BLOG – Gevraagd naar prioriteiten is het beveiligen van de it-omgeving een onderwerp die vaak valt. Denk aan ransomware, geavanceerdere phishing, diefstal van data en intellectuele eigendommen en wachtwoordaanvallen. Kortom, gedachten die niet bevorderlijk zijn voor een gevoel van veiligheid.
Dit wordt benadrukt door ons eigen onderzoek waaruit blijkt dat zeventien procent van de respondenten aangeeft dat hun beveiligingsmaatregelen onder controle zijn. Bij het onderzoek werden lastig grip krijgen, onvoorspelbaarheid en stress vanwege voortdurend veranderende oplossingen en een constante druk meermaals benoemd. Onduidelijke wetgeving (zoals NIS2), maar ook financiële- en gebruikersimpact en de belasting op de beheerorganisatie zijn redenen om het project uit te stellen naar een volgend kwartaal of zelfs nog later.
Dit is in lijn met data uit de jaarlijkse onderzoeken van Microsoft, waaruit blijkt dat de mogelijkheden binnen een Microsoft-omgeving vaak niet, of niet correct, geconfigureerd zijn. Multi-factorauthenticatie is bijvoorbeeld nog lang niet overal geïmplementeerd, terwijl dit tot de basishygiëne behoort op het gebied van het beveiligen van je it-platform. Het is immers op dit moment nog de eerste stap van een aantal adviezen die uiteindelijk resulteren in 99 procent bescherming.
Stappen
Die stappen zijn:
- Implementeer multi-factorauthenticatie (mfa);
- Pas zoveel mogelijk zero-trust-principes toe, inclusief advanced threat protection, mobile device management en endpoint detection and response;
- Integreer technologieën zoals ai-geautomatiseerde respons en extended detection and response;
- Bescherm je gegevens met data loss prevention en versleuteling;
- Zorg voor regelmatige updates en patches.
Hoezo ‘mfa is immers op dit moment nog de eerste stap? Is dat binnenkort niet meer zo dan? Zoals gezegd, gaat het snel binnen de digitale wereld, en dit geldt niet alleen voor de verdedigende kant. Ook cybercriminelen maken gebruik van innovaties, en dat mfa nog steeds een wachtwoord vereist, maakt het kwetsbaar. De opvolger van mfa, te weten wachtwoordloze authenticatie, staat al klaar. Ondertussen hebben veel organisaties de voorganger nog niet geïmplementeerd. Werk aan de winkel dus.
We betalen honderd procent, maar benutten slechts een deel
Oplossingen zijn beschikbaar, vaak zelfs al deels inbegrepen bij betaalde licenties, maar worden niet of onvoldoende geïmplementeerd. Dat is gek, zeker voor Nederlanders. We betalen honderd procent, maar benutten slechts een deel. De financiële impact – het betreft natuurlijk niet alleen de licentie – is niet altijd de hoofdreden voor het doorschuiven of uitstellen van dit probleem. Waar zit dan precies het knelpunt?
Omvangrijk
De logische vraag wordt vaak beantwoord met: het project lijkt te omvangrijk voor dit moment, ik kan het nog niet goed overzien, ik wacht op definitieve wetgeving, ik wacht op stabilisatie van de oplossingen, mijn beheerorganisatie is er niet klaar voor, enzovoort. Natuurlijk zijn er talloze redenen te bedenken om iets niet te doen, maar de omvang van ons potentiële project neemt niet af als we blijven wachten. Sterker, het verschil wordt alleen maar groter. Het is altijd beter om nieuwe technologie stap voor stap te adopteren, in plaats van in één keer een grote sprong voorwaarts te maken. Want hoe langer je wacht, des te groter en moeilijker die sprong wordt.
Wetgeving loopt per definitie achter op technologische ontwikkelingen. NIS2 bijvoorbeeld hoeft niet volledig definitief te zijn om te voldoen aan de basisbeveiliging van je it-platform. Die basisbeveiliging is nu al noodzakelijk om niet op de lijst van slachtoffers te belanden.
Een stabilisatie van de oplossingen is niet te verwachten. Sterker, de innovatie neemt alleen maar toe. Het vermogen om snel aan te passen en te evolueren naar een wendbare organisatie zijn cruciale succesfactoren voor organisaties van morgen. In dezelfde lijn doe je er als organisatie goed aan te transformeren naar een regieorganisatie, die deze verandering ondersteunt en een landschap van partners beheert. Alles een beetje meer agile, en flexibeler.
Het advies is om juist nu te beginnen. Doe het stap voor stap, zelfs als het heel kleine stapjes zijn, want elk resultaat is beter dan niets doen.
Patrick Smeets is strategisch adviseur cloudtransitie & innovatie bij Legian
“dat mfa nog steeds een wachtwoord vereist”.
onzin, je kiest zelf welke factoren je gebruikt bij impementeren mfa.