Innovatie & Strategie

Security
Cybersecurity naar een hoger niveau

Cybersecurity naar een hoger niveau

Niveau van cybersecurity moet meegroeien met corporate ambities.

30 juni 2022

Niveau van cybersecurity moet meegroeien met corporate ambities.

De IT-infrastructuur van vandaag wordt in hoge mate gekenmerkt door mobiele gebruikers en devices en een cloud-first benadering. In dit framework is het een uitdaging om data te beschermen en te controleren wie er toegang tot heeft. Organisaties moeten ervoor zorgen dat het niveau van cybersecurity meegroeit met hun ambities. Neem de juiste securitymaatregelen zonder dat dit ten koste gaat van de flexibiliteit en wendbaarheid. En zet de eerste stappen naar securitybeleid dat is gebaseerd op zero trust. “Vertrouw niemand en wees voorbereid”, schrijft Steven Maas, Sales Director Encryption bij Thales Benelux.

Bedrijven en instellingen in talloze sectoren krijgen dag in dag uit te maken met verstoringen in de dagelijkse operatie als gevolg van cyberaanvallen. Er lijkt zich een ratrace te ontrollen, waarvan het einde nog niet in zicht is. Je moet als organisatie dan ook niet denken: ‘dat overkomt mij niet’. Het versterken van je cybersecurity is geen project met een begin en een eind. Security is continu een onlosmakelijk onderdeel van de bedrijfsstrategie. Security groeit als het ware mee met de doelstellingen en ambities van een organisatie. Dit was lange tijd voor de meeste organisaties nog te behappen. Er was sprake van een traditionele kantooromgeving, met een netwerk, datacenter en overwegend kantoorwerkers die gebruik maakten van on-premises bedrijfsapplicaties. Van dit model hebben we versneld afscheid genomen.

Identity en Access Management
Dit komt vooral doordat het aantal remote medewerkers explosief is gestegen, mede onder invloed van de COVID-19-pandemie. Tot voor kort meldden medewerkers zich op een vaste locatie aan, vaak op kantoor, op het netwerk. Nu gebeurt dit op afstand via een veelvoud aan mobiele devices. Daar komt nog bij dat je te maken hebt met verschillende groepen gebruikers die toegang moeten hebben tot (delen van) je netwerk. Klanten en leveranciers hebben toegang tot elkaars netwerken, bijvoorbeeld om supply chain en logistieke processen te optimaliseren. Daarnaast zien we dat bedrijven op projectbasis met elkaar samenwerken en informatie en applicaties met elkaar delen. Al deze actoren melden zich aan op het netwerk met verschillende devices en besturingssystemen. Het is dan ook essentieel om voor alle actoren en devices het juiste risicoprofiel op te stellen en te vertalen naar toegangsbeheer en securitybeleid. Dit betekent dat je kritisch moet kijken naar je Identity en Access Management omgeving. Voldoet dit systeem nog wel aan de eisen van deze tijd?

Security in de cloud
In het verlengde van deze ontwikkelingen zien we dat veel applicaties as-a-service worden afgenomen en eenvoudig ter beschikking worden gesteld aan medewerkers. Termen als cloud-only en cloud-first zijn sleutelbegrippen geworden in de IT-strategieën. Steeds meer organisaties migreren bedrijfskritische data en business applicaties naar de cloud. Doel: operationele flexibiliteit, kosten efficiency en snel kunnen opschalen. Daarbij kiezen zij in toenemende mate voor verschillende Cloud Service Providers (CSP), zodat een multi-cloud omgeving ontstaat. Dit is verstandig om een nadelige vendor lock-in te voorkomen, maar dit maakt de infrastructuur wel kwetsbaar. De meeste CSP’s bieden weliswaar intrinsiek oplossingen voor security en databescherming, maar de ultieme eindverantwoordelijkheid voor de bescherming van data ligt bij de afnemende organisatie (Data Owner). Besef ook dat securityoplossingen van de cloud serviceproviders gericht zijn op hun eigen platform. Organisaties die werken in een hybride of multi-cloud omgeving komen dan ook al snel in de problemen en krijgen te maken met integratie-issues. Dit betekent dat niet alle applicaties beschermd kunnen worden, waardoor er gaten in de beveiliging ontstaan. En dat wil je juist voorkomen.

Risicoprofielen
Al deze verschuivingen in het IT-landschap hebben gevolgen voor de inrichting en effectiviteit van cybersecurity. De ontwikkelingen, zeker als het gaat om het werken op afstand, zijn zo snel gegaan dat het cybersecuritybeleid niet is ‘mee’ ontwikkeld. Iedere applicatie uit de cloud heeft weer een andere inlogprocedure, waardoor de kans bestaat dat medewerkers wachtwoorden gaan kopiëren. Dat maakt de security erg kwetsbaar en het wordt medewerkers moeilijk gemaakt om op een prettige en veilige manier hun werk te doen. Dat terwijl het juist zo belangrijk is om medewerkers vast te houden en aan te trekken door hen een optimale user experience te bieden. Je zult dan ook werk moeten maken van het nauwgezet in kaart brengen van de securityrisico’s van ieder inlogverzoek. Pas daar vervolgens het inlogbeleid op aan. Een applicatie om vergaderruimtes mee te reserveren kent een laag risicoprofiel, terwijl het dashboard met informatie over klanten juist wel een hoog risico met zich mee brengt.

Proactief beschermen
Zo bewegen we naar een securityplatform dat is gebaseerd op het idee van zero trust: geen enkel device, geen enkele gebruiker en geen enkel verzoek om toegang wordt gezien als veilig. Dit maakt het noodzakelijk heel goed de toegangsrechten te definiëren. Bijvoorbeeld: bedrijfskritische data is niet toegankelijk via een publieke Wifi-verbinding. En bepaalde applicaties vereisen multifactor-authenticatie. In de filosofie van Thales beschik je als organisatie zo over een securityplatform dat de toegang tot en de bescherming van data en applicaties vereenvoudigt en automatiseert. Een platform dat systemen en netwerken proactief beschermt, vreemd netwerkgedrag detecteert voordat er problemen optreden en automatisch maatregelen neemt om erger te voorkomen. Zonder dat hierbij handmatig ingrijpen vereist is. Vertrouw dus op bewezen technologieën om toegang tot bedrijfskritische data te beschermen en beheersen, waar dit ook maar noodzakelijk is in de IT-omgeving.

Wil je medewerkers, assets en uiteindelijk de continuïteit van de business beschermen, dan wordt er een hogere kwaliteit van je cybersecurity verwacht. Maak daarbij gebruik van de kennis en de middelen die vrijkomen, bijvoorbeeld nu de overheid investeert in het digitaal weerbaarder maken van de samenleving. Gebruik dit momentum om cybersecurity naar een hoger niveau te brengen.

Meer weten?
https://cpl.thalesgroup.com/nl of neem contact op met Steven Maas, steven.maas@thalesgroup.com