zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Data zijn het nieuwe goud, vertrouwen onbetaalbaar

Vertrouwen en risico houden elkaar in evenwicht

13 maart 2019 - In de huidige verbonden wereld is het niet vanzelfsprekend dat netwerken, devices, apps of content veilig zijn. De adoptie van het ‘zero-trust principe’ neemt daardoor toe: het is onveilig tot het tegendeel is bewezen.

Aan het woord is Kenny van Midden, business development manager bij MobileIron, over deze ontwikkeling en de gevolgen voor organisaties.


"De adoptie van zero-trust is een redelijke basis voor een veilige, moderne manier van werken, maar niet het gouden ei," aldus Van Midden. "Bij het gebrek aan een solide vertrouwensbasis verliezen IT-oplossingen hun meerwaarde en dat schaadt zowel interne- als externe processen. Bedrijven lopen het risico dat medewerkers ongecontroleerde alternatieven zoeken om hun werk te doen. Daarnaast loopt ook de relatie met klanten en partners gevaar." De specialist op het gebied van mobiele beveiliging geeft graag een aantal praktische tips om vertrouwen te waarborgen.

De opkomst van het zero-trust principe
Een stukje historie. De term ‘zero trust’ werd voor het eerst gebruikt in 2010, in een rapport van Forrester. Het concept stond in die periode ook centraal bij de ontwikkeling van de BeyondCorp-architectuur van Google. Google gooide toen de knuppel in het hoenderhok door te stellen dat het gemiddelde bedrijfsnetwerk niet veiliger was dan het ‘publieke’ internet. De boodschap was dat elke organisatie een beveiligingsarchitectuur nodig had die niet gebaseerd was op klakkeloos vertrouwen. Bij Forrester lag de focus niet zozeer op het doorprikken van de mythe rond netwerkbeveiliging als wel op een kader dat nodig was voor de bescherming van data en ICT-activa buiten de rand van het eigen netwerk.
Van Midden zegt hierover: "Het is lastig om hard te stellen of bedrijfsnetwerken nu veilig zijn of niet. Het is echter waar dat de traditionele arbiters van vertrouwen, zoals firewalls, VPN-verbindingen, internet-gateways en oplossingen voor het beheer van de netwerktoegang of preventie van dataverlies, weinig uithalen buiten het netwerk." De securityspecialist stelt dat dit een groeiend probleem is. "Veel zakelijke IT-innovatie vindt tegenwoordig plaats in de cloud. Een bedrijf zonder rekenkracht van buiten het eigen netwerk zal daarom al snel achterblijven bij de concurrentie."

Het belang van inzicht in én buiten het eigen netwerk
Om op gefundeerde wijze te beslissen of data aan een oplossing of omgeving toevertrouwd kan worden is inzicht essentieel. Van Midden: "Het start met inzicht hebben in het proces van de afhandeling van uw data en de risico’s die daarmee gepaard gaan. Als dat niet mogelijk is, kunt u er niet van op aan dat het veilig is en is het verstandig om het zero trust-principe te hanteren." In dat geval zal uw IT-afdeling óf een andere omgeving moeten kiezen, óf extra beveiligingsmaatregelen moeten treffen om het risico op datalekken te minimaliseren. Alleen dan kunnen zij er zeker van te zijn dat ze alle maatregelen hebben getroffen om de zakelijke data van het bedrijf, haar klanten en de medewerkers te beschermen."
Traditionele beveiligingsoplossingen bieden minimaal zicht op wat er buiten de netwerkrand gebeurt, stelt Van Midden. "Daardoor ontwikkelen bedrijven regelmatig een blinde vlek. Al helemaal nu eindgebruikers data op mobiele devices opslaan en aan clouddiensten toevertrouwen." Om als organisatie effectief te opereren is een betrouwbare infrastructuur essentieel. "De uitdaging is om eindgebruikers de oplossingen aan te reiken die ze nodig hebben, zonder uw bedrijfsgegevens in gevaar te brengen. Een up-to-date vertrouwensmodel is daarvoor noodzakelijk."

Is vertrouwen in gebruikers genoeg?
Buiten de netwerkrand is er sprake van één aspect van vertrouwen waarop een traditionele beveiligingsinfrastructuur nog altijd (grotendeels) grip kan uitoefenen: het vertrouwen in gebruikers.
Van Midden: "Vaak kan bijvoorbeeld worden vastgesteld of gebruikers zijn wie zij zeggen te zijn. Vertrouwen in gebruikers is noodzakelijk en een kerncomponent van het moderne vertrouwensmodel, maar helaas niet toereikend. Een vertrouwde gebruiker in een onbetrouwbare omgeving zou geen toegang tot bedrijfsgegevens mogen hebben." In een wereld van zero trust is de context allesbepalend.

Een driestappenplan
Risico en vertrouwen houden elkaar in evenwicht. Idealiter staat het minimaliseren van risico’s niet gelijk aan het minimaliseren van toegang. Wanneer dat wel de modus operandi is, is de kans groot dat eindgebruikers hinderlijk beperkt worden in hun werkzaamheden. Het is dan ook cruciaal om een vertrouwensbasis te creëren om toegang tot bedrijfsgegevens te rechtvaardigen. Zoals bij vrijwel alles dat met beveiliging te maken heeft begint de oplossing van dit vraagstuk met basismaatregelen en de inrichting van een basisproces en -architectuur. Van Midden geeft drie tips.

1: Begin met de gebruikers
Technologie is van ondergeschikt belang. Uw IT-afdeling moet eerst helder zien te krijgen hoe de zakelijke gebruikers willen werken. Hoe zij willen dat eindgebruikers werken is minder belangrijk. Als de IT-afdeling hun wil oplegt aan eindgebruikers resulteert dat in een vertrouwde omgeving die in de praktijk door niemand wordt gebruikt. In dat geval vindt het echte werk buiten het gezichtsveld plaats en blijven alle datastromen onbeschermd.

2: Trek een veilige grens om bedrijfsdata heen
Mobiele devices en apps zijn uitgegroeid tot de primaire instrumenten om toegang te krijgen tot data en zakelijke oplossingen. Dat betekent vaak ook dat data op een groeiend aantal mobiele devices wordt opgeslagen. "Het is dan raadzaam om uw IT-afdeling te vragen om een veilige omgeving op deze apparatuur in te richten om persoonlijke en zakelijke data van elkaar te scheiden. Zo kunnen zij de persoonlijke data beschermen en tegelijkertijd voorkomen dat zakelijke data uitlekt via consumentenapps," aldus Van Midden.

3: Houd rekening met voortdurende verandering
Vertrouwen is geen statisch gegeven, omdat een moderne ICT-omgeving nu eenmaal een dynamisch karakter heeft. Van Midden: "Mobiele gebruikers wisselen van netwerk en locatie, downloaden nieuwe apps en wijzigen configuraties wanneer zij dat nodig achten. De sleutel tot succes ligt in dit geval bij de IT-afdeling. Zij kunnen een geautomatiseerd en gelaagd compliance-model ontwikkelen om de toegang tot zakelijke data te managen. Een dergelijk model bewaakt voortdurend veranderingen, checkt de context en treft passende maatregelen waar nodig." Hij licht toe: "Dat kan gaan om het informeren van gebruikers, het verzoeken om een tweede authenticatiefactor, het uitbreiden of ontzeggen van toegang of het beschikbaar stellen of blokkeren van apps."

Voor werkelijk vertrouwen zorgen
Werkelijk vertrouwen vraagt om een combinatie van vertrouwen in gebruikers en in de context. "Een moderne manier van werken hangt samen met een dynamische context. Een geautomatiseerd compliance-model managt de toegang tot data zonder eindgebruikers te hinderen bij hun dagelijkse werkzaamheden. Het is hoog tijd om het traditionele ‘Ik ben binnen en jij blijft buiten’-model van de traditionele firewall in te ruilen voor een modern en dynamisch beveiligingskader," sluit Van Midden af.
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

 Kantoorwerkers heeft toegang tot meer data dan nodig
 Meer data, minder skills
 Hoe werkt dat eigenlijk, het structureren van ongestructureerde data?
 Big data: dé gamechanger binnen de financiële wereld
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Human Design op de werkvloer voor teameffectiviteit en bedrijfsgroei
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10