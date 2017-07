De hedendaagse APT's, nieuwe technologieën en een jonger werknemersbestand hebben geleid tot het verschuiven van budgetten van het voorkomen van lekken naar detectie en respons. Dezelfde ontwikkelingen hebben organisaties gedwongen een frisse blik te werpen op hun security-beleid en -richtlijnen. Daar is alle reden toe.

Zo zal tegen 2018 bijvoorbeeld de helft van alle organisaties die relaties hebben in de supplychain de effectiviteit van de IT-security van hun partners meenemen in de risico-analyse van die relatie, en zelfs het voortbestaan van die relatie daarop baseren, zo zegt Gartner. Hoe staat jouw securitybeleid ten opzichte van jouw partners?

De meerderheid van het bedrijfsleven heeft een soortement van securitybeleid, of het nu vanaf de bodem is opgebouwd of geleend uit verschillende templates van IT-beveiligingsorganisaties en -leveranciers. Hoe effectief die policies nog zijn is een ander verhaal. Iets van 31 procent van de bedrijven heeft een formeel securitybeleid terwijl nog eens 34 procent een informeel securitybeleid heeft die door diverse afdelingen in het bedrijf wordt onderschreven, zo blijkt uit een onderzoek onder 1500 software-ontwikkelaars wereldwijd door Evans Data.

De ijzeren wetten in het schrijven van een securitybeleid gaan nog steeds op, zoals zorgen dat het proces wordt gedeeld met alle stakeholders die ermee te maken krijgen, begrijpelijk taalgebruik, het voorkomen van rigide policies die de zakelijke groei in de weg staan en zorgen dat het proces pragmatisch is door het goed te testen in de praktijk. Dat het de bedoeling is dat policies voor langere tijd moeten kunnen meegaan, betekent dat niet dat ze niet kunnen verouderen, zegt Jay Heiser, onderzoeken in security en privacy bij Gartner. Vooral op het niveau net onder het beleid, waarin de regels worden neergezet, moet goed worden gekeken of er geen update nodig is vanwege ontwikkelingen in de diverse lines of business of vanwege veranderende wet- en regelgeving. Experts is security en risicobeheersing geven vijf redenen waarom bedrijven een frisse blik moeten werpen op hun securitybeleid.

1. Ransomware, DDoS en APT's

Het aantal aanvallen met ransomware is met 300 procent gestegen vorig jaar en dat wordt erger. Vorig jaar kreeg één op de vijf bedrijven ermee te maken, zegt Kaspersky Lab. De sterkte van DDoS-aanvallen steeg in het eerste kwartaal van dit jaar met 26 procent vergeleken met het kwartaal daarvoor, meldt Verisign.

In het verleden richtte een securitybeleid zich op het beschermen van informatie. Dan hebben we het over policies in relatie met dataclassificatie en met hoe informatie niet op een bepaalde manier te delen op het netwerk. "Tegenwoordig, vanwege ransomware en APT's, moeten policies zich meer richten op het gedrag van gebruikers en het gedrag van de slechteriken", zegt Eddie Schwartz, voorzitter van de securityraad bij ISACA, de internationale beroepsvereniging voor professionals in IT-governance, IT-auditing, informatiebeveiliging en risicobeheer.

Terwijl een securitybeleid 'redelijk robuust en stabiel' moet zijn om die bedreigingen aan te kunnen, moeten sommige regels en individuele procedures die aangeven hoe om te gaan met specifieke bedreigingen vaker worden bijgewerkt omdat de aard van de bedreigingen verandert, zegt Julie Bernard, expert in cyberrisico's bij Deloitte.

2. Cloud, IoT blockchain en andere nieuwe technologie

De nieuwste generatie tools, zoals IoT in de maakindustrie of blockchain in de financiële dienstverlening, maken veranderingen in securitiebeleid nodig. "Het beleid moet gelijke tred houden met de dynamische omgeving waar je in zit", zegt Bernard. "Als jouw bedrijf naar de cloud gaat maken je tech-mensen zich zorgen over de uptime en security. Maar hoe staat het met je beleidsregels die ermee samenhangen? Kan ik informatie delen met een van mijn belangrijkste leveranciers via een cloudapp? En als dat kan, met welke dan? En hoe faciliteer ik dat? Dat roept weer vragen op over regels", legt Bernard uit.

"Je zou een beleid kunnen hebben van 'u zal niet delen', maar behalve als je de technische mogelijkheid hebt om dat te blokkeren, zullen mensen nog steeds proberen hun werk te doen en dus toch te delen", voegt ze eraan toe.

3. Veranderende gebruikersgedrag

Een werknemersbestand met een groeiend aandeel millennials verandert de verwachtingen van technologie en het werkgedrag, wat invloed heeft op het securitybeleid en de regels, zegt Schwartz. Het gaat eerder om 'als je op Facebook gaat op het werk en kijkt naar die grappige kat, wees dan voorzichtig omdat het embedded malware kan bevatten', of 'doe dat gewoon niet op het werk'", zegt hij. "In plaats van gebruikers instructies te geven die generiek zijn over het beschermen van informatie, zal je die instructies meer moeten afstemmen op het gedrag dat ze vertonen op kantoor." Zoals het gebruik van een smartphone op het bedrijfsnetwerk of het gebruik van social media op bedrijfslaptops.

Op de volgende pagina: Te veel regels levert securitymoeheid op, en een matige controle.