IT security beleid, essentieel en geen papieren tijger

In navolging op het vorige blog over de Citrix kwetsbaarheid gaan we in dit blog verder op het onderwerp in om beter beschermd te zijn tegen datalekken en tegen andere kwaadwillende factoren. Een goede beveiligingsstrategie omvat erg veel. De doelstelling van dit blog is om een aantal van deze gebieden nader toe te lichten. Ook benoemen we globaal een aantal zaken in de mogelijke oplossingsrichting.

Cyber security strategie

De vergelijking met vroeger

Vroeger, toen we allemaal nog naar kantoor reden om daar onze werkzaamheden te doen zonder complexe IT omgevingen, zag de wereld van de beveiliging van het kantoor er niet zo heel anders uit dan vandaag de dag. Men zorgt over het algeheel nog steeds voor de volgende onderwerpen:

  • Toegangscontrole/bewaking van het pand;
  • Camera bewaking;
  • Mogelijkheid tot het beveiligd opbergen van diverse zaken;
  • Alarm centrale.

Van alle vier de zaken vinden we het volledig logisch dat ze bestaan. Er is voldoende budget vrijgemaakt om deze zaken in te vullen. Maar is dit in de digitale wereld ook zo? We moeten helaas vaak constateren dat dit niet altijd het geval is. Kijkend naar de vier genoemde onderwerpen vertaald naar de digitale wereld, spreken we onder andere over de volgende IT-security thema’s:

  1. Identity en Access Management;
  2. Authenticatie (Multi Factor, Single Sign On);
  3. Inrichting van Active Directory (groepen/rollen onderverdeling);
  4. Audit trailing en logging.

Vroeger werd je als werknemer aangemeld binnen het personeelsbestand en kreeg je toegang tot het kantoor. Of het met een sleutel en een alarmcode was, of met bijvoorbeeld de bekende druppel, of een pasje zodat de beveiligingsbeambte (of de lezer bij de betreffende deur) weet wie je bent en of je geauthenticeerd bent voor toegang. Er waren procedures met betrekking tot bezoek, aanmelden, pasjes uitdelen, alleen of begeleid door het pand etc. Alle procedures werden door alle afdelingen gevolgd en, belangrijker nog, ook begrepen.

Hoe is dit vandaag de dag digitaal geregeld? Stel jezelf de volgende vragen:

Hoe word ik vandaag de dag geïdentificeerd als medewerker als ik (al dan niet op afstand) inlog op mijn bedrijfssysteem?

Als je binnen kantoor bent, of op afstand inlogt, zijn er zeer veel vertrouwelijke bronnen waartoe je wel of geen toegang verkrijgt. Je zal je dus moeten melden bij de beveiliging en aan het systeem duidelijk moeten maken dat jij degene bent die het dossier opent (hier is goede authenticatie technologie voor nodig, zie punt 2). Ook zal je in de juiste groepen van medewerkers moeten worden geplaatst om er voor te zorgen dat je de juiste ‘digitale zones en kamers’ kan inlopen en ook sleutels hebt van de juiste ‘digitale dossierkasten’. Dit is terug te relateren op een het inrichten van goede rollen en groepen binnen het Active Directory (zie punt 3).

Hoe stelt men vast dat ik het ècht ben en geen kwaadwillende?

Als wij een groot kantoor van bijvoorbeeld een bank bezoeken, vinden we het heel normaal dat wij ons moeten legitimeren met een paspoort of ID kaart. Als we willen inloggen bij de belastingdienst vinden we het ook normaal dat we met DigID moeten inloggen en via bijvoorbeeld een SMS notificatie bewijzen dat we het écht zijn. De gedachte hierachter is eenvoudig. Op het moment dat je met je gebruikersnaam zegt dat je iemand bent, kan je met een aantal factoren bewijzen dat je dat het daadwerkelijk bent met bijvoorbeeld deze factoren: 

  • Iets dat je weet (wachtwoord);
  • Iets dat je bent (bv. een vingerafdruk);
  • Iets dat je hebt (bv, een sms code);
  • De locatie waar je je bevindt (o.b.v. GPS of een IP adres);
  • De tijd waarop je probeert aan te loggen. 

Door deze of enkele van deze factoren (al dan niet gecombineerd) verplicht te maken bij het inloggen kan men waarborgen dat de juiste persoon echt bij de ‘ingang’ staat. Omdat men tegenwoordig bij veel plekken moet inloggen wordt het soms een tijdrovende bezigheid om je iedere keer dat je een applicatie opent meervoudig te legitimeren. Daarvoor bestaan er tegenwoordig hele handige en veilige ‘Single Sign On’ producten. Hiermee identificeer je jezelf één keer digitaal (bij voorkeur op basis van meerdere factoren) bij de ‘digitale beveiligingsbeambte’. Je krijgt dan daarna digitale toestemming om de bronnen en zones te betreden die bij je rol horen.

Waar krijg ik allemaal toegang toe (applicaties, databronnen, kroonjuwelen)?

Goed nadenken over waartoe medewerkers toegang hebben is van essentieel belang. Een voorbeeld uit onze eigen ervaring: een stagiaire op de IT afdeling was ingedeeld in de zogenaamde administrators-groep van de IT omgeving. De administrators hadden van oudsher bij de organisatie in dit voorbeeld alle rechten op de afdelingsschijven en de Sharepoint omgeving. De C-level directie was op dat moment bezig met een overname van de organisatie. De correspondentie omtrent deze overname stond in de directiemap op de fileserver. Je raadt het al, de stagiaire kon dus bij deze zeer vertrouwelijke informatie, maar ook alle medewerkers van de IT partij waar het beheer deels was ondergebracht. Dit was geen wenselijke situatie, die met de hoogste prioriteit moest worden aangepakt. In dit geval kwam de stagiaire niet per se in de verkeerde groep en rol terecht, maar werden er teveel digitale sleutels uitgedeeld aan de groepen.

Hoe en van waar kan ik toegang verkrijgen tot mijn bedrijfssysteem?

Het is zaak om mensen op de afdelingen verantwoordelijk te maken voor het indelen van zijn of haar personeel. Wij noemen dit eigenaarschap. Vroeger keken we iemand vreemd aan als hij een kast of la opende waarvan wij dachten dat het discutabel is. Nu is de informatie digitaal en zien we niet of iemand zich verdacht gedraagt door in bepaalde folders rond te ‘snuffelen’. Eigenaarschap is een onderwerp die vandaag de dag nog niet goed geadresseerd wordt in de IT security wereld.

Camera bewaking?

Hoe zien we nu echt wat er in onze digitale omgeving gebeurt? Kan ik zien wie welk bestand heeft geopend? Wie waar heeft ingelogd, van welk apparaat? Wie welke mail heeft gelezen? Welke gevoelige gegevens in de betreffende bestanden staat? De onderwerpen voor logging, en het bouwen van een audit trail (een digitaal spoor wat je achterlaat als je bestanden opent) zijn hier van toepassing. Zonder dit is er geen bewijslast bij een inbraak en wordt het lastig goede analyses te maken en in te schatten wat de impact is. Met alle gevolgen van dien. 

Tot slot

Denk met medewerkers uit de gehele organisatie na over IT beveiligingsrisico’s. De business weet meer dan het algemene management en de IT-afdeling alléén. Maak gedegen risicoanalyses en wijs data eigenaren aan op de diverse afdelingen. IT security is in het belang van en belangrijker nog, de verantwoordelijkheid van alle medewerkers. Iedereen kent essentiële details die van waarde zijn in het opstellen van het beleid.

Meer weten? Neem gerust contact met ons op en maak eens tijd voor een verhelderende whiteboard sessie waar we jouw organisatie centraal zetten in deze metafoor. Door onze Managed Security Services kun je met een gerust hart gaan slapen!

Alwin Veen – Felton

Waarom u Network as a Service zou moeten overwegen

Het beheer van een bedrijfsnetwerk is door de groei van het gebruik en de sterk toegenomen afhankelijkheid van de beschikbare data een steeds grotere uitdaging. Bovendien zijn er meer dreigingen van buitenaf en ontbreekt het intern regelmatig aan de specialistische kennis die nodig is om de werking en veiligheid van het netwerk te garanderen. Hoe gaat u bijvoorbeeld om met het toenemende aantal thuiswerkers en het verlenen van toegang voor gasten? Wat is er nodig om een netwerk goed te beveiligen en hackers buiten de deur te houden?

Netwerkbeheer vereist specialistische kennis

Veelvoorkomende fouten zijn onder meer:

  • Het niet of niet tijdig doorvoeren van updates;
  • Te breed geconfigureerde policies;
  • Geen standaard authenticatie- en encryptiemechanisme;
  • Testomgevingen die verbinden met data uit productieomgevingen;
  • Logging outputs die niet worden geanalyseerd.

Daarnaast kan een switch, router, access point of firewall verkeerd zijn ingesteld of een technisch mankement vertonen. Kortom, het beheer van een compleet bedrijfsnetwerk is voor veel organisaties een grote uitdaging en vereist specialistische medewerkers die helaas vaak lastig te vinden of vervangen zijn.

Network-as-a-Service is de oplossing

De meeste bedrijfsnetwerken bestaan tegenwoordig uit een complex geheel van netwerkcomponenten, zoals switches, routers, access points en firewalls. Daarmee is het de basis voor een verbinding van applicaties, systemen en gebruikers en daarmee een essentieel onderdeel van de organisatie. Vanwege toegenomen complexiteit, afhankelijkheid en tegelijkertijd de behoefte om kosten te besparen, zien steeds meer organisaties het (deels) uitbesteden van het beheer van de netwerkinfrastructuur als een goede oplossing.

Immers, een enkel verkeerd geconfigureerd component of een hack kan ernstige schade toebrengen. Het beheer van het netwerk vergt door deze ontwikkelingen constante finetuning en monitoring om de continuïteit te waarborgen en goed beschermd te zijn tegen zowel interne als externe beveiligingsrisico’s.

De voordelen van beheer uitbesteden

Hoewel de business altijd doorgaat, beschikt het netwerk van de meeste organisaties niet over een 24/7 beheer- of monitoringfunctie. De inzet van NaaS maakt het netwerk altijd beschikbaar en voorzien van de laatste veiligheidsupdates. Kortom, het netwerkbeheer en de infrastructuur uitbesteden via Network-as-a-Service (NaaS) biedt veel voordelen:

  • U beschikt altijd over een team van externe specialisten, die 24 uur per dag en 7 dagen per week de continuïteit en veiligheid van het netwerk waarborgen;
  • Meer flexibiliteit en lagere beheerkosten. Lagere kosten doordat op- en afschalen altijd mogelijk is. Het dynamisch kunnen afstemmen van de beschikbare netwerkcapaciteit op de daadwerkelijke behoefte van een organisatie geeft daarbij veel flexibiliteit;
  • Een altijd up-to-date netwerk, voorzien van betrouwbare hardware en systemen met de laatste updates, biedt veel veiligheid en waarborgt de bedrijfscontinuïteit;
  • Medewerkers hebben overal en altijd toegang tot het netwerk en de benodigde applicaties;
  • Geen grote investering vooraf in eigen netwerkinfrastructuur meer nodig.

Vraagstukken rondom Network-as-a-Service

Network-as-a-Service is een prachtige oplossing voor bovenstaande uitdagingen. Natuurlijk brengt het ook vragen mee zich mee, zoals: “Heb ik nog wel directe controle over mijn netwerk?”, “Kunnen al mijn applicaties en diensten wel functioneren via NaaS?”, en “Kan ik de kwaliteit van onze dienstverlening wel waarborgen?”.

In de praktijk blijkt dat Network-as-a-Service voor veel bedrijven aanzienlijke voordelen oplevert. Felton is gespecialiseerd in NaaS, beantwoordt al dit soort vragen en adviseert over de beste opties. Benieuwd naar de mogelijkheden voor uw organisatie? Een van onze technische specialisten geeft graag meer informatie. Bel naar (0)88 4637700 of stuur een e-mail naar sales@felton.nl.

× Stel je vraag via Whatsapp Available on SundayMondayTuesdayWednesdayThursdayFridaySaturday