I FEEL
SECURE

[BLOG] Wat is ‘veilig’ en wat moet je beschermen?

Regelmatig hoor ik mensen uit organisaties zeggen ‘dat het wel veilig moet gebeuren’ als ze spreken over hun digitale ambities. Dat klinkt mooi, maar is nogal vaag. Want bij het doen van die uitspraak is vaak niet nagedacht wat ‘veilig zijn’ inhoudt en hoe dat ‘veilig zijn’ moet worden gerealiseerd.

Confronteer mensen daarmee en steevast komen er voorbeelden terug als ‘de gegevens van mijn klanten moeten niet op straat liggen’, ‘hackers moeten mijn systemen niet zomaar platleggen’ of ‘hackers mogen niet kunnen rommelen met mijn website’. Het zijn allemaal terechte voorbeelden van risico’s die moeten worden beteugeld.

Veel meer

Maar zonder het uit te spreken betekent ‘veilig zijn’ voor organisaties veel meer. Denk bijvoorbeeld aan het niet hebben van trage computers die onder de kwaadaardige software zitten, het niet laten stelen van de geheimen, het niet manipuleren van de financiële administratie, het gevrijwaard blijven van cryptolocker of het succesvol kunnen laden van een back-up na de crash van een systeem.

Het ‘veilig zijn’ is een mooie wens, maar eigenlijk onmogelijk te realiseren. Als we digitale ambities hebben dan moeten we aanvaarden dat we te maken hebben met het omgaan met risico’s. Met de mankracht die beschikbaar is en het budget dat realiseerbaar is, moeten organisaties die risico’s in de hand zien te houden. Het ‘veilig zijn’ moeten we dan ook interpreteren als een wens van een bestuurder om te investeren in beveiliging.

Keuzes maken

Het maken van de juiste keuzes om die investering zo goed mogelijk in te zetten, is een lastig vraagstuk. Er komen namelijk veel bedreigingen op een organisatie af. Daarom is het goed te kijken naar wat belangrijk is voor de organisatie en wat er te beschermen valt. Daarbij gaat het om drie onderdelen die bepalen hoe belangrijk een proces, bepaalde data of een systeem is, waardoor duidelijk is waar het meeste moet worden geïnvesteerd in beveiliging:

  1. Beschikbaarheid. Moet de data, het proces of het systeem altijd beschikbaar zijn? Hoe erg is het als dit een keer (ook op belangrijke momenten) niet zo is? Hoe snel moeten systemen weer beschikbaar zijn?
  2. Integriteit. Moet de data, het proces of het systeem altijd kloppende resultaten geven? Hoe schadelijk is het als gegevens niet kloppen?
  3. Vertrouwelijkheid. Moet de informatie in een database, proces of systeem geheim blijven of is het juist toegankelijk voor iedere gebruiker of zelfs de buitenwereld?

Aan de hand van beschikbaarheid, integriteit en vertrouwelijkheid vallen processen, systemen of dataverzamelingen prima te rangschikken op volgorde van urgentie. Met die lijst valt beter te kijken naar de potentiële bedreigingen en ook die zijn weer op belang te sorteren. Met deze lijst is het mogelijk effectief te zoeken naar maatregelen die het meeste effect realiseren, want daar gaat het uiteindelijk om.

Maatregelen selecteren

Bij het kiezen van de maatregelen is het vervolgens belangrijk om breed te kijken. Een maatregel kan bestaan uit techniek, maar kan ook bestaan uit gedrag of het aanpassen van de werkwijze van een organisatie. Om een paar voorbeelden te geven:

  1. Gedrag. Door mensen simpelweg op te leiden niet op iedere link te klikken, niet vertrouwelijke dossiers in de trein te lezen, niet geheimen van de organisatie op een USB-stick te zetten of gevoelige gesprekken niet in de openbare ruimte te voeren, wordt de kans op het lekken van informatie al fors kleiner. Ook helpt goed gedrag een bedreiging sneller te ontdekken of mensen juist weerbaar te maken om een gevaar in de kiem te smoren;
  2. Werkwijze. Ook de manier waarop een organisatie werkt, kan veel problemen voorkomen. Door bijvoorbeeld gevoelige gegevens die klanten bij een webserver moeten achterlaten, daar niet te laten staan. Door ze meteen door te sluizen naar interne systemen wordt het risico op lekken bij een aanval fors verkleind. Door processen zo in te richten dat gevoelige gegevens bij minder mensen onder ogen komen, verkleinen de risico’s. Ook het stellen van eisen aan partners met wie gegevens worden uitgewisseld en het vastleggen van deze regels, helpt risico’s te beperken;
  3. Techniek. Natuurlijk kan ook techniek helpen de gevaren te beperken. Denk aan bijgewerkte computersystemen, goede detectie, het toepassen van versleuteling op veel mogelijke punten, het goed indelen van het netwerk (segmenteren) zodat niet iedereen overal bij kan, het op een hoger niveau brengen van de aanmeldprocedures (authenticatie) en het strikt selecteren welke software wel of niet gebruikt mag worden. Dit kunnen goede voorbeelden van nuttige stappen zijn in het veiliger maken van de technische omgeving.

Een deugdelijke beveiliging is een samenspel van maatregelen op verschillende vlakken. Alleen op basis van de techniek is dat niet mogelijk, want hoeveel geld er ook aan wordt uitgegeven: met verkeerde procedures of fout gedrag zullen incidenten blijven optreden. Het afgewogen samenspel van de zinvolle, effectieve maatregelen is het enige dat risico’s verkleint.

Uiteindelijk zal iets nooit ‘echt veilig gebeuren’, maar het is wel haalbaar om risico’s binnen acceptabele proporties te houden. Een oproep om zaken goed te regelen is het startschot voor het goed inschatten van risico’s en het kiezen van de juiste maatregelen. Daarna is de echte klus steeds te blijven werken aan het verder beveiligen van gegevens.

AUTEUR: BRENNO DE WINTER

Dit is een blog van Brenno de Winter: trainer, spreker en publicist met expertise op beveiliging, privacy en de informatiesamenleving.

WHITEPAPER: DE 5 VERBETERPUNTEN VAN UW SECURITY

n deze whitepaper geven we u verschillende tips om security binnen uw organisatie concreet en gemakkelijk te verbeteren.

© 2017 Tech Data | General Terms | Privacy