Dutch IT Chanel Logo mobile
Search icon
Redactie - 31 maart 2017

7 snelle maar belangrijke stappen naar goede beveiliging

Security
7 snelle maar belangrijke stappen naar goede beveiliging image

Forbes Technology Council heeft 2017 als het jaar van cybersecurity-zorgen benoemt. Hoewel veel organisaties beveiliging hoog op de agenda hebben staan, voelt het voor veel bedrijven nog steeds als een “ver-van-mijn-bed” show en niet als een acute noodzaak. In plaats van cyberbeveiliging te zien als een groot en complex probleem, zetten we in dit artikel de reële, veelvoorkomende dreigingen en stappen die u kunt nemen op een rij.  Voorkom zo dat uw organisatie het nieuws haalt als slachtoffer van een grote datadiefstal. 

Bij de meeste bedrijven schort het aan tijd en middelen om beveiligingsrisco’s voldoende af te dekken. IT-afdelingen hebben het vaak te druk met het faciliteren van werknemers, en reageren vooral op acute beveiligingsdreigingen. Het is dan ook van groot belang om de veelvoorkomende beveiligingsrisico’s aan te pakken, om zo de belangrijkste bedreigingen af te wenden. Goede beveiliging is makkelijker dan veel organisaties denken, de volgende zeven stappen vormen een goed en eenvoudig begin. 

Stap 1. Centraliseer whitelisting-beleid

Dynamische whitelisting is een best practice voor bedrijfsbeveiliging, en een goede manier voor het bepalen van toegangsrechten: deze blijven beperkt tot veilige en toegestane situaties. Goede whitelisting houdt rekening met zaken als context, tijd, locatie en op welk device er wordt gewerkt. Dit “exclusion by default” model is essentieel om allerlei bedreigingen buiten de deur te houden – zoals verdachte servers, gestolen gebruikersgegevens en interne beveiligingsrisico’s. 

Een primair beveiligingsvereiste is dan ook dat er één centraal overzicht is van alle whitelisting-policies. Deze whitelisting-policies kunnen door verschillende geautoriseerde mensen binnen een organisatie worden beheerd, maar het is wel belangrijk dat er één centrale plek is waar deze worden geadministreerd voor alle apparaten, parameters en gebruikersgroepen. 

Stap 2. Vertrouw niet op zelfgeschreven scripts 

Beleid alleen maakt een bedrijf echter nog niet veilig: een organisatie moet dit beleid ook daadwerkelijk implementeren en handhaven. De kans is groot dat bedrijven verschillende, opzichzelfstaande processen uitvoeren om gebruikers de juiste, goedgekeurde toegang te voorzien – zoals een verscheidenheid aan beheertools voor verschillende applicaties en databases en zelfgeschreven scripts. 

Vanuit beveiligingsperspectief zijn dergelijke gefragmenteerde processen niet veilig: een menselijk fout is snel gemaakt en ze zijn niet daadwerkelijk verbonden aan het beleid waarvoor ze in het leven geroepen zijn.  Organisaties die nog steeds vertrouwen op zelfgeschreven scripts nemen onnodig risico. 

Een volledig gekoppeld en beheersbaar automatiseringsmechanisme kan deze risico’s wegnemen en op een veilige, compliant wijze het beveiligingsbeleid uitvoeren en handhaven. 

Stap 3. Voorkom dat medewerkers die uit dienst treden bedrijfsgegevens meenemen

Eén van de meest belangrijk onderdelen van access management  is het onmiddellijk intrekken van rechten nadat een werknemer uit dienst treedt. Dat klinkt logisch, maar bij veel organisaties is er geen gemakkelijk, geautomatiseerd proces om met onmiddellijke ingang toegang te ontzeggen tot alle applicaties, databases en communicatie. De toegang tot al deze diensten en middelen moetenvaak een voor een worden ingetrokken. Daardoor blijven toegangsrechten vaak dagen en soms nog weken geldig, waardoor ex-werknemers met kwaad in de zin gevoelige informatie kunnen meenemen. 

Daarom is het van het grootste belang dat alle systemen voor identity en access management- geïntegreerd zijn, inclusief de HR-database. Alleen dan kan er verzekerd worden dat alle toegangsrechten tijdig en volledig worden ingetrokken. 

Stap 4. Tref extra maatregelen voor access management 

De meeste organisaties hebben een beperkte set van parameters om access management toe te passen. Om daadwerkelijk veilige toegang te bewerkstellingen moet er meer afhangen van de context van de gebruiker. Veelvoorkomende voorbeelden zijn: 

  • Geo-fencing: toegang op basis van locatie. Zo zou een dokter bijvoorbeeld binnen het ziekenhuis bepaalde medische gegevens kunnen inzien via een tablet, maar wordt deze toegang automatisch ontzegt buiten de muren van het ziekenhuis.  
  • Beveiligde wifi: toegang tot data op basis van de status van de wifi-connectie (publiek/onbeveiligd/beveiligd). Zo kan iemand bijvoorbeeld alleen leesrechten hebben tot een document wanneer de verbinding publiek is. 
  • File hashing: door bestanden te ‘hashen’ (van een uniek kenmerk te voorzien) kunnen organisaties ervoor zorgen dat werknemers weten wanneer kwaadwillende hen proberen te verleiden tot het openen van bijvoorbeeld ransomware. 

Om dergelijke maatregelen in te voeren is een access management systeem nodig dat automatisch en in real-time reageert op de context en hash-gebaseerde identificatie kan toepassen. Zonder deze mogelijkheden is de beveiliging erg beperkt. 

Stap 5. Zorg dat het beveiligingsproces flexibel is

Bedrijven zijn constant in beweging. Zeker de afgelopen jaren komt er, door de opkomst van onder anderen cloud- en SaaS-diensten, voortdurend nieuwe IT bij. Veel van deze diensten worden zonder tussenkomst van de IT-afdeling in gebruik genomen. Ooit werd dat ‘shadow IT’ genoemd, maar dat is niet meer het geval, het is een fundamenteel onderdeel geworden van de manier waarop software wordt gebruikt. 

Om onveilige situaties te voorkomen moeten organisaties deze voortdurende verandering wel aankunnen. Zo niet, dan kan het bijvoorbeeld gebeuren dat nieuwe applicaties niet gewhitelist worden en werknemers de beveiliging omzeilen om ze toch te kunnen gebruiken. Andersom is het ook gevaarlijk als nieuwe bronnen te gehaast worden gewhitelist  zonder voldoende beveiligt te zijn door policies zoals geo-fencing of wifi-restricties. Geen van deze uitkomsten is acceptabel. 

Organisaties hebben daarom een snel, betrouwbaar en consistent proces nodig om nieuwe (cloud) applicaties toe te voegen aan de whitelist. Zonder een dergelijk proces kan de security de business niet bijhouden – wat zorgt voor beveiligingsrisico’s, of de business tegenhoudt in zijn ontwikkeling. 

Stap 6. Biedt werknemers selfservice-mogelijkheden 

Millenials verwachten een zakelijke IT-omgeving die dezelfde ervaring biedt als hun persoonlijk gebruik van technologie. Selfservice biedt een win-win situatie: zowel de IT-afdeling als de werknemers worden er beter van. Omdat standaardverzoeken automatisch kunnen worden uitgevoerd, hebben werknemers sneller wat ze nodig hebben en worden IT-medewerkers ontlast. Organisaties kunnen zelfs bepaalde taken delegeren aan line of businessmanagers, zoals het toekennen van toegang of het toevoegen van extra licenties. Enkel de IT-experts kunnen dergelijke, veilige taken volgens het beveiligingsbeleid maken en beheren. Zo kunnen medewerkers een hoop zelf regelen, maar geen schade aanrichten.

Stap 7. Bereid de organisatie voor op een audit

Zelfs al zijn alle voorgaande 6 stappen doorlopen, indien een organisatie dit niet kan bewijzen tijdens een audit, is het praktisch voor niets geweest. 

Organisaties die beschikken over een geautomatiseerd whitelisting-systeem, waarin wordt bijgehouden welke acties zijn uitgevoerd, zullen een audit met succes doorstaan. 

Door: Mark-Peter Mansveld, Area Vice President bij RES

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!