Security is een keten
Security is eigenlijk geen doel; het is een reis. Dit klinkt als de marketingboodschap van een leverancier, maar herhaalde incidenten, digitale rampen en nu zelfs cyberoorlog maken toch wel duidelijk dat het niet slechts reclamepraat is. De reis naar betere IT-beveiliging is een constant optrekken langs een keten waar telkens weer schakels aan worden gezet. Bekijk die schakels goed, en vergeet de oude schakels niet!
© Shutterstock
Shutterstock
Een groot deel van cybersecurity komt neer op asset management, met een scheut logistiek erbij. Niet elke IT'er en securityprofessional hoeft zich een militair te voelen, maar het kan wel helpen om wat gedachtengoed te lenen. Zie maar hoe in fysieke oorlogsvoering een grote, indrukwekkende legerkolonne kan stranden op gebrek aan preventief onderhoud, landschapsverkenning, financiële planning en logistiek. Vervang bandenkeuring door patching, wissel modderstromen in voor cybercrime (en eventueel cyberoorlog), pas financiële planning toe op software- en securitybudget, en bekijk logistiek met digitale blik.
"Soms moet je even gehackt worden; om het echt te voelen”, zei een ervaren securitypro me jaren geleden al. Hij wist te vertellen dat een hack echt ondergaan heel waardevol kan zijn. Want dan kom je erachter hoe jóuw 'keten van falen' werkt. Als híer een schakel te zwak blijkt, dan heeft dat dáár een gevolg en gebeurt uiteindelijk dít.
Een redelijk alternatief voor gehackt worden -wat natuurlijk niemand echt wil- is een goede simulatie. Brandoefeningen doen we allemaal al jaren, dat zit wel ingebakken. Mede dankzij vereisten en verzekeringen. Maar regelmatige cyberoefeningen om de kracht van onze securityketens te testen? Nee, die zijn niet echt gemeengoed. Terwijl ons gebruik van digitale middelen dat wel is, en de beveiliging daarvan dus behoorlijk cruciaal is.
Een redelijk alternatief voor een brede cyberoefening -wat niet iedereen wil of kan bekostigen- is een gedegen controle. Keuringen van wanden, deuren, trappenhuizen en uitgangen hoort gewoon bij brandveiligheid. Zo zou scanning, asset management, monitoring, patching, pentesting en meer gewoon bij cybersecurity moeten horen. Werk dat nooit echt af is, zeker gezien het telkens aankoppelen van nieuwe schakels.
Mogelijk dat de oorlog in Oekraïne niet uitslaat naar een algehele cyberoorlog die ook Westerse landen raakt. Maar de keten van security kan over landsgrenzen heen gaan. Dat hebben grote cyberrampen als Petya, NotPetya, SolarWinds en Kaseya ons wel onder de neus gewreven. Dus ga de ketens van jouw security eens goed nalopen: welke zijn sterk, welke zijn zwak? Succes met zoeken!
Magazine AG Connect
Dit artikel is ook gepubliceerd in het magazine van AG Connect (april 2022). Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee