Onze manier van werken is veranderd door de digitale transformatie. Werknemers verwachten nu dat ze flexibel kunnen werken, en voor die flexibiliteit is technologie nodig. Nu we naar deze moderne werkruimte evolueren, mogen we cyberbeveiliging zeker niet vergeten.
Hoe cybersecurity er in 2030 zal uitzien, daar zal Marc Vael, security & privacy officer bij Valuendo, het over hebben tijdens het Dell Technologies Forum op 24 november in Brussel. Maar een aantal principes en tips kan ik nu al prijsgeven.
Toen de meeste mensen op kantoor werkten, waren de grenzen voor cyberbeveiliging duidelijk. Nu er van overal gewerkt wordt, vloeit er een voortdurende stroom van beschermde data over clouds en remote-omgevingen. Het potentiële aanvalsveld van een organisatie is dus ook groter. Hoe meer agile een organisatie wil worden, hoe meer het prioriteit moet geven aan beveiliging.
Veel organisaties weten echter niet zeker waar ze moeten beginnen. Uit de ‘Breakthrough Study‘ van Dell Technologies is gebleken dat de nadruk meer gelegd moet worden op zowel het bewustzijn voor cyberbeveiliging als de technologische processen zelf. Van de 10.500 respondenten uit meer dan veertig landen geeft meer dan de helft toe dat ze hun bewustzijn en gedrag rond beveiliging niet aanzienlijk hebben verbeterd, zelfs niet nadat ze hoorden over spraakmakende cyberaanvallen. In België werden onder andere de sociale-mediaprofielen van een aantal politici recent gehackt. De netwerken van Hogeschool Vives lagen een tijd plat en Defensie kon vier weken geen externe e-mails sturen wegens een cyberaanval.
Voor cio’s blijft cybersecurity topprioriteit nummer één, zo bleek onlangs nog uit een bevraging van Beltug.
Bijna twee derde van de respondenten van genoemde studie geeft aan dat hun werknemers de zwakste schakel zijn in hun beveiligingsaanpak. Hierrond een verantwoordelijkheidsgevoel opbouwen is dus van essentieel belang. Bij een moderne beveiligingsaanpak is betrokkenheid van de werknemers onmisbaar, en een verandering van cultuur is niet zo eenvoudig. Om een beveiligingscultuur op te bouwen en gedragsveranderingen te stimuleren, zijn zowel technische processen als opleidingen binnen de organisatie nodig.
Data en systemen beschermen
Als eerste stap bij de modernisatie van cyberbeveiliging is het belangrijk om de manier waarop data en systemen beschermd zijn, herbekeken wordt, of ze zich nu op locatie bevinden, in de cloud of aan de edge. De bescherming van persoonlijke apparaten en endpoints bestaat van oudsher uit de identificatie van en reageren op bekende, en dus gevaarlijke bedreigingen. Elk apparaat en elk proces dat in een organisatie gebruikt wordt, is in het beste geval ontworpen met beveiliging in het achterhoofd. Als er al moderne beveiligingsfuncties ingebouwd zijn in de hard- en firmware en er veiligheidscontroles voorhanden zijn, is dat positief. Zoek tegelijkertijd ook naar manieren om fundamentele beveiligingselementen te automatiseren om de afhankelijkheid van manueel werk te verminderen.
Hoewel organisaties afhankelijk zijn van it-infrastructuur om productief te blijven, is het belangrijk om te onthouden dat elk systeem kwetsbaarheden met zich mee kan brengen. Cyberbeveiliging moet deel uitmaken van het volledige ecosysteem: servers, opslag, netwerken en zelfs de levenscycli van ontwikkeling en de toeleveringsketen. Overweeg om beveiligingsprofessionals in product- en serviceteams te integreren. Zij kunnen pleiten voor een betere beveiliging en consistent veiligheidscontroles in de verschillende systemen helpen inbouwen.
Holistische beveiliging betekent ook: interne processen evalueren en zorgen voor het hoogste beveiligingsniveau voor de klanten. Ga voor een end-to-end-aanpak met consistente doelen en een schaalbare toepassing van het beleid. Door de beveiligingsmaatregelen in de omgeving in te bouwen, is het minder noodzakelijk om tientallen of zelfs honderden producten van derden aan te kopen, aan te leren en te beheren.
Zero-trust
Zero-trust wordt snel de wereldwijd aanvaarde best practice voor cyberbeveilingsarchitectuur. In tegensteling tot vroegere beveiligingsmodellen die een gebruiker, apparaat of berekening maar één keer of zelfs periodiek verifieerden, is zero-trust gebaseerd op het principe dat geen enkele gebruiker of taak stilzwijgend vertrouwd wordt en dat elke interactie geverifieerd moet worden voordat er verder kan worden gegaan. Dit model, waarbij elke stap geauthenticeerd moet worden, is toepasbaar in het volledige netwerk, de volledige it-infrastructuur, in alle software en alle microservices van een organisatie.
Met een aero-trust-aanpak wordt er een virtuele microperimeter rond elke interactie gecreëerd. Elke gateway die een cybercrimineel wil passeren, vereist authenticatie. Zelfs als een kwaadwillige persoon voorbij één perimeter geraakt, zal hij niet verder kunnen. Beveiligingsprotocollen die uitgaan van standaard weigeringen helpen data, het vertrouwen van werknemers en de relaties met klanten beschermen. Zero Trust geeft gebruikers of verzoeken binnen een systeem bovendien de minst geprivilegieerde toegang, waardoor het risico van elke interactie beperkt wordt.
Gaan voor cyberveerkracht
Om een cyberaanval te voorkomen, zijn alle voorzorgsmaatregelen nodig. Maar door het grote aantal en de toenemende complexiteit van de hedendaagse bedreigingen moeten organisaties ook over een robuust plan beschikken als er toch een aanval doorkomt. Cyberveerkracht betekent dat een organisatie na een aanval snel data kan herstellen en de normale werkzaamheden kan hervatten, en dat de financiële en operationele gevolgen beperkt blijven. Het isoleren van kritische data in kluizen die van het netwerk gescheiden zijn, is een cruciale stap om die veerkracht te verbeteren.
Aangezien de meeste organisaties tegenwoordig complexe omgevingen met meerdere clouds hebben, is het isoleren van data een echte uitdaging. Er bestaan echter oplossingen zoals managed services voor cyberherstel. Die kunnen datakluizen namens hun klanten beheren, waardoor de kosten beperkt zijn en het it-team wordt ontlast. En als een organisatie liever haar eigen databescherming en -herstel uitvoert, zijn er verschillende producten en apparaten die speciaal voor dat doel zijn ontworpen.
Bouw een beveiligingscultuur op
Naast al die belangrijke beveiligingstools moet de organisatie zich bewuster zijn van en een groter verantwoordelijkheidsgevoel heeft voor cyberdreigingen. Leer werknemers dat beveiliging ieders verantwoordelijkheid is en niet zomaar een functie in het beveiligingsteam. Wapen teamleden met de juiste kennis en opleiding, zodat ze de juiste beslissingen kunnen nemen.
Bedrijfstechnologie beveiligen en vertrouwen opbouwen met de personen die ermee werken, is belangrijker dan ooit. De digitale transformatie zet ons aan om sneller te gaan, maar de prijs voor het achterwege laten van cyberbeveiliging is hoog. Technologie kan die taak vereenvoudigen. Het begint met de evaluatie van de huidige inspanningen. Neem de tijd om na te gaan hoe u risico’s in uw it-ecosysteem beheert. Cyberbeveiliging en veerkracht moeten zich even snel ontwikkelen als de digitale transformatie want ze zijn bepalende voor de manier waarop we in de toekomst kunnen werken.
Is onze manier van werken veranderd of onze manier van communiceren? Tijdens de pandemie zag ik dezelfde processen met andere middelen waardoor er weinig sprake was van transformatie. Dat we door goedkope netwerken zo makkelijk over konden gaan op televergaderen was mooi maar het leverde ook ludieke situatie op. Zo bleken veel wetten er geen rekening mee te houden, m.n. als het ging om vergaderingen waarin stemming voorkwamen. De juridische kant wordt nog vaak vergeten maar verplichte jaarvergaderingen mogen via video zolang de tijdelijk wet geldig is.
Vraag is of cyberbeveiliging en veerkracht zich even snel ontwikkelen als de digitale transformatie want een holistische beveiliging door de interne processen te evalueren schiet vaak te kort schiet in de hedendaagse samenwerkingen tussen organisaties. Steeds vaker staan Systems of Collaboration hierin centraal waardoor Shadow IT voor de verrassingen zorgt. Zo geeft Whatsapp het bewijs in het proces van zeggen wat je doet en doen wat je zegt maar worden deze berichten niet in een van het netwerk gescheiden kluis gestopt. Olifant in de hoek van de kamer gaat niet om de datakluizen maar om het Information Lifecycle Management als ik kijk naar excuses over een slavernijverleden zonder de bonnetjes.