheid
Het is zeer eenvoudig. Op het moment dat de goegemeente bibberend de mondjes dicht houden uit angst ontslagen te worden zegt mij dat meer over de betreffende(n) dan mensen die gewoon, met gezond verstand, opstaan en verantwoordelijkheid durven nemen. Ik ken maar bijzonder weinig mensen die hiervoor worden/werden ontslagen. Sorry.
Sterker, als je hier even na wil denken, een hoger niveau van productiviteit en kwaliteit bereiken door gewoon enkele procesmatige aanpassingen die gratis zijn niet aantrekkelijk? Zegt meer over de betreffende organisatie dan over mij. Je kunt een organisatie nu eenmaal niets door de strot duwen maar wel op heldere wijze toevoegende waarde en toename van…. inzichtelijk maken. Ook daarin is IT een zeer mooi vehikel.
Zaken zijn zelden persoonlijk en IT is en niet politiek en niet commercieel. Hoe graag men dat als materie of excuus ook proberen te maken. Ja, ik weet het, voor een bepaald product en dienst moet je doorgaans ‘iets’ betalen. Het leuke van IT is dan weer dat je heel goed kunt berekenen of de investering al of niet zinvol is.
Overigens, ik betaal in Nederland geen stuiver belasting. Dat om zeer persoonlijke reden. Dus ook daar heb ik voorts nergens mee te maken. Had ik je al vertel dat ik uit persoonlijk oogpunt ook nooit zal acteren voor (semi)overheden? Laat ik aan jou het raden waarom dat nu toch zou zijn.
Als je zoals René aangeeft opstelt en je wel degelijk je bek opentrekt als er security in het geding is dat je al snel als ‘Pietje Paranoia’ wordt aangeduid als binnen die organisatie het management het nut van goede security als een kostenpost ziet ipv een primair aspect. Dit was overigens bij een verzekeringsmaatschappij die nog duidelijk in de vorige eeuw was blijven steken qua IT.
Security is duur en het levert niets op zingt nog steeds teveel rond in de hoofden van het (midden) management en die mentaliteit zal er toch uit moeten.
@Johan
Met jou kan ik praten. ;O) Security is gewoon een integraal onderdeel van en voor elke IT professional en in mijn beleving behoor je ook daar als professional gewoon genoeg aan te doen binnen je eigen niveau en discipline.
Ik bezie het meer organisatorisch namelijk dat security een zaak van een hele organisatie is waar IT gewoon een strategisch onderdeel van uit maakt. Niet zo moeilijk toch?
@Rene
Je visie en de manier waarop je die hier etaleert in je reacties zijn in mijn optiek wel degelijk politiek en commercieel te noemen. Met je aanpak verdien je immers je boterham en dus maakt je dat commercieel!
Je houding is politiek gezien de makkelijkste: puur rationeel en zonder enige emotie waardoor je nooit met iemand om tafel hoeft om een compromis te sluiten. Maar het blijft een vorm van politiek bedrijven!
Specifiek over a-politiek:
Dat je weinig mensen kent die ontslagen werden omdat ze vakinhoudelijk hun rug recht hielden, dat wil ik wel van je aannemen. Ik verwacht dat de meesten al weg zijn voordat er sprake is van een mogelijk ontslag.
Idem voor het aspect “maaiveld” en de overheid: als je het vermoeden hebt dat je met je visie en aanpak geen voet-aan-de-trapper krijgt en/of dat je in de problemen kunt komen, dan draai je je om en loop je weg?!
Met deze twee punten als context: als je die situaties niet of nauwelijks bent tegengekomen, dan wil dat toch niet zeggen dat ze er niet zijn?! Of is dit nou een typerend voorbeeld van iets wat ze struisvogelpolitiek noemen?
;o)
Over toegevoegde waarde en zinvolle investeringen:
Ik ga met je mee in je zienswijze dat de voordelen bij de invoering van IT gerelateerde producten en diensten terug te vertalen moet zijn naar Euro’s.
Bij het kwantificeren van deze Euro’s zullen er altijd 2 soorten zijn – de harde- en de zachte Euro’s. De harde gaan over directe (loon?)kosten die inderdaad niet meer gemaakt worden.
Maar wat doe je met de zachte kant van de zaak? Je weet wel, de aspecten waarvan je aanvoelt dat ze wel financieel voordeel gaan brengen? Maar waarvan de hoogte moeilijk is in te schatten terwijl ze wel significant kunnen zijn?
Tot slot over geen stuiver belasting betalen:
Ik ken je persoonlijk situatie niet; laat staan de bijbehorende fiscale spelregels.
Aan de andere kant… ik kan me moeilijk voorstellen dat jouw persoonlijke situatie en het Nederlandse fiscale stelsel rondom zaken als BTW, accijnzen, loonbelasting, sociale lasten, assurantiebelasting en wat al niet meer, dat die jou inderdaad geen stuiver kosten…?
🙂
@Rene
wie geen stuiver belasting betaalt wil geen deel van de maatschappij zijn, ontloopt zijn verantwoordelijkheid en hoort dus niet in die maatschappij.