Conscia: Begin bij de basis en stel vast welke risico’s je kunt lopen
Wees je ervan bewust dat het bij security om een samenspel van krachten gaat; het gaat nooit om technologie alleen, of om processen of mensen alleen. En denk aan de volgorde: stel vast wat je in huis hebt en welke risico’s je bereid bent te lopen. IT-dienstverlener Conscia helpt organisaties de basis op orde te hebben en houdt hun data veilig.
Annelies Heek en Johan Calis richten zich op security-vraagstukken binnen Conscia. Heek als Lead Managed Security en Calis als Security Solution Consultant binnen Conscia’s CyberDefense team, het bedrijfsonderdeel dat zich specifiek richt op de beveiliging van IT-infrastructuren en data bij zijn klanten. Beiden hadden al jarenlange ervaring in het securityveld voordat zij bij Conscia aanmonsterden. Heek, ooit afgestudeerd als docente Engels, geeft naast dit werk nog 1 dag in de week les in IT-security aan de Hogeschool Amsterdam.
Een gesprek met het tweetal raakt alle aspecten van de bescherming van informatie, informatiesystemen en personen. Wat in elk geval duidelijk overkomt: er is geen algemeen recept voor afdoende beveiliging, omdat iedere organisatie anders tegen risico’s aankijkt. De juiste aanpak hangt af van het type organisatie, de waarde van informatie, de mensen die er werken en de interacties met de ‘buitenwereld’. Dat goed in kaart brengen bepaalt welke beveiliging passend is. “Conscia CyberDefense richt zich primair niet op het verkopen van technologie, maar op passende maatregelen op het gebied van mens, technologie en processen. Onze klanten vragen ons: ‘Zorg ervoor dat wij beschermd zijn’. Dat doen wij, natuurlijk in nauwe samenspraak met de organisatie. Wij leveren een dienst, waarbij wij onze klanten niet lastigvallen met de technologie die daarbij komt kijken.”
Het gaat mis
Calis en Heek noemen de drie-eenheid van IT-security: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Neem maatregelen om cybercriminelen buiten te houden; mochten ze toch binnendringen, zorg er dan in elk geval voor dat je dat waarneemt en hun gangen kunt nagaan; verzeker jezelf ervan dat je een passend antwoord hebt op het moment dat een aanvaller is binnen gedrongen.
Om met Heek te spreken: “Het gaat een keer mis; daar moet je van uitgaan. Wat doe je dan? Daar moet je van tevoren over nadenken. Hoe lang kan mijn bedrijf offline zijn zonder dat het problemen gaat opleveren? Welke maatregelen kan ik treffen om toch de bedrijfsvoering door te zetten in het geval van een succesvolle aanval? Dat moet je niet gaan verzinnen op het moment dat alles platligt; dat draaiboek moet je nu al opstellen. En natuurlijk actueel houden.”
Zij willen, ondanks alle complexiteit met cloud computing en Internet of Things (IoT), IT-security begrijpbaar maken. “Dat lukt als je met de basis begint. Wat heb je in huis? Welke data zijn het waard om goede bescherming te krijgen? Welke risico’s ben je bereid te lopen? Hoe steekt het netwerk in elkaar? Welke processen heb je? Als je dat in kaart brengt – en natuurlijk helpen wij daarbij – dan volgt automatisch een goed beveiligingsplan. Met onderdelen als een strategie voor back-up, maar ook voor herstel en voor continuïteit van je business.”
Verdere digitalisering
Calis en Heek zien dat organisaties steeds meer digitale technologieën toevoegen om nieuwe- of verbeterde bedrijfsprocessen te creëren. “Dat zien we niet alleen in ziekenhuizen, maar bijvoorbeeld ook in fabrieken waar machines via internet onderdeel gaan uitmaken van het netwerk, omdat ze dan sneller zijn te bedienen, beter zijn te onderhouden. Of winkels die het verbeteren van de klantervaring nastreven waarbij technologie in de winkels wordt toegepast. Deze ontwikkelingen kunnen zeker de klantbeleving verbeteren, maar introduceren ook nieuwe risico’s op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen. Welke redenen er ook aan ten grondslag liggen: netwerken worden uitgebreid met apparatuur die in beginsel niet is ontworpen met security in het achterhoofd. Dat vraagt om een andere aanpak.”
Zoals het feit dat veel meer medewerkers sinds de uitbraak van corona vanuit huis werken om een nieuwe aanpak vraagt. SaaS, SD-WAN; allerlei ontwikkelingen stellen IT-security in een ander daglicht. “Een firewall volstaat niet meer”, zegt het tweetal stellig.
Bewustwording
Calis en Heek benadrukken het belang van IT-Security Awareness trainingen, omdat ongeveer een kwart van de security-incidenten is terug te leiden naar de eigen medewerkers. “Gelukkig staan wij hierin niet alleen. De kranten hebben het aflopen jaar bol gestaan van geslaagde ransomware-aanvallen. De angst is echt toegenomen. Elke directie is er tegenwoordig wel van overtuigd dat er iets moet worden gedaan om de medewerkers bewust te maken van de risico’s met computergebruik en hoe zij de valkuilen kunnen omzeilen.”
Zij benadrukken dat je er niet bent met een training van één keer per jaar. Het dient een programma te zijn; iets dat voortdurend op de achtergrond een rol speelt. “Heel veel aanvallen zijn geslaagd, bijvoorbeeld omdat iemand op een geniepig linkje klikte. Je moet mensen op een positieve manier blijvend alert maken op dat soort dingen via gerichte campagnes over phishing, over social engineering. Dat doen wij geautomatiseerd, dagelijks, soms via pentesting om het lek boven water te krijgen en tegelijk uit te leggen hoe het wél moet.”
Samenhang
De risico’s veranderen, onder andere omdat we in toenemende mate afhankelijk worden van ICT-technologie en omdat het aanvalsgebied steeds groter wordt (cloud, thuis werken, IoT). Een crimineel hoeft zich maar op één dingetje te richten (“En dat doen ze, want de aanvallen worden steeds gerichter.”), maar een bedrijf moet zorgen voor een complete beveiliging; je weet immers niet waar de aanvaller zich op gaat richten, besluiten Calis en Heek: “Hou daarbij in het achterhoofd dat je niet alles investeert in preventie. Richt je ook op detectie en respons. En bedenk dat er altijd een volgorde zit in dingen. Maak het basisplan. Als je niet op de juiste manier aan patching doet, verzwak je het totaal. Hetzelfde geldt voor digitale toegangscontrole, voor wat je doet als een hacker onverhoopt binnen is gekomen. Alles hangt met elkaar samen. Wij maken voor elke klant die samenhang zichtbaar en komen op grond daarvan tot een adequate databescherming.”
Auteur: Witold Kepinski en Teus Molenaar
