De klantenservice van reisbureaus, gezondheidsorganisaties en webwinkeliers. Veel organisaties in deze sectoren moesten in rap tempo hun werkzaamheden opschalen. Niet alleen het vinden van het juiste personeel is hierbij een uitdaging, ook de inrichting van it-systemen en dan met name de beveiliging. In uitzonderlijke situaties schieten screening en gebruikerstraining erbij in en ontbreekt het aan de juiste beveiligingstechnologie. Wanneer er geen tijd is voor het trainen van gebruikers is het inrichten van de techniek nog belangrijker. Ben jij voorbereid op onverwacht opschalen? Kun jij vertrouwen op de technologie?
Er is geen silver bullet in it-security, en one size fits all bestaat niet. Toch zijn er een aantal basismaatregelen dat elke organisatie kan toepassen om veilig te zijn. Idealiter wordt security-by-design toegepast. Dit betekent dat er tijdens het ontwerpen van een nieuwe applicatie of oplossing al rekening wordt gehouden met het beveiligen van gevoelige gegevens. Dankzij security-by-design zijn de juiste veiligheidsoplossingen direct vanaf het begin geïntegreerd. Bij snel opschalen moet je het echter vaak doen met reeds bestaande systemen en is er geen tijd en ruimte om services van nul af aan met security-by-design op te bouwen. Daarom vier beveiligingsacties die wel meteen in gang zijn te zetten.
En actie!
- Werk met toegangsprofielen
Wanneer veel nieuwe medewerkers starten, is het de vraag welk informatieprofiel bij welke functie hoort. Welke informatie is nodig voor de werkzaamheden en hoe dwing ik dit technisch af? Bijvoorbeeld een callcentermedewerker spreekt tien personen per uur. Hiervan mogen de gegevens worden ingezien met een marge. Per uur zijn er dus vijftien tot twintig records in te zien. Zo wordt misbruik voorkomen. Er is zelfs aanvullend nog ‘gedragsanalyses’ toe te voegen aan het toegangsbeheer. Hierbij wordt er gekeken naar afwijkende gedragspatronen. Bijvoorbeeld een medewerker die per uur ruim vijftig klantgegevens wil inzien of iemand die opeens vanuit een ander land inlogt. Een machine learning-component binnen de oplossing monitort deze standaardactiviteiten die samen een patroon vormen en komt zo tot risicobeoordelingen. Daarnaast kan een risicowaarschuwing worden afgegeven. De organisatie kan dan de juiste maatregelen nemen om op deze waarschuwing te reageren en de potentiële bedreiging van insiders aan te pakken.
- Werk met encryptie
Zorg er met encryptie voor dat medewerkers alleen relevante informatie zien, zoals naam, telefoonnummer en aankopen. De bankgegevens worden versleuteld getoond. Als de data dan gestolen wordt, zijn ze voor die persoon waardeloos. Encryptie inrichten is niet moeilijk, er zijn talloze bedrijven die producten aanbieden waarmee jouw bedrijfs- en klantgegevens relatief eenvoudig beschermd zijn. Daarbij is het wel van belang, zeker als jouw organisatie met meerdere clouds werkt, een oplossing te kiezen die werkt voor alle systemen.
- Sla je sleutels goed op
Het gebruiken van encryptie levert organisaties wel een nieuwe taak op, en wel het veilig bewaren van encryptiesleutels. Gebruik bijvoorbeeld een key management-oplossing om sleutels te bewaren. Dit kunnen dan zowel sleutels zijn die gebruikt worden om data on-premise als in de cloud te versleutelen. Op het moment dat je encryptie gaat toepassen, worden de sleutels belangrijk en niet zozeer de versleutelde data.
- Awareness
Awareness is op korte termijn lastig te realiseren, zeker als medewerkers net beginnen en te maken hebben met een volle agenda. Door de eerste drie stappen te nemen, is je data al goed beveiligd. Het laatste aandachtspunt is het opleiden en trainen van medewerkers. Het personeel trainen hoe ze op de juiste manier omgaan met deze gegevens, is een integraal onderdeel in het voorkomen van beveiligingsincidenten. Het hoeft geen uitleg dat data-encryptie geen enkele zin heeft als de toegangssleutels voor het ontgrendelen van de data niet goed zijn opgeborgen. Oftewel, het is ontzettend belangrijk dat medewerkers precies weten wat er van hen wordt verwacht en hoe ze dienen te handelen in het kader van veiligheid.
Achterhalen
Tot slot hebben toegangsbeheer en encryptie ook een ander voordeel. Je hebt inzicht in wie wat heeft gedaan. Als er iets misgaat, kun je makkelijk achterhalen waar (en vooral: bij wie) dit het geval is. Daarnaast zijn de loggings van deze maatregelen voldoende om aan te tonen dat je beveiliging op orde is.
Auteur: Guido Gerrits, sales director identity & access management Benelux en Nordics, Thales