of 59130 LinkedIn

De tijd van respectloos beveiligen is al lang voorbij

Cybersecurity blijft voor velen een ingewikkeld en ongrijpbaar onderwerp. Cyberdreigingen zijn, in tegenstelling tot dreigingen in de fysieke wereld, vaak onzichtbaar en spelen zich af in een ‘twilight zone’. Om deze mystieke dreigingen buiten de deur te houden, vertrouwen we op een schaarse populatie aan cybersecurity specialisten die veelal een technische achtergrond hebben. Het antwoord op de technische aanvallen van cybercriminelen zoals hackers is overwegend technisch van aard en leidt daarom tot een strijd die op technisch niveau wordt uitgevochten.

Wanneer kennis van techniek de overhand neemt, en niet gebalanceerd wordt tussen kennis van een organisatie, haar bedrijfsvoering en bedrijfsbelang, kunnen genomen maatregelen tegen cybercriminaliteit een bedreiging op zichzelf gaan vormen. Dit kan tot uiting komen in een, om het maar weer eens over de technische boeg te gooien, ‘self inflicted denial of service’.

 

Een mooi voorbeeld van zulke maatregelen is een cybersecurity awareness training. Dergelijke trainingen zijn belangrijk om het bewustzijn van gebruikers van ICT systemen aangaande potentiële bedreigingen te verbeteren, maar kunnen ook de plank volkomen mis slaan met een boodschap die niet in lijn is met de bedrijfsdoelstellingen. “Gij zult geen mail openen van mensen die u niet kent en open al helemaal geen bijlagen”. Natuurlijk is het niet openen van mail en bijlagen uitermate effectief tegen malware die zich via dit medium wil verspreiden. De achterliggende technische gedachte is dus begrijpelijk. De boodschap wordt echter te generiek gebracht zonder rekening te houden met de taken van de medewerker. Dus ook aan medewerkers die juist bedrijfsmatig de opdracht hebben om mail en bijlagen te openen van mensen die ze niet kennen; HR afdelingen en managers die de organisatie willen laten groeien met enthousiaste kandidaten.

 

Combineren we technische expertise op het gebied van beveiliging met handige commerciële vaardigheden, dan kan dat onnodig in de papieren gaan lopen. Zeker voor een organisatie die onvoldoende de principes van cybersecurity doorgrondt. Zo is er een fabrikant van firewalls die het voorstel doet om zijn firewall voor een periode van twee weken achter uw huidige firewall te plaatsen. Na twee weken volgt er een rapport met al het verkeer dat uw bestaande firewall heeft doorgelaten naar uw organisatie en u mogelijk de nodige schade kan berokkenen. Met de rapportage is de zogenaamde ‘Proof Of Value’ afgerond en stelt de fabrikant voor om zijn firewall weer weg te nemen. De met de resultaten geconfronteerde organisatie zal er, uit angst, vaak voor kiezen om de portemonnee te trekken en geeft dan dus opdracht de firewall te laten staan. Zo’n firewall komt uiteraard mét support contract, en door de gecreëerde emotie zou je bijna kunnen stellen dat men zich laat gijzelen door de technische oplossing. Een vorm van ransomware? De fabrikant van de firewall haalt zijn winstdoelstelling en handelde niet zozeer in het belang van haar klant.  Een beter advies was geweest om onderhoud te plegen op de regels van de bestaande firewall.

 

De mystiek van cybersecurity kunnen we in veel gevallen wegnemen met een combinatie van gezond boeren verstand en een parallel trekken tussen cybersecurity en fysieke beveiliging. In de middeleeuwen werden de eerste kastelen gebouwd. Deze werden veelal ommuurd en toegang werd verkregen via een poort die geopend en gesloten kon worden. Inderdaad, een firewall. Binnen het IT landschap zorgt een anti-malware oplossing ervoor dat een Trojaans paard zorgvuldig wordt geanalyseerd en alleen doorgang krijgt wanneer deze geen schade berokkent aan de omgeving. Complementaire oplossingen verbeteren daarbij de beveiliging waar twee vlak achter elkaar geplaatste gelijke oplossingen vooral de kosten verhogen.

 

Zowel de generieke awareness training, de firewall als de anti-malware oplossingen zijn technische middelen om bedreigingen het hoofd te bieden. In geen van de voorbeelden is nog gesproken over de vraag wie nu waartegen beschermd wordt, of de bescherming adequaat en kosten efficiënt zijn en of de bescherming  een negatieve impact heeft op het resultaat van de organisatie die zij beschermt. Wanneer beveiligingsmaatregelen worden genomen, doe dit dan zorgvuldig en met respect voor de organisatie die beschermd moet worden.

 

Respect begint met het begrijpen van de bedrijfsvoering van de organisatie die om bescherming vraagt en van de taken, verantwoordelijkheden en werkomgeving van haar individuele medewerkers.


Zo is het vanuit het perspectief van cybersecurity een zonde om een computer toegankelijk achter te laten, maar blijkt dit de methode te zijn voor sommige artsen en operators in de industriële sector om snel toegang te krijgen tot het systeem bij een incident. Inloggen met een complex en lang wachtwoord kan teveel tijd kosten en in het ene geval het overlijden van een patiënt tot gevolg kunnen hebben en in het andere geval verlies van productie. Een wijzende vinger lost in dat geval niets op, een passende authenticatie methode wel.

 

Dezelfde aanpak geldt ook bij het steeds belangrijker worden van security monitoring, waarbij overigens een parallel getrokken kan worden met camera bewaking in de fysieke wereld. Bij security monitoring kijken we naar afwijkende gedragingen op het netwerk en maken we bedreigingen inzichtelijk zodat hier passend naar gehandeld kan worden. 


Sinds het Nationaal Cyber Security Centrum in november 2015 het advies heeft gegeven om meer aandacht te besteden aan security monitoring, oftewel detectie, is het aantal commerciële Security Operations Centers in Nederland meer dan verdubbeld. Met de juiste middelen en een kamer vol specialisten wordt veelal een generieke monitoring dienst aangeboden, zonder rekening te houden met de bedrijfsvoering van de organisatie die beschermd wordt. Echter, ook hier is maatwerk nodig. Het beveiligen en bewaken van een reserveringssysteem voor de vergaderkamers van een multinational heeft  bijvoorbeeld een totaal andere waarde dan een soortgelijk systeem dat gebruikt wordt door een hotelketen of ziekenhuis, voor hotel- of operatiekamers.

 

Het startpunt van goede beveiliging is daarom de Business Impact Analysis (BIA). En inderdaad, kenmerkend hier is dat het woord ‘business‘ voorop staat. Een BIA gedreven aanpak vergt dan ook meer dan de technische expertise die de uiteindelijke beveiligingsmaatregelen kan invoeren: een regievoering met een mix van bedrijfskunde, psychologie én beveiliging. Daarbij wordt nadrukkelijk rekening gehouden met het menselijke aspect: vaak de zwakste schakel in de beveiliging en de grootste bedreiging aan de (cyber)criminele kant.

 

Binnen CGI zien we deze mix van specialismes ook terug binnen onze Cyber Crime Unit. We vullen elkaar aan en houden elkaar scherp. Dat we onderdeel zijn van CGI Emerging Technologies maakt dat we ons bezig houden met de meest innovatieve oplossingen wat betreft beveiliging, maar deze altijd op waarde schatten als het gaat om het benutten ervan. Kortom, binnen ons team geldt dat we alleen oplossingen en diensten aanbieden met respect voor het persoonlijk karakter van de klant.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Contactgegevens

AfbeeldingCGI Nederland

George Hintzenweg 89

3068 AX Rotterdam

088-564 00 00

www.cginederland.nl

Meer nieuws

 Afbeelding

Whitepapers

Onze expertise

Creating a safer society!

Onze visie: een toekomst met betrokken burgers, actieve lokale communities, effectievere handhaving van de regels en ferme en snelle reddingsoperaties.

  

Afbeelding

IBOR: de openbare ruimte wordt duurzaam

Met de Integraal Beheer Openbare Ruimte (IBOR)-oplossing laten verschillende soorten objecten in de publieke ruimte zich op afstand beheren.

 Afbeelding

Bloggers