Niet de technologie, maar de mens is leidend in de beveiliging van organisaties. Daarvoor is het noodzakelijk dat partijen in de securityketen beter met elkaar gaan praten en naar elkaar luisteren, dat er meer transparantie komt en dat medewerkers continu worden getraind. Dat stelt Jeroen Renard, security officer bij Odin Group, waar Sophos-partner Lesscher IT onder valt.
“Security zit vooral aan de menselijke kant”, zegt Renard. Hij pleit voor een geïntegreerde en transparante keten waarin de partijen zich realiseren dat een Fort Knox niet het streven moet zijn. “Met technologie kunnen we veel basiszaken beveiligen, maar het is algemeen bekend dat de mens nog immer de zwakste schakel is. Met die wetenschap moeten bedrijven nu flink aan de slag.” Hij doelt daarmee op de berichten dat steeds meer bedrijven – groot en klein – worden getroffen door cyberaanvallen. “In deze wereld waarin IT zich steeds meer verplaatst van on-premise naar de cloud, wordt beveiliging in toenemende mate een kwestie van vertrouwen.”
IT-gasten in een kelder
Vertrouwen dat begint in de keten. Dat is een van de uitdagingen die Renard bij veel organisaties ziet. Dat de afstemming tussen klant en leverancier stukken beter kan. “Security is niet meer iets van één organisatie, het is iets dat je gezamenlijk doet met de leverancier, een partner of cloud-provider.”
Dat betekent dat, ook als de it-omgeving uitbesteed is, het geen black box mag zijn voor een organisatie. Volgens Renard is het belangrijk dat organisaties in contact blijven met hun ketenpartners, zodat kennis kan worden gedeeld over nieuwe ontwikkelingen, trends, maar ook risico’s en bedreigingen.
Bovendien leert een leverancier of partner de organisatie zo steeds beter kennen, waardoor die eenvoudiger op wensen kan inspelen. “Voor een bedrijf is het ook belangrijk om te weten hoe de werknemers de omgeving gebruiken. Men denkt al snel dat Johan van de administratie de hele dag alleen in administratieve systemen werkt, maar mensen doen ook dingen buiten die ene specifieke bedrijfsomgeving. Hoe werk je dan precies? Moeten er misschien contracten of privacygevoelige gegevens worden verzonden? Wordt daar encryptie voor gebruikt? Hoe gaat dat als Johan een dag thuis werkt? Over die dingen moet je praten met je leveranciers en partners.”
IT-systemen omzeilen
Een tweede security-uitdaging die Renard veelvuldig ziet is schaduw-it. Werknemers hebben vaak een eigen manier van werken. Voor werkgevers is het daarom zaak om hun mensen zoveel mogelijk te faciliteren in plaats van te beperken. “Welke tooling heb je nodig voor het werk dat je gaat doen? Als organisatie moet je faciliteren wat een werknemer nodig heeft, en dat doen vanuit een professionele omgeving. Op die manier houd je zicht op wat er gebeurt en heb je grip op de security. Dat heb je niet als iedereen zijn eigen apps en maniertjes gebruikt om zijn werk te vergemakkelijken.”
Minimale inspanning is onbegonnen werk
De privacywetgeving is voor veel organisaties een voortdurende security-uitdaging. Sinds begin dit jaar is de meldplicht datalekken van kracht en vanaf 25 mei 2018 krijgen bedrijven in alle EU-lidstaten te maken met de Algemene Verordening Gegevensbescherming. Renard adviseert bedrijven een gedegen gap-analyse uit te voeren. “We hanteren al een aantal jaren de CBP richtlijnen voor beveiliging van persoonsgegevens. Ik adviseer ook externe bedrijven over security en ik merk dat bedrijven de betreffende procedures en maatregelen nog niet echt hebben ingevoerd, terwijl die wel heel goed te mappen zijn met andere security-standaarden, zoals bijvoorbeeld ISO 27001. Het komt erop neer dat organisaties zeggen dat het minimale wat je moet doen om met persoonsgegevens te mogen werken, onbegonnen werk is. Dat kan niet, hier moeten bedrijven mee aan de slag.”
Hij geeft een voorbeeld van een systeem waar mogelijk in 2019 een groot lek in optreedt, omdat het systeem in 2012 is gebouwd en er destijds onvoldoende security by design is toegepast. 99 procent van de exploits zijn zaken die een jaar geleden al bekend waren. Het aantal DDoS-aanvallen neemt toe en de meldingen van ransomware stijgen navenant. “Het is essentieel dat bedrijven zich afvragen wat ze gaan doen met oude systemen en aan welke eisen nieuwe pakketten moeten voldoen die men nu aanschaft. Security is geen separaat onderwerp, als het niet is ge-embed in het denken van mensen, in je systemen, ontwerpen en implementaties, dan kom je er simpelweg niet.”
Mail van de directeur?
Maar alle technologie en tooling ten spijt is nog altijd de mens het grootste gevaar van de digitale veiligheid. Bewustzijn is dan ook enorm belangrijk. “Dat is iets waar je als bedrijf continu mee bezig moet zijn”, stelt Renard. Iedere werknemer moet regelmatig cursussen volgen en daarnaast proefondervindelijk de mogelijkheid krijgen zich te verbeteren, bijvoorbeeld via het aanbieden van phishingtests (pentests). “Wat maakt dat awareness werkt, is dat er in eerste instantie een goede procedure wordt gemaakt die je steeds herhaalt en test. Herkennen medewerkers phishingmails? Wat maakt dat ze toch op een malafide link klikken?”
Uiteraard moet je het niet nalaten om zaken technisch in de architectuur af te dichten, zoals een SPF-record op een domein en een digitale handtekening op e-mails. “Daarmee kun je al een heleboel ellende voorkomen, zeker op het gebied van ransomware.” Met een SPF-record wordt ervoor gezorgd dat er niet gespoofd kan worden, oftewel dat een ongeautoriseerd iemand geen mails kan versturen vanaf het organisatiedomein. “De kritische houding van veel Nederlanders naar leidinggevenden en directie ten spijt, zijn er nog genoeg mensen die direct in de houding springen als onderaan een mailtje de naam van hun baas prijkt, maar als een domein gespoofd is, kan een cybercrimineel eenvoudig met zijn mailadres berichten sturen met malafide links. In de praktijk blijkt dat het gros van de mensen echt wel op een linkje klikt als hun directeur daar in een mailtje om vraagt.”
