Is datasecurity zo simpel als het implementeren van een softwareoplossing? Of moet er een beleid worden opgesteld om medewerkers veilig met data te laten omgaan? Volgens diverse security-experts zijn er drie pijlers van belang bij datasecurity: een beveiligingsbeleid, inzicht in het datagebruik en -toegang en de techniek.
1. Beveiligingsbeleid
Security moet geïntegreerd worden in de bedrijfscultuur. Informeren, opleiden of straffen dragen er aan bij dat iedere medewerker op de hoogte is van de beveiligingsrisico’s, menen de experts.
Bart Renard, director business development bij Vasco
Datasecurity is een volledige mindset die een bedrijf zich eigen moet maken. Niet enkel de it-manager, maar alle medewerkers en het hele management moeten zich bewust zijn van het belang ervan. Iedereen moet de gevaren kennen. Bedrijven moeten het principe van de goede huisvader toepassen: veel communiceren en de medewerkers opleiden, zodat ze weten wat ze mogen, en vooral niet mogen doen. Aangezien de dreiging vaak van binnenuit komt, is het belangrijk dat alleen de juiste medewerkers toegang krijgen tot de zaken waarvoor ze bevoegd zijn.
Daarnaast staat cybersecurity niet alleen. Uiteraard moet er bepaalde software geïnstalleerd worden om technische zaken af te dekken, maar bedrijven mogen ook de fysieke beveiliging niet uit het oog verliezen. Mensen die mee binnenlopen, bepaalde gegevens te zien krijgen of digitale dragers kunnen meenemen vormen een potentieel gevaar.
Jeroen Persyn, marketing manager bij Christiaens
It-security heeft zowel een technisch als organisatorisch aspect. Door het implementeren van fundamentele beveiligingsprocessen kunt u zich tegen veel van de meest voorkomende bedreigingen beschermen.
Daarnaast moet er een securitybeleid worden opgesteld om medewerkers veilig met data te laten omgaan. It-security voor managers en medewerkers moet prioriteit worden. Informeer hen over hoe ze veilig moeten omgaan met hun computer, software en e-mail. Probeer een cultuur van risicobewustzijn te creëren. U kunt hiervoor uitbreid communiceren, richtlijnen uitschrijven of een checklist opstellen met de nodige tips. Uw werknemers zijn uw eerste verdediging en moeten dan ook duidelijk geïnformeerd worden. Deel beste practices en zorg dat security de verantwoordelijkheid is van elke werknemer.
Rene Voortwist, ict-adviseur bij Ictivity Groep
De techniek vormt het fundament van een veilige ict-omgeving. Tegelijkertijd weten we ook wel dat datasecurity voor minstens 50 procent over de organisatie en de mensen in die organisatie gaat. Die nieuwste nextgen firewall wordt waardeloos als medewerkers hun wachtwoord onder op hun toetsenbord schrijven of als ze achteloos een laptop met gevoelige gegevens uitlenen aan zoon- of dochterlief om te gebruiken op school.
We dienen datasecurity dus, naast de techniek, ook te verankeren in de organisatie. Dat vraagt om een beveiligingsbeleid met een vertaling naar praktische aanpassingen waarbij medewerkers zich bewust zijn van risico’s en verantwoord met data omgaan. Het is voor it-beheer heel belangrijk om de organisatie te betrekken bij datasecurity. Zoek een (project)team van mensen die hun eigen afdeling of bedrijfsonderdeel goed kennen. Bespreek met deze mensen wat nu precies de kwetsbaarheden van de organisatie zijn. Welke gegevens zijn cruciaal voor de bedrijfsprocessen? Wat kan men echt niet missen?
Gegevens zijn de laatste stap in een keten van hardware, software en organisatie. Elke soort gegevens heeft zijn eigen keten. Als duidelijk is hoe belangrijk bepaalde gegevens zijn dan kunnen we ook bepalen hoe we de technische- en organisatorische schakels in die specifieke keten moeten beveiligen. Pas dan passen we beveiliging toe vanuit een organisatorische behoefte.
Door de beschreven stappen uit te voeren, weten we zeker dat we goed gefundeerde maatregelen nemen en bovendien niets overslaan. Dan pas zijn de gegevens adequaat beschermd.
Dirk Geeraerts, identity & data protection expert bij Gemalto
Elke organisatie moet ernaar streven om security onderdeel van de bedrijfscultuur te laten zijn. Iedereen binnen alle lagen van de organisatie kan een bijdrage leveren aan goede security. Voor de it-afdeling is het belangrijk dat zij awareness rondom informatiebeveiliging, de risico’s en de impact hiervan creëren. Door het bieden van workshops en trainingen, creëren organisaties bewustwording onder digitale leken en zorgen er zo voor dat zij bewust omgaan met gevoelige gegevens. Vaak hebben medewerkers geen idee van de financiële schade en reputatieschade die op de loer ligt. Deze kosten zijn moeilijk te becijferen, maar lopen wel vaak hoog op. Door cybersecurity onderdeel te maken van de bedrijfscultuur, wordt de kans verkleind dat gevoelige data in handen van hackers komt.
Steven Heyde, regional director bij Trend Micro Benelux
Bedrijven zijn vaak wat hardleers. Zolang ze geen ‘pijn’ voelen – in de vorm van inkomstenverlies of reputatieschade – is datasecurity geen al te grote bekommernis. Dit terwijl het risico almaar groter wordt. Boardrooms mogen security niet meer negeren. Helaas staan we hier nog niet ver genoeg in: ci(s)o’s hebben het moeilijk om security risico’s te vertalen naar de boardroom, en die boardroom denkt nog al te vaak: security is belangrijk, maar het blijft een it-probleem. Er is dus wel al bewustzijn, maar nog geen begrip dat security een gedeelde verantwoordelijkheid is.
De (Europese) overheid draagt hier gelukkig zijn steentje bij: zij maken volop plannen voor een meldingsplicht van datalekken met boetes voor het niet naleven ervan. En dat betekent dat bedrijven uiteindelijk wel verplicht zullen zijn om van security een boardroom-topic te maken. In Nederland is deze wet al in werking getreden. In België kijkt men helaas liever de kat uit de boom tot Europa de meldingsplicht echt doorvoert.
2. Datagebruik en -toegang
Een belangrijk onderdeel van datasecurity is de toegang tot data. Organisaties weten niet over welke data ze beschikken en al helemaal niet wie toegang hebben tot deze data. Dat moet echt aangepakt worden, stellen de securityexperts.
Xavier Duyck, country manager Belux Check Point
Eén van de grootste bedreigingen voor de bedrijfsdata is het verlies van die data. Het verlies van data kan op twee manieren gebeuren. Data kan verdwijnen. Dit is op te lossen met voldoende back-ups. Het kan ook zijn dat personen, die verondersteld worden geen toegang te hebben tot de data, toch bij de gegevens kunnen. Dit tweede geval is de echte uitdaging en moet worden aangepakt met het definiëren van het beveiligingsbeleid, in plaats van op zoek te gaan naar technische oplossingen. Simpel gezegd: als je niet kunt bepalen wie toegang tot welke data moet/mag hebben en wie niet, dan kun je niet aan data security doen.
De aanpak van de meeste bedrijven is om een soort van data classificatie in te voeren en vervolgens deze doen overeenkomen met de juiste profielen binnen het bedrijf. Zodra dit is gedefinieerd – niet alleen voor de interne, maar ook voor externe gebruikers – kan men als bedrijf pas op zoek gaan naar (technologische) oplossingen die dit beleid kunnen afdwingen.
Rudolf De Schipper, senior project manager bij Unisys
Werknemers zijn nog altijd een zwakke plek als het gaat om bedrijfsdata en datalekken bij organisaties. Niet altijd bewust, soms gewoon omdat ze nog steeds zorgeloos omspringen met data. In eerste instantie gaat cybersecurity over opstellen van een correct veiligheidsbeleid. Een dergelijk beleid komt neer op het begrijpen van welke gegevens belangrijk zijn, welke gegevens beveiligd moeten worden, welke eventueel niet beveiligd hoeven te worden, weten welke mensen toegang hebben tot welke data en waarom. Technologie helpt om deze regels of dit beleid op te leggen. Maak data onzichtbaar voor personen die geen toegang hebben tot deze data.
Eddy Willems, global security evangelist bij G Data
Veel bedrijven hebben helemaal geen idee over welke data zij precies beschikken en waar die data allemaal zijn. Er wordt bij databescherming vaak gedacht aan encryptie van de gegevens op de server of in de (zakelijke) cloud. Maar bij bijna elk bedrijf worden data ook door werknemers van de server gekopieerd naar hun eigen desktop, usb-sticks, smartphones, hun persoonlijke Dropbox of hun Gmail-account.
Neem het datalek van het Antoni van Leeuwenhoek Ziekenhuis in Amsterdam. Hierbij had een onderzoeker van het instituut patiëntengegevens onversleuteld op een harde schijf gezet. Dat op zich is al een datalek, maar toen werd die harde schijf ook nog eens gestolen. Bedrijven moeten een veel sterkere discipline ontwikkelen als het aankomt op data management. Daarbij moeten zij veel striktere policy’s ontwikkelen waar medewerkers ook echt aan worden gehouden. Overtreding van de policy zou reden van ontslag moeten kunnen zijn.
3. Techniek
De experts zijn het er ook over eens dat wanneer er een goed beveiligingsbeleid is opgesteld, de techniek helpt om alle bedrijfsdata te beschermen. Hierbij moet niet alleen gedacht worden aan encryptie, maar ook aan het detecteren van en reageren op een aanval.
Peter Magez, country manager bij Sophos
De regels/policy’s rond datasecurity moeten langs een technische kant ondersteund worden. Medewerkers kunnen vanuit de organisatie regels opgelegd krijgen, maar als ze deze regels niet toepassen gaat het weinig effect hebben op de datasecurity. Een bedrijf moet dus naast weloverwogen regels ook de nodige softwareoplossing(en) gebruiken om deze regels te kunnen afdwingen en niet enkel rekenen op de goodwill van de medewerkers. Er kan namelijk altijd iets fout lopen.
Encryptie van data is hier bijvoorbeeld een mooie softwareoplossing die het beleid kan ondersteunen en versterken. En met next generation data protection merken werknemers ook niks van encryptie. Bedenk je namelijk dat de nieuwste versies van iOS ook gebruik maken van encryptie. Het mooie hiervan is, dat niemand merkt of weet dat hun telefoon gebruik maakt van encryptie. In die gevallen werkt een dergelijke oplossing het best. Als de gebruiker niet eens doorheeft dat hij daadwerkelijk is beveiligd.
Rob Pronk, regional director bij LogRhythm
De cyberbedreigingen van vandaag de dag zijn zo geavanceerd en alomtegenwoordig dat traditionele cyberbeveiliging niet meer voldoende is. Elke organisatie – groot en klein – loopt risico’s. Ze moeten dan ook middelen en processen hebben om die risico’s zo snel mogelijk te verkleinen. Alleen door ze te verkleinen, blijven hun meest kritische bezittingen veilig.
Het probleem is echter dat veel bedrijven zich blijven richten op het identificeren en blokkeren van bedreigingen aan de rand van het netwerk. Echter, deze preventieve strategieën mislukken tot op heden en zijn al vaak mislukt, zo blijkt ook uit enkele van de grootste, krantenkop-scorende aanvallen.
Beschermen en voorkomen is onvoldoende. Bedrijven hebben security-intelligentie nodig die inzicht biedt in netwerkactiviteit en ze in staat stelt een inbreuk te detecteren. Vervolgens moet hier zo snel mogelijk op gereageerd worden om de risico’s direct te verkleinen. Hierbij is het effectief beheer van de data die apparaten leveren aan het netwerk.
ICT-beurzen
Cybersecurity is een belangrijk thema tijdens Infosecurity.be, Storage Expo en The Tooling Event 2016. Deze beurzen vinden plaats op woensdag 15 en donderdag 16 juni 2016.
