Informatiebeveiliging; geen voorspellingen maar maatregelen voor 2014!

Blog 24 januari 2014 4 min. lezen
facility_hero_image.png
Informatiebeveiliging.png

De laatste maand van 2013 leverde de gebruikelijke voorspellingen voor het nieuwe jaar op. Die ‘top-zoveel’ lijstjes geven op zich een aardig beeld van de actuele en komende bedreigingen op security-vlak. Alleen mist vaak een belangrijker overzicht: de te nemen maatregelen. Dan hoef je niet alle voorspellingen door te worstelen, maar heb je meteen een actielijstje klaar. Voor de reguliere budgetronden is het wellicht te laat, tenzij je een gebroken boekjaar hebt. Maar heb je een reservering voor de post informatiebeveiliging? Dan zou ik inzetten op één of meer van de volgende vijf aandachtspunten: awareness-sessies, security management, encryptie, mobiele device management of quarantainemaatregelen voor verouderde systemen.

Awareness sessies

Het kan niet genoeg benadrukt worden. Als informatiebeveiliging niet ‘tussen de oren’ van alle betrokkenen zit, haal je nooit het maximale rendement uit de genomen maatregelen. Dan kun je nooit 100% beveiliging realiseren, al kun je wel een heel eind komen. Denk bij een awareness-sessie bijvoorbeeld aan het organiseren van enkele workshops door een ethical hacker voor de managementlaag. Of presenteer een analyse van het netwerk- en applicatieverkeer (en de bestemmingen hiervan) aan de directie. Is er al voldoende draagkracht bij het management? Dan is het zaak om bredere awareness te creëren (en te houden). Dit kan door een gespecialiseerde partij in de arm te nemen, maar ook door bijvoorbeeld de gratis beschikbare (poster)materialen te benutten. ‘Campagne’ is het sleutelwoord. Maak om de awareness te behouden een communicatieplan met terugkerende activiteiten.

Security management

Hoe zit het met de eigen security-organisatie (als deze al bestaat)? Zijn alle rollen belegd? De proceskant van security wordt vaak over het hoofd gezien. Huur indien nodig tijdelijk expertise in om de basis in te richten. Hou er wel rekening mee dat je de eindverantwoordelijkheid nooit kunt ‘outsourcen’. Vaak zie je dat meteen allerhande technische oplossingen worden aangeschaft om delen van de informatiebeveiliging te verhogen, zoals een Intrusion Prevention System, URL filtering en Mobile Device Management. Die systemen moeten er zijn, maar er moet ook iets gedaanworden met rapportages/meldingen van dergelijke systemen. Wie is het eerste aanspreekpunt voor beveiligingsincidenten? Wat doet deze persoon vervolgens met de informatie? Met wat voor mandaat? Wie is de back-up? Dit vraagt om een gedegen procesbeschrijving die relaties legt met de reguliere incident- en changemanagementprocessen.

Encryptie

Ondanks alle onthullingen over de NSA-praktijken moeten bedrijven serieus nadenken over encryptie. Te vaak worden bedrijven beveiligd volgens het kasteelprincipe: de verdedigingswerken aan de buitenkant zijn geregeld, maar eenmaal binnen heeft men vrij spel. Vaak kun je met relatief eenvoudige social engineering en ‘phishing’ technieken binnenkomen. Vaak blijft buiten beschouwing dat er veel data buiten het bedrijfsnetwerk beschikbaar is, terwijl dit allang geen verrassing meer mag zijn. Zaak om de data zelf te beveiligen. Ga er vanuit dat je ooit ongewenste bezoekers op het interne netwerk krijgt. Zorg er tenmiste voor dat er dan niets met de data te doen is. Data ‘encrypten’ zou geen uitzondering moeten zijn maar regel. Dit geldt ook voor de centraal opgeslagen data, niet alleen voor de data in e-mailberichten en op de pc’s.

Mobile device management

Mobile device management, je kunt er echt niet meer omheen. Laat het toenemende gebruik van ‘mobile devices’ niet op zijn beloop. Het ‘Bring Your Own Device’-principe lijkt in eerste instantie een kostenbesparing, maar de (on)mogelijkheden rond het beheer en de resulterende kosten worden gemakshalve vaak vergeten. ‘Here is your own device’ (HYOD) is wat informatiebeveiliging betreft nog altijd de betere optie wat mij betreft. Als het apparaat door het bedrijf beschikbaar gesteld wordt, kunnen verdergaande maatregelen genomen worden om de data te beschermen (zoals op afstand wissen van data, beveiligingsinstellingen afdwingen en controle over geïnstalleerde apps). Overigens hou je ook met HYOD privacydiscussies, maar waarschijnlijk in mindere mate. Een serieuze oplossing voor beheer van mobiele apparaten loopt in de papieren, maar toch zou ik hier niet op bezuinigen. Dit gezien de explosieve groei van de hoeveelheid malware voor én van de hoeveelheid bedrijfsdata op mobiele apparatuur.

Quarantainemaatregelen

Nog Windows XP in je bedrijfsomgeving? Het verdient aanbeveling om dit waar mogelijk te vervangen, en anders de systemen die machines/productieprocessen aansturen in een ‘quarantaine-omgeving’ te plaatsen. Vanaf april 2014 brengt Microsoft geen security patches meer uit, terwijl nog niet alle lekken gedicht zijn. Geen verbinding met internet zou hier het motto moeten zijn.

Deze vijf punten zijn gebaseerd op de trend die te zien is in diverse voorspellingen voor 2014 waar ik me volledig bij kan aansluiten. Uiteraard zijn er voor iedere omgeving andere aandachtsgebieden te benoemen.

Neem contact op met Fred

Directeur Stuur een bericht