De toekomst is digitaal. Daar is geen misverstand over, om maar een voorbeeld te noemen zorgt het Internet of Things (IoT) wereldwijd naar verwachting voor een nieuwe economische waarde van zo’n $ 3 biljoen in het jaar 2025. Maar veel bedrijven vragen zich op hetzelfde moment af hoe zij de kloof tussen innovatie en security kunnen dichten. Deze vijf tips helpen daarbij:
1. Laat je niet te veel afleiden door de krantenkoppen
Cyberaanvallen halen tegenwoordig snel de krantenkoppen. Dat is ook niet verwonderlijk als je bedenkt dat er in 2016 sprake was van 300 procent meer inbraken in systemen. Dat kan organisaties afschrikken om moderne technologieën zoals cloudcomputing te omarmen. Ben je dan beter beveiligd als je de cloud vermijdt? Nee, de meeste beveiligingsincidenten of datalekken ontstaan namelijk door toedoen van de gebruiker. Volgens een rapport van Verizon zijn zwakke of gestolen wachtwoorden goed voor zo’n 63% van data breaches. Je moet dus goed letten op de kwetsbaarheden die op jouw bedrijf van toepassing zijn. Serviceproviders investeren bijvoorbeeld grote bedragen in beveiliging van hun systemen. Microsoft spendeert jaarlijks een miljard dollar aan security, en dat exclusief overnames. Omdat cloudleveranciers veel maatregelen nemen, vooral binnen de infrastructuur, helpt dat vaak de beveiliging van organisaties te verbeteren. Immers, organisaties kunnen zich dan concentreren op het overblijvende deel van de totale IT-omgeving, zoals devices, identiteitsbeheer, data en apps. Maak daarom een goede (risico)analyse om te bepalen waar voor jouw organisatie de grootste bedreigingen liggen en pak die aan. De middelen om veilig te werken zijn er: maak er dus gebruik van.
2. Stoom je organisatie klaar voor verandering
Het is niet alleen de IT-afdeling die zich moet aanpassen aan een cloud-first benadering voor security. Dit is een organisatiebrede aangelegenheid. Een organisatie moet in staat zijn om processen zo te organiseren dat ze waarde kan halen uit digitale technologieën.
Beveiliging mag dan ook niet als een losstaande IT-activiteit functioneren, maar als een fundamenteel bedrijfsproces dat in lijn is met de bedrijfsdoelstellingen. Dat betekent dat security ingebed en geïntegreerd moet zijn in het bedrijf en niet als los component moet bestaan. Stel je daarom in op een ‘assume compromise’ mindset. Dat betekent dat je altijd uitgaat van de mogelijkheid dat je beschermingsmaatregelen niet afdoende zijn . Je security voor honderd procent geregeld hebben, bestaat niet en zou het gebruik van IT hinderen. Zorg dus dat je inzet op de juiste beschermingsmaatregelen, gebaseerd op risico, maar vooral ook op detectie en respons. Als het dan toch fout gaat, kun je er snel op inspelen en erop reageren.
3. Creëer bewustzijn bij de medewerkers
Zelfs met de beste technologie blijft er een zwakke schakel: de medewerker. “De meeste inbraken in systemen zijn het gevolg van een simpele fout van een medewerker, die op een dubieuze link klikt en een kwaadaardige bijlage downloadt, of die het beveiligingsbeleid of de trainingen niet volgt”, zegt Paul Fisher, research director bij Pierre Audoin Consultants. Hij onderzocht de rol van Identity & Access Management in digitale transformatie.
De eerste stap op het gebied van bewustwording is het trainen van medewerkers in het scherp letten op verdachte e-mails en links. Je kunt bijvoorbeeld zelf een phishing aanval simuleren en daarmee medewerkers trainen (attack simulator). Met getrainde medewerkers blijft een organisatie beter beschermd tegen ransomware-aanvallen. Het is ook essentieel om medewerkers te dwingen sterke en unieke wachtwoorden te gebruiken. Verder is te overwegen om multifactor authenticatie in te voeren, bijvoorbeeld op basis van vingerafdrukken of gezichtsherkenning.
4. Update de bestaande infrastructuur: de cloud verbindt security met flexibiliteit
Als je organisatie enorme hoeveelheden data verzamelt, is een solide IT-infrastructuur een eerste vereiste. Dit hoeft niet per definitie te leiden tot starheid en inflexibiliteit. Het tegendeel is waar. Met een intelligent cloudplatform is een organisatie én veilig én flexibel. Een intelligent platform is in staat om alle regels te volgen die zijn ingesteld met het oog op security. Door in dit verband vaste storage-updates en automatische security-updates in te stellen, kan de IT-afdeling ontlast worden.
Meer dan 80 procent van de aanvallen richt zich op een bekende kwetsbaarheid. De meeste aanvallen waren te voorkomen geweest als security updates tijdig waren toegepast. Bij cloudcomputing wordt de infrastructuur voortdurend automatisch bijgewerkt. Een betrouwbare cloudleverancier biedt altijd up-to-date security. Zo heeft Microsoft een incident-responseteam dat 24×7 beschikbaar is en is er een speciale unit voor cybercriminaliteit. Ook versleutelen we alle data die tussen klant, het datacenter en over Microsoft’s netwerk worden verstuurd.
5. Kijk verder dan de eigen organisatie en blijf op de hoogte
Naast het beveiligen van de eigen systemen is het ook goed om samen met anderen te werken aan vertrouwen in technologie en het internet. Zorg dat je kennis uitwisselt rondom bedreigingen en ontwikkelingen. Denk hierbij aan samenwerkingen met industriepartners, onderzoeksinstellingen en overheden, op technisch, organisatorisch en beleidsmatig gebied. Een modern bedrijf kan immers niet zonder medewerkers, klanten en partners die goed bekend zijn met technologie, er vertrouwen in hebben en er zo meer mee kunnen bereiken.
Wil je meer tips om je security op peil te houden, lees: ‘zorg ervoor dat je data niet op straat komt te liggen‘. Behoefte aan meer tips over innovatie? Lees de blog: ‘Vijf tips om technologie voor je te laten werken‘
Wil je meer weten? Neem dan even contact op, dan maken we een afspraak. Je kunt mij ook bereiken op 0113-218428 of j.depundert@jepe-it.nl.