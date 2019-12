De oude IT-wereld kende andere beveiligingsrisico's dan nu. Daarom zijn de oplossingen van toen niet altijd geschikt voor hedendaagse problemen. Je kunt cloud-security vergelijken met dit voorbeeld: het gaat niet meer om het beveiligen van je huis, maar om dat wat erin zit. De dingen waar je het meeste waarde aan hecht: foto's, persoonlijke spullen: de 'kroonjuwelen'. En die zijn tegenwoordig vaak digitaal. Hoe bescherm je die? Hoeveel data verlies je als het misgaat en hoe snel kun je die terughalen? We hebben vaak wel een onderbuikgevoel over de risico's, maar welke zijn reëel?

One size fits all is geen optie

Goed om te beseffen: one size fits all bestaat niet wanneer het gaat om cloud-security. Het hangt van zoveel af: de organisatiegrootte, of het een profit- of non-profitorganisatie is, de organisatiedoelen, de kosten, de specifieke risico's en de risicobereidheid. Niet alle data zijn bovendien even gevoelig en vereisen dezelfde mate van beveiliging. En dan zijn er nog de leveranciers, met elk hun eigen voorwaarden.

Datalekken ontstaan op allerlei manieren. Het is zaak om al deze manieren te bekijken en erop te anticiperen. De infrastructuur monitoren, het netwerk scannen, pentests uitvoeren, security parameters bepalen en zorgvuldig omgaan met configuraties: het is allemaal nodig, maar het is niet genoeg. Een zero-trust-beleid, met als basis de identiteit van de gebruiker, is bijvoorbeeld noodzakelijk. Maar ook goede en duidelijke afspraken maken met leveranciers over verantwoordelijkheid en zorgen voor een veiligheidscultuur zouden hoog op ieders prioriteitenlijstje moeten staan. Menselijk handelen is en blijft daarbij een kwetsbare factor. Wanneer de verantwoordelijkheid rond veiligheid toeneemt, bouw je aan meer vertrouwen. In de bijeenkomst kwamen een aantal succesfactoren naar voren:

1.Trust boundaries vaststellen met leveranciers

Maak afspraken met leveranciers rond technische beveiliging en verantwoordelijkheid. 'Hopen dat het goedkomt' is niet de juiste houding. Wees nieuwsgierig: contracten veranderen kun je vaak niet, maar je kunt je er wel in verdiepen. Het gaat om de 'trust boundary' tussen jouw bedrijf en de leverancier. Goede documentatie is daarvoor essentieel. Hierin moet worden vastgelegd wie waarvoor verantwoordelijk is: wat doet de leverancier en wat doe je zelf? Hoe zit het met de technische veiligheid? En wat als het misgaat? Kortom: kies een pragmatische aanpak. Dat wil niet zeggen dat alles altijd direct perfect zal zijn; testen blijft een noodzaak. Besef dat je uiteindelijk altijd zelf verantwoordelijk bent als organisatie.

2. Veilige bedrijfscultuur creëren

Computerschermen open laten staan, geheime documenten 'even' laten vertalen door Google Translate... menselijk handelen is een risico. Daarnaast vinden veel medewerkers allerlei veiligheidsmaatregelen - zoals maandelijks een nieuw wachtwoord kiezen - lastig en ingewikkeld. Werk daarom aan bewustzijn en transparantie rond security. Het blijkt dat alleen kennis niet genoeg is. Zet het op de agenda, maak het bespreekbaar, houd bijeenkomsten en herhaal het tijdens vergaderingen. Het gaat erom de stap te maken van 'kennis van veiligheid' naar een 'cultuur van veiligheid'. En dat kost tijd. Mensen moeten ook leren zien dat bepaalde maatregelen erop gericht zijn om hen en de organisatie te helpen. Er is daarom een ware omslag in denken nodig.

3. Benader phishing-mail en shadow-IT op individueel niveau

Of het versturen van fake phishing-mails nuttig is, staat ter discussie: het lijkt erop dat bedrijven zich bij goede resultaten veiliger voelen, waardoor hun aandacht verslapt. Wat je misschien beter kunt doen is mensen een e-course aanbieden als ze op phishing-links klikken. Of maatregelen nemen die persoonlijke consequenties hebben wanneer het herhaaldelijk gebeurt, zoals de hoogte van bonussen verminderen. Wanneer mensen consequenties persoonlijk voelen, zijn ze namelijk eerder geneigd hun gedrag aan te passen. Ook wanneer ze weten dat er meegekeken wordt naar wat ze doen, draagt dat bij aan veiligheid. Ook bij shadow-IT lijkt de persoonlijke benadering het beste te werken. Verbieden heeft geen zin. Beter is om mee te kijken met de gebruiker: waar ligt zijn of haar behoefte en is er intern een betere (veiligere) oplossing voor die behoeften?

4. IT'ers opleiden en bewust maken

Interne IT'ers krijgen een andere rol wanneer het bedrijf infrastructuur, applicaties en data gaat outsourcen naar teams buiten de deur. Zij staan er niet altijd voldoende bij stil dat de risico's veranderd zijn omtrent veiligheid. Bovendien zijn er andersoortige skills nodig om cloud-technologie te begrijpen. Investeren in kennis en bewustzijn van IT-specialisten is daarom een voorwaarde om te werken aan cloud-security.

5. Data owners aanstellen

Data owners - in de vorm van personen of teams - aanstellen blijkt een succesfactor voor de veiligheid van data. Hierbij is het belangrijk dat de personen in kwestie werkelijk gecommitteerd zijn en waarde hebben voor de organisatie. Wanneer je mensen verantwoordelijk maakt, blijkt vaak dat ze zich anders gaan gedragen: er ontstaat meer bewustzijn.

6. Techniek inzetten om mensen te beschermen

De vraag is: kun je alle gedrag wel tot in het oneindige verbeteren? Het lijkt vaak effectiever om mensen daarbij te ondersteunen, bijvoorbeeld door techniek die hen beschermt. Onderdeel van het zero-trustbeleid is bijvoorbeeld multifactor-authenticatie; een betrouwbare en laagdrempelige manier om in te loggen. Hiermee voorkom je datalekken zonder medewerkers teveel te belasten. Ook whitelisting kan uitkomst bieden.

De schatting is dat een organisatie vier tot vijf jaar nodig heeft om veiligheidsbewustzijn te creëren. Conclusie van de avond was dat de mate van volwassenheid op het gebied van veiligheid binnen de organisaties van de deelnemers sterk aan het toenemen is, 'maar we zijn er nog niet'.