Buzzwoorden zoals security by design, agile security integration, DevSecOps en nog vele anderen, vliegen tegenwoordig over de ceo, cfo, cto, cisp en dpo board tafel. En terecht. Want security – het beveiligen van de bedrijfsmiddelen – hoort gewoon een integraal onderdeel te zijn van elk (kritiek) bedrijfsproces.
Maar net zoals we op de tv-spotjes kunnen zien dat je de voordeur van je huis op slot moet doen, een lamp aan moet laten en ramen dicht moet doen als je je huis verlaat – ook voor heel eventjes – om insluipers of inbrekers te weren of het moeilijk te maken om spullen mee te nemen wordt vergeten dat de voordeursleutel nog steeds onder de deurmat ligt.
Het blijft mij verbazen dat ik in mijn dagelijkse werk nog steeds zaken tegenkom die met goed nadenken gewoon voorkomen of goed geregeld kunnen worden.
Verwijderen niet voldoende
Wanneer personeelszaken adviseert dat een medewerker het bedrijf moet verlaten, is het belangrijk om meer te doen dan simpelweg het account van de persoon te verwijderen uit de active directory. Tegenwoordig hebben gebruikers meerdere (verschillende) cloudservice accounts voor functies zoals payrolling, urenregistratie, reizen, workflow, customer relation management en projectbeheer. Omdat deze accounts zich in de cloud bevinden, is het veel gemakkelijker voor een medewerker die het bedrijf heeft verlaten om toegang te krijgen tot het account.
Een internet connectie is voldoende. Het is dan ook belangrijk om alle accounts van vertrekkende medewerkers te verwijderen. Een goed identity & access management-systeem – en dat kan ook een cloud service zijn – gekoppeld aan de hr-bedrijfsprocessen kan hierin een goede ondersteuning bieden.
Dreigingen van binnenuit
Bedrijven richten hun beveiligingsinspanningen vooral op externe bedreigingen zoals cybercriminelen en ‘schurkenstaten’ (die hun inlichtingendienst ook inzetten voor bedrijfsspionage) maar de dreiging van insiders verdient net zo veel aandacht. Forrester Research ontdekte dat 58 procent van de wereldwijde ondernemingen in de afgelopen twaalf maanden ten minste één inbraak van buitenaf heeft ervaren. 50 procent van diezelfde groep geeft aan ten minste één intern incident te hebben gehad.
Data loss prevention-software kan helpen met datalekken in de organisatie, maar vergeet ook niet om aandacht te besteden aan het gedrag van medewerkers. Kijk eens naar de tevredenheid van werknemers. Ontevreden medewerkers kunnen geneigd zijn gegevens te stelen en door te spelen aan de concurrent.
Controle over ‘schaduw it’
Schaduw it is de laatste jaren een veelbesproken onderwerp geworden, en terecht. Het blijft een serieus probleem voor it-afdelingen. Gartner voorspelt zelfs dat 38 procent van de it-aankopen in 2018 door leidinggevenden uit de line-of-business zal worden gedaan. Clouddiensten afnemen door middel van een simpele ‘swipe’ met de creditcard is heel eenvoudig. Door de it- of security-afdeling hier niet bij te betrekken hoeft er geen verantwoording te worden afgelegd en zijn de doorlooptijden kort. Maar hierdoor blijven it- en beveiligingsanalisten zich op hun hoofd krabben over hoe de organisatie te beveiligen.
Als je niet weet dat iets bestaat kun je het ook niet beveiligen. Om hier grip op te krijgen, is voorlichting aan- en bewustmaking van business line managers door mensen die bekwaam zijn in het uitleggen van de technische uitdagingen – en de bijbehorende business risico’s – een absolute noodzaak.
Supply chain-security
Beveiligingsprofessionals zijn zo gefocust op de eigen verantwoordelijkheid binnen hun vakgebied in de onderneming dat ze het overzicht – the bigger picture – uit het oog verliezen. Isaca, ISsc2en andere beveiligingsgroepen adviseren beveiligingsanalisten om een meer holistisch beeld te krijgen van de mogelijke risico’s. Denk hierbij aan aandacht voor de security maatregelen van serviceproviders, andere derde partijen en verschillende leveranciers.
Veel bedrijven voeren nu beveiligingscontroles uit op hun leveranciers met behulp van tools zoals BitSight, QuadMetrics en SecurityScorecard om de risico’s van de gehele supply chain in kaart te brengen- en daar waar nodig additionele maatregelen te nemen. Met name door de in werking tredende GDPR op 28 mei aanstaande zal een nadere risico analyse nodig blijken te zijn op de verwerking van (persoonlijke) data door leveranciers.
Bug bounty-programma’s
Beveiligingsexperts praten altijd over integratie van beveiliging in het proces van codeontwikkeling zoals DevSecOps of agile (security) development, maar wanneer organisaties een stapje terug doen en kijken naar wat dit echt kost, blijkt het heel moeilijk of kostbaar om te doen. Om te beginnen is het voor ontwikkelaars belangrijk om op deze manier te leren werken – en dus zijn er (dure) trainingen nodig om deze manier (DevSecOps of agile security development) van werken aan te leren.
Binnen de DevOps-toolketen zijn beveiligingssleutels (certificaten) of wachtwoorden nodig om hedendaagse moderne applicaties te bouwen. Tegen de algemene beveiligingsstandaarden in worden deze vaak rechtstreeks ingebed in code- of configuratiebestanden zoals Ansible Playbooks. Wanneer deze hulpmiddelen of bestanden in gevaar worden gebracht, worden de beveiligingssleutels (certificaten) of wachtwoorden en de toegang die ze bieden ook aangetast, waardoor organisaties zowel groot als klein, kwetsbaar worden voor een aanval.
Sommige bedrijven hebben zich tot bugbountybedrijven zoals HackerOne en Bugcrowd gewend om kwetsbaarheidstests uit te voeren op producten in ontwikkeling. Het is misschien niet perfect, maar het geeft bedrijven in ieder geval inzicht in enkele van de meer voor de hand liggende kwetsbaarheden, zodat ze deze kunnen aanpakken voordat een product de deur uitgaat.