15 Noodzakelijke security maatregelen in digitale transformaties! - VP&P
Voogt Pijl & Partners
Search Icon
×

15 Noodzakelijke security maatregelen in digitale transformaties!

15 Noodzakelijke security maatregelen in digitale transformaties!


Door frequente cyberaanvallen is de digitale veiligheid van organisaties permanent in gevaar. Die aanvallen kunnen een enorme impact hebben op de online dienstverlening van organisaties. Kunnen organisaties die security incidenten 100% voorkomen? Het antwoord is ‘nee’. Software-, hardware- en menselijke fouten, onvoldoende prioriteit voor adequate beveiliging en professionele, vaak gesponsorde hackers vormen een giftige voedingsbodem voor succesvolle cyberaanvallen. Met 15 concrete securitymaatregelen kunnen en moeten organisaties hun cyberweerbaarheid vergroten op het gebied van alertheid, preventie, detectie en herstelvermogen.
In ons eerste artikel over cybersecurity hebben wij met diverse voorbeelden geïllustreerd dat cyberdreigingen reëel en actueel zijn. Onderschatting van die dreiging kan grote gevolgen hebben. In dit artikel beschrijven wij concrete maatregelen die de kans op een cybersecurity incident en de impact ervan verkleinen. Maatregelen die in principe al onderdeel moeten zijn van een verantwoorde bedrijfsvoering. Op basis van eerder gemaakte risico-inschattingen hebben zij echter soms een lage prioriteit gekregen. Door de digitale transformatie van organisaties en de continue cyberdreigingen is een stevige ‘security-verdediging’ nu onvermijdelijk. De maatregelen zijn gegroepeerd naar vier thema’s: alertheid, preventie, detectie en herstelvermogen.


1. Alertheid: weten waar het gevaar loert

Definieer eigen risicobereidheid

Een gedetailleerde cyberrisico-analyse geeft een organisatie inzicht in de cyberdreigingen en hun potentiële impact. Wat zijn de kwetsbare processen, systemen en data? Ligt de gehele dienstverlening stil als de organisatie door een DDOS aanval online niet meer bereikbaar is voor klanten of kan een deel nog via de service desk worden uitgevoerd? Wat is de potentiële impact van ransomware aanvallen, falende IT systemen bij samenwerkingspartners en gehackte/gelekte data? Dit soort cyberdreigingen dwingen elke organisatie haar risicobereidheid SMART te definiëren, bijvoorbeeld: “bij een DDOS-aanval mogen wij maximaal 30 minuten onbereikbaar zijn voor onze klanten”.

Zet cybersecurity prominent op management agenda

Cybercrime is een reële en groeiende bedreiging voor online dienstverlening. Onderschatting, onwetendheid en passiviteit zijn valkuilen die het management moet vermijden. Cybersecurity moet op alle managementniveaus prioriteit hebben. De uitgewerkte risicoanalyse en risicobereidheid zijn de kaders waarmee concrete maatregelen, heldere KPI’s en strakke security-sturing moeten worden ingericht. Bijscholing van het management met workshops en verplichte e-learnings is verstandig, omdat het onderwerp cybersecurity behoorlijk complex en specialistisch is. Bij het executive management ligt de opdracht om voldoende budget beschikbaar te stellen voor adequate securitymaatregelen, passend bij de gedefinieerde risicobereidheid.

Vergroot cybersecurity bewustzijn bij medewerkers

Frequente communicatie met medewerkers is nodig om dagelijks alert te zijn op mogelijke dreigingen, zoals phishing mails, inloggen op openbare onbeveiligde netwerken, gegevens op USB’s, voorspelbare wachtwoorden etc. Elke menselijke fout kan de deur openzetten voor malware die infiltreert in de systemen en data van de organisatie. Periodieke testen met nep-phishing mails leveren vaak veel schrikbarende reacties op: ‘oeps, ik heb even niet opgelet’. Verplichte e-learnings helpen om risico’s en gewenst gedrag bij iedere medewerker gestructureerd onder de aandacht te brengen. Ook is het verstandig medewerkers te stimuleren om security-kwetsbaarheden actief te melden.

Volg actuele ontwikkelingen

De ontwikkelingen op het gebied van cybercrime gaan snel. Het is verstandig om zowel trends als actuele cyberaanvallen actief te volgen en deze verantwoordelijkheid expliciet te beleggen in de organisatie. Meerdere informatiekanalen helpen daarbij. Het Digital Trust Center ondersteunt bijvoorbeeld alle soorten organisaties met een website met praktische informatie over actuele aanvallen, patches en tips ter verbetering van de cyberweerbaarheid. Het Nationaal Cyber Security Center heeft een specifieke ondersteuningstaak naar de overheid en de bedrijven die samen de vitale infrastructuur voor Nederland vormen. Daarnaast vormen steeds meer organisaties een kennisnetwerk, waarbij zij onderling actief expertise en informatie uitwisselen.

Definieer eigen risicobereidheid

Een gedetailleerde cyberrisico-analyse geeft een organisatie inzicht in de cyberdreigingen en hun potentiële impact. Wat zijn de kwetsbare processen, systemen en data? Ligt de gehele dienstverlening stil als de organisatie door een DDOS aanval online niet meer bereikbaar is voor klanten of kan een deel nog via de service desk worden uitgevoerd? Wat is de potentiële impact van ransomware aanvallen, falende IT systemen bij samenwerkingspartners en gehackte/gelekte data? Dit soort cyberdreigingen dwingen elke organisatie haar risicobereidheid SMART te definiëren, bijvoorbeeld: “bij een DDOS-aanval mogen wij maximaal 30 minuten onbereikbaar zijn voor onze klanten”.

Zet cybersecurity prominent op management agenda

Cybercrime is een reële en groeiende bedreiging voor online dienstverlening. Onderschatting, onwetendheid en passiviteit zijn valkuilen die het management moet vermijden. Cybersecurity moet op alle managementniveaus prioriteit hebben. De uitgewerkte risicoanalyse en risicobereidheid zijn de kaders waarmee concrete maatregelen, heldere KPI’s en strakke security-sturing moeten worden ingericht. Bijscholing van het management met workshops en verplichte e-learnings is verstandig, omdat het onderwerp cybersecurity behoorlijk complex en specialistisch is. Bij het executive management ligt de opdracht om voldoende budget beschikbaar te stellen voor adequate securitymaatregelen, passend bij de gedefinieerde risicobereidheid.

Vergroot cybersecurity bewustzijn bij medewerkers

Frequente communicatie met medewerkers is nodig om dagelijks alert te zijn op mogelijke dreigingen, zoals phishing mails, inloggen op openbare onbeveiligde netwerken, gegevens op USB’s, voorspelbare wachtwoorden etc. Elke menselijke fout kan de deur openzetten voor malware die infiltreert in de systemen en data van de organisatie. Periodieke testen met nep-phishing mails leveren vaak veel schrikbarende reacties op: ‘oeps, ik heb even niet opgelet’. Verplichte e-learnings helpen om risico’s en gewenst gedrag bij iedere medewerker gestructureerd onder de aandacht te brengen. Ook is het verstandig medewerkers te stimuleren om security-kwetsbaarheden actief te melden.

Volg actuele ontwikkelingen

De ontwikkelingen op het gebied van cybercrime gaan snel. Het is verstandig om zowel trends als actuele cyberaanvallen actief te volgen en deze verantwoordelijkheid expliciet te beleggen in de organisatie. Meerdere informatiekanalen helpen daarbij. Het Digital Trust Center ondersteunt bijvoorbeeld alle soorten organisaties met een website met praktische informatie over actuele aanvallen, patches en tips ter verbetering van de cyberweerbaarheid. Het Nationaal Cyber Security Center heeft een specifieke ondersteuningstaak naar de overheid en de bedrijven die samen de vitale infrastructuur voor Nederland vormen. Daarnaast vormen steeds meer organisaties een kennisnetwerk, waarbij zij onderling actief expertise en informatie uitwisselen.

2. Preventie: voorbereiden op aanvallen en verstoringen

Bewaak de voordeur

Grote cyberaanvallen kunnen de online dienstverlening platleggen. In zo’n situatie kunnen gespecialiseerde serviceproviders tijdelijk de ‘voordeur-rol’ van een organisatie overnemen. Zij kunnen geautomatiseerd aanvallers blokkeren en gewone klanten ‘doorlaten’, waardoor de dienstverlening van een organisatie tijdens een cyberaanval toch gecontinueerd kan worden. Om die uitwijk in te richten is het belangrijk om de eigen online verkeerspatronen te monitoren, zoals het aantal bezoeken op de websites en de tijdstippen. Zo kunnen afwijkingen geautomatiseerd worden herkend, als indicatie voor bijvoorbeeld een mogelijke DDOS-aanval en alert voor een noodzakelijke uitwijk.

Segmenteer processen en systemen

Vanuit kostenoverwegingen is het aantrekkelijk om meerdere processen en data op dezelfde systemen te laten verwerken. Dit is echter niet verstandig. Klanten en medewerkers moeten bijvoorbeeld andere toegangskanalen gebruiken, zodat medewerkers bij een DDOS-aanval op de klantportal gewoon door kunnen werken. Bedrijfskritische processen hebben eigen servers nodig, om geen last te hebben van eventuele storingen in andere processen. Ook netwerksegmentatie is belangrijk, om te voorkomen dat ransomware de hele dienstverlening kan platleggen.

Beperk toegang tot data

Over de noodzaak om de toegang tot systemen en data strak te managen schreven wij al eerder. Teveel toegangsrechten biedt ruimte voor misbruik. Dit toegangsbeheer geldt voor eigen medewerkers, externe medewerkers, medewerkers van samenwerkingspartners en klanten.

Voer updates zo snel mogelijk uit

Regelmatig worden fouten ontdekt in hardware en software. Leveranciers leveren daarna updates om die fouten te herstellen. Helaas worden die updates niet altijd direct geïnstalleerd. Soms door gebrek aan mensen om dit snel te doen, soms door onderschatting van de risico’s en soms moet eerst gecontroleerd worden of de eigen software nog werkt met de update. De vertraagde updates bieden hackers de mogelijkheid om langer misbruik te maken van de bestaande fouten in de software/hardware. Gedisciplineerd uitgevoerde updates zijn cruciaal voor adequate beveiliging van de online dienstverlening.

Maak slimme back-ups

De ransomware aanval bij de Universiteit van Maastricht heeft duidelijk gemaakt hoe belangrijk back-ups zijn voor een organisatie. De back-ups waren ook besmet en dus niet bruikbaar voor het herstel van de systemen en data. Hierdoor zag de universiteit geen andere uitweg dan het betalen van losgeld. Slim back-up beleid bestaat uit vier elementen:

(1) maak regelmatig back-ups, van alle data en tussentijds van de data die is gewijzigd;
(2) bewaar back-ups bij voorkeur offline, zodat die data niet toegankelijk is voor hackers;
(3) hanteer duidelijke bewaartermijnen;
(4) test back-ups regelmatig op malware en test herstelprocedures in de operationele omgeving.

Betrek samenwerkingspartners

Elke organisatie heeft een deel van de dienstverlening aan derden uitbesteed of met Cloud-applicaties ingevuld. Ook die onderdelen bepalen de beschikbaarheid van de integrale dienstverlening en snel herstel na verstoringen. Duidelijke afspraken zijn dus nodig met alle samenwerkingswerkingspartners, over detectie, reactie en informatie-uitwisseling bij cyberaanvallen. De bewaking van die afspraken vergt actief leveranciersmanagement.

3. Detectie: elke dag letten op afwijkingen

Monitor dagelijkse operatie continu 

Beleid en preventieve maatregelen zijn zinloos als continue monitoring van de dagelijkse operatie niet is ingericht. Die monitoring moet breed worden ingezet op bijvoorbeeld virussen, website-verkeer, email-adressen, bijlagen in e-mails, gebruik van USB-sticks, apparaten die stiekem aan het interne netwerk worden gekoppeld of afwijkend gedrag gaan vertonen etc. Het vastleggen (‘loggen’) van alle relevante informatie over mogelijke afwijkingen is belangrijk, inclusief een snelle analyse van die afwijkingen.

Hack jezelf

Ook in kleinere organisaties is het zinvol om periodiek de eigen dienstverlening te testen, met een zogenaamd Red Team. Dit ingehuurde team van ‘ethical hackers’ zoekt digitale gaten in de dienstverlening. Deze eigen hackpogingen blijken nodig te zijn: bijna elke Red Team hackpoging levert een stapel onvermoede digitale kwetsbaarheden op. Red teaming is inmiddels een professionele business geworden.

4. Herstelvermogen: zo snel mogelijk terug naar normale dienstverlening

Borg bedrijfscontinuïteit

Bedrijfscontinuïteit (BC) plannen zijn voor elke organisatie onmisbaar om de continuïteit van de dagelijkse bedrijfsvoering te waarborgen. Het BC-plan beschrijft welke preventieve maatregelen worden getroffen voor de continuïteit van de dienstverlening en hoe de dienstverlening wordt hersteld, bijvoorbeeld in het geval van een pandemie of een cyberaanval. Een BC-plan vormt een drie-eenheid met de risicobereidheid en risicoanalyse. Periodieke actualisatie van BC-plannen is belangrijk. Een pandemie is bijvoorbeeld lang als een beperkt risico ingeschat, maar de huidige Corona-crisis bewijst dat de impact van een pandemie enorm is. De Corona-maatregelen dwingen medewerkers massaal thuis te werken, wat extra capaciteit vraagt van systemen en netwerken van organisaties.

Oefen herstelprocedures

De BC-plannen moeten regelmatig worden getest, zowel de technische herstelacties als de management besluitvorming in crisissituaties. Voor de technische testen kan de organisatie bijvoorbeeld periodiek uitwijken naar andere systemen of infrastructuren, en kan de herstelprocedure worden geoefend. Voor het executive management zijn formele (half)jaarlijkse BC-oefeningen waardevol om crisissituaties te simuleren. Zo is de organisatie goed voorbereid op echte verstoringen van de dienstverlening.

Denk aan niet-digitale uitwijk

Veel organisaties zijn bezig met een ingrijpende transformatie naar online dienstverlening. Dat geldt niet alleen voor de financiële sector en de overheid, maar ook voor handel en industrie. Ook fysieke apparaten worden steeds vaker digitaal aangestuurd. Als die digitale aansturing door hackers is verstoord, zijn analoge of handmatige alternatieven vaak niet meer voorhanden of ontbreekt de noodzakelijke kennis bij de medewerkers. Het is dus verstandig om na te denken of ook minder-digitale uitwijkalternatieven nodig zijn voor de online dienstverlening.

Tenslotte

Door de digitale transformatie van organisaties en de continue cyberdreigingen is een stevige ‘security-verdediging’ nu onvermijdelijk. Die verdediging biedt geen 100% garantie dat security incidenten voorkomen kunnen worden, maar met de 15 beschreven maatregelen kunnen organisaties hun cyberweerbaarheid aanzienlijk vergroten. En dat is noodzakelijk, een gehackte (online) dienstverlening is immers ‘killing’ voor omzet en imago.

#DigitaleTransformatie #Cybercrime #Cybersecurity #DigitaleSecurity #AltijdAlertZijn #VoogtPijlPartners #VPP
Douwe

Douwe van der Meer

Lees meer over Douwe
Luca

Luca Geurds

Lees meer over Luca

Volg ons op LinkedIn, regelmatig posten wij updates over onze visie op de sector en over bureauontwikkelingen.