Zeven snelle maar belangrijke stappen naar goede beveiliging
28 maart 2017 -
Forbes Technology Council heeft 2017 als het jaar van cybersecurity zorgen benoemt. Hoewel veel organisaties beveiliging hoog op de agenda hebben staan, voelt het voor veel bedrijven nog steeds als een ver-van-mijn-bed show en niet als een acute noodzaak.
"Cyberbeveiliging moet niet langer worden gezien als een groot en complex probleem," vindt Mark-Peter Mansveld, Area Vice President bij RES Software. In dit artikel noemt hij de reële, veelvoorkomende dreigingen en stappen die organisaties kunnen nemen om te voorkomen dat zij het nieuws halen als slachtoffer van een grote datadiefstal.
Bij de meeste bedrijven schort het aan tijd en middelen om beveiligingsrisco’s voldoende af te dekken. "IT-afdelingen hebben het vaak te druk met het faciliteren van werknemers, en reageren vooral op acute beveiligingsdreigingen," zegt Mansveld. "Het is dan ook van groot belang om de veelvoorkomende beveiligingsrisico’s aan te pakken, om zo de belangrijkste bedreigingen af te wenden. Goede beveiliging is makkelijker dan veel organisaties denken: de volgende zeven stappen vormen een goed en eenvoudig begin."
Stap 1. Centraliseer whitelisting-beleid
Dynamische whitelisting is een best practice voor bedrijfsbeveiliging, en een goede manier voor het bepalen van toegangsrechten: deze blijven beperkt tot veilige en toegestane situaties. Mansveld: "Goede whitelisting houdt rekening met zaken als context, tijd, locatie en op welk device er wordt gewerkt. Dit model van ‘exclusion by default’ is essentieel om allerlei bedreigingen buiten de deur te houden – zoals verdachte servers, gestolen gebruikersgegevens en interne beveiligingsrisico’s."
Een primair beveiligingsvereiste is dan ook dat er één centraal overzicht is van alle whitelisting-policies. Deze whitelisting-policies kunnen door verschillende geautoriseerde mensen binnen een organisatie worden beheerd, maar het is wel belangrijk dat er één centrale plek is waar deze worden geadministreerd voor alle apparaten, parameters en gebruikersgroepen.
Stap 2. Vertrouw niet op zelfgeschreven scripts
Beleid alleen maakt een bedrijf echter nog niet veilig: een organisatie moet dit beleid ook daadwerkelijk implementeren en handhaven. "De kans is groot dat bedrijven verschillende, opzichzelfstaande processen uitvoeren om gebruikers de juiste, goedgekeurde toegang te voorzien," zegt Mansveld. "Vaak is er een verscheidenheid aan beheertools voor verschillende applicaties en databases en zelfgeschreven scripts. Vanuit beveiligingsperspectief zijn zulke gefragmenteerde processen niet veilig: een menselijk fout is snel gemaakt en ze zijn niet daadwerkelijk verbonden aan het beleid waarvoor ze in het leven geroepen zijn. Organisaties die nog steeds vertrouwen op zelfgeschreven scripts nemen onnodig risico." Een volledig gekoppeld en beheersbaar automatiseringsmechanisme kan deze risico’s wegnemen en op een veilige, compliant wijze het beveiligingsbeleid uitvoeren en handhaven.
Stap 3. Voorkom dat medewerkers die uit dienst treden bedrijfsgegevens meenemen
Eén van de meest belangrijk onderdelen van access management is het onmiddellijk intrekken van rechten nadat een werknemer uit dienst treedt. "Dat klinkt logisch, maar bij veel organisaties is er geen gemakkelijk, geautomatiseerd proces om met onmiddellijke ingang toegang te ontzeggen tot alle applicaties, databases en communicatie," zegt Mansveld. "De toegang tot al deze diensten en middelen moetenvaak een voor een worden ingetrokken. Daardoor blijven toegangsrechten vaak dagen en soms nog weken geldig, waardoor ex-werknemers met kwaad in de zin gevoelige informatie kunnen meenemen." Daarom is het van het grootste belang dat alle systemen voor identity en access management- geïntegreerd zijn, inclusief de HR-database. Alleen dan kan er verzekerd worden dat alle toegangsrechten tijdig en volledig worden ingetrokken.
Stap 4. Tref extra maatregelen voor access management
De meeste organisaties hebben een beperkte set van parameters om access management toe te passen. Om daadwerkelijk veilige toegang te bewerkstellingen moet er meer afhangen van de context van de gebruiker. Veelvoorkomende voorbeelden zijn:
- Geo-fencing: toegang op basis van locatie. Zo zou een dokter bijvoorbeeld binnen het ziekenhuis bepaalde medische gegevens kunnen inzien via een tablet, maar wordt deze toegang automatisch ontzegt buiten de muren van het ziekenhuis.
- Beveiligde wifi: toegang tot data op basis van de status van de wifi-connectie (publiek/onbeveiligd/beveiligd). Zo kan iemand bijvoorbeeld alleen leesrechten hebben tot een document wanneer de verbinding publiek is.
- File hashing: door bestanden te ‘hashen’ (van een uniek kenmerk te voorzien) kunnen organisaties ervoor zorgen dat werknemers weten wanneer kwaadwillende hen proberen te verleiden tot het openen van bijvoorbeeld ransomware.
Mansveld: "Om dergelijke maatregelen in te voeren is een access management systeem nodig dat automatisch en in real-time reageert op de context en hash-gebaseerde identificatie kan toepassen. Zonder deze mogelijkheden is de beveiliging erg beperkt."
Stap 5. Zorg dat het beveiligingsproces flexibel is
Bedrijven zijn constant in beweging. Zeker de afgelopen jaren komt er, door de opkomst van onder anderen cloud- en SaaS-diensten, voortdurend nieuwe IT bij. Veel van deze diensten worden zonder tussenkomst van de IT-afdeling in gebruik genomen. "Ooit werd dat ‘shadow IT’ genoemd, maar dat is niet meer het geval," benadrukt Mansveld. "Het is een fundamenteel onderdeel geworden van de manier waarop software wordt gebruikt. Om onveilige situaties te voorkomen moeten organisaties deze voortdurende verandering wel aankunnen. Zo niet, dan kan het bijvoorbeeld gebeuren dat nieuwe applicaties niet gewhitelist worden en werknemers de beveiliging omzeilen om ze toch te kunnen gebruiken." Andersom is het ook gevaarlijk als nieuwe bronnen te gehaast worden gewhitelist zonder voldoende beveiligt te zijn door policies zoals geo-fencing of wifi-restricties.
"Geen van deze uitkomsten is acceptabel. Organisaties hebben daarom een snel, betrouwbaar en consistent proces nodig om nieuwe (cloud) applicaties toe te voegen aan de whitelist. Zonder een dergelijk proces kan de security de business niet bijhouden – wat zorgt voor beveiligingsrisico’s, of de business tegenhoudt in zijn ontwikkeling."
Stap 6. Biedt werknemers selfservice-mogelijkheden
Millennials verwachten een zakelijke IT-omgeving die dezelfde ervaring biedt als hun persoonlijk gebruik van technologie. "Selfservice biedt een win-win situatie: zowel de IT-afdeling als de werknemers worden er beter van," zegt Mansveld. "Omdat standaardverzoeken automatisch kunnen worden uitgevoerd, hebben werknemers sneller wat ze nodig hebben en worden IT-medewerkers ontlast. Organisaties kunnen zelfs bepaalde taken delegeren aan line of businessmanagers, zoals het toekennen van toegang of het toevoegen van extra licenties. Enkel de IT-experts kunnen dergelijke, veilige taken volgens het beveiligingsbeleid maken en beheren. Zo kunnen medewerkers een hoop zelf regelen, maar geen schade aanrichten."
Stap 7. Bereid de organisatie voor op een audit
"Zelfs al zijn alle voorgaande stappen doorlopen: indien een organisatie dit niet kan bewijzen tijdens een audit, is het praktisch voor niets geweest," onderstreept Mansveld. "Maar de organisaties die beschikken over een geautomatiseerd whitelisting-systeem, waarin wordt bijgehouden welke acties zijn uitgevoerd, zullen een audit met succes doorstaan."