Door de opkomst van cloudcomputing, sociale netwerken, bring your own device (byod) en het internet of things (ioT) zijn alles en iedereen met elkaar verbonden. Bedrijfsgegevens en toestellen voor professioneel gebruik blijven niet langer binnen de fysieke grenzen van het bedrijfsnetwerk en zijn dus moeilijker te beveiligen dan vroeger.
De veiligheid van bedrijfsgegevens is vandaag een fundamentele voorwaarde voor bedrijfscontinuïteit. Als je data gecompromitteerd of verloren raakt, berokkent dat niet alleen economische schade, maar ook schade aan je reputatie en concurrentiepositie. Databeveiliging gaat dus het hele bedrijf aan en is dan ook niet enkel de verantwoordelijkheid van de it-afdeling. Een geïntegreerd beleid, over de operationele, strategische en financiële grenzen heen, is aangewezen. Het is ook geen eenmalig project of operatie, maar moet als een continu proces behartigd en opgevolgd worden.
Bewustwording
Voor je tot een beleid kan komen op het vlak van datasecurity moet een bedrijf een aantal andere stappen zetten. In de eerste plaats is er bewustwording. Vandaag zien we dat grotere bedrijven over het algemeen sterker bewust zijn van het belang van databeveiliging. Functies als chief security officer (cso), chief data officer (cdo), chief privacy officer (cpo) worden in het leven geroepen, met als doel het beleid rond data security en privacy op te stellen en te integreren binnen een algehele it-beveiligingsbeleid. Nieuwe regelgeving, zoals de Europese GDPR, zijn daarin een drijvende factor.
Bij kmo’s groeit de bewustwording, maar ze is nog steeds te laag. Toch zijn ze vandaag evenveel of zelfs meer een doelwit van kwaadaardige aanvallen. We zien dat zij nog te vaak een vals gevoel van bescherming hebben doordat ze louter technologie – zoals een firewall of antivirus – installeren. Ze zien het belang van goed beheer ervan niet altijd in. Kmo’s kunnen zich dan ook het best laten adviseren door een gespecialiseerde partner om tot een sluitende aanpak te komen.
Risicoanalyse
De volgende stap die het eigenlijke beleid vooraf gaat, is het in kaart brengen van de risico’s en noden op het vlak van datasecurity. Die zijn voor elk bedrijf anders. Bedrijven dienen aan de hand van een zogenaamde ‘risk based’-analyse hun belangrijkste kwetsbaarheden en behoeften naar boven te brengen: Wat zijn de belangrijkste processen, applicaties en gegevens? Wat is de impact van dataverlies? Stel dat je bedrijf veel met tablets werkt, dan vraagt de beveiliging daarvan extra aandacht. Een van de grote risico’s is en blijft overigens de eindgebruiker, wat maakt dat het uiteindelijke beleid sterk moet inzetten op het bewustmaken van die gebruiker.
Op basis van de noden en risico’s wordt een beleid opgesteld, dat niet enkel technologische keuzes, maar ook processen, beheer en verantwoordelijkheden omvat. Vele kmo’s kunnen wat dat betreft al belangrijke stappen zetten door voldoende aandacht te schenken aan de basisvereisten, zoals bijvoorbeeld de juiste updates en patches. Dat vraagt niet noodzakelijk altijd grote investeringen.
Tools
We zien eveneens een trend naar het opslaan van data in professionele datacenters of bij een cloud services provider, die dan ook beheertaken kunnen uitvoeren op dataverkeer, back-ups en it-beveiliging. Heel wat bedrijven zien in dat ze zelf niet de expertise en tools hebben om hun it-beveiliging goed te configureren, te monitoren en te beheren.
In het licht van nieuwe dreigingen zoals ransomware als cryptolocker, maken bepaalde (nieuwe) beveiligingstechnieken steeds breder hun intrede. Een voorbeeld daarvan is Sandboxing, waarbij het gedrag van bestanden wordt getest in een geïsoleerde omgeving, nog voor die de eindgebruiker bereiken. Nog een andere is de intrede van een data loss preventiestrategie of tooling en natuurlijk ook data encryptie dat enorm aan belang wint.
Kenny Dierickx, operations director bij Cheops
