De beveiliging blijkt soms minder goed geregeld dan gedacht, ook al voldoet men aan die standaarden. Cybercriminaliteit en andere steeds groter wordende bedreigingen vragen om een nieuwe aanpak.

Brandjes blussen

De meeste bedrijven zijn gewend om brandjes te blussen als het om IT-veiligheid gaat. Maar tegenwoordig zijn er zoveel brandjes dat het ondoenlijk is om ze één voor één te blussen. Bij APG zijn we, net als bij veel andere bedrijven, continu bezig om de IT beveiliging naar een hoger plan te trekken. Het is leuk om samen te werken in een enthousiast IT-beveiligingsteam om deze brandjes niet alleen zo effectief mogelijk te blussen, maar ze vooral structureel aan te pakken. Samen streven we er zo naar om de kans op "brandjes" steeds kleiner te maken. En liefst willen we ze natuurlijk voorkomen. Ook dit is een vorm van continuous improvement, waar mijn collega's al eerder over blogden.

De uitdagingen bij 't beschermen van de dijken

IT-beveiliging is heel goed vergelijkbaar met dijkbeheer. Daarbij draagt men zorg voor de beveiliging van dijken, die ons beschermen tegen het water. De voornaamste taak van dijkbeheer is om te zorgen dat de dijken voldoende sterk blijven. Het water klotst continu tegen die dijken. Dus als er ook maar ergens een zwakke plek is, zal het water daar doorheen breken met alle nare gevolgen van dien. Analoog hieraan moet je er vanuit gaan dat er altijd kwaadwillenden zijn die in je infrastructuur willen inbreken, en die maken misbruik van verschillende beveiligingsproblemen in en rondom de IT-infrastructuur.

Auteur: Collin Ernst

Collin is Tactisch Security Consultant bij APG. Expert in Ethical Hacking en Information Security. Gadget freak en netwerker. Motto: 1+1 = niet altijd 2 maar soms ook 3.

Verhoogde effectiviteit van de IT-beveiligingsorganisatie

Een taak van de IT-beveiligingsorganisatie is om misbruik te signaleren, erop te reageren en het liefst om dit misbruik te voorkomen. Maar hoe doe je dat nu het meest effectief?

Dagelijks worden er kwetsbaarheden ontdekt in software, die uitgebuit kunnen worden. Een kwaadwillende heeft vaak maar één kwetsbaarheid nodig om bij een bedrijf binnen te komen en hier schade aan te richten. Het maakt hen niet uit hoe ze hun doel bereiken. De ene keer zullen ze een kritiek lek in Java of Flash misbruiken, de andere keer een lek in een ongepatchte webserver of router. Veel bedrijven richten zich op het dichten van één kwetsbare plek, zoals Flash, en laten de kwetsbare Java versies op de computers van werknemers bijvoorbeeld links liggen. En dat terwijl de potentiële risico's even groot zijn.

Daarom hebben we bij APG gekozen voor een structurelere aanpak, die ervoor zorgt dat de IT beveiligingsorganisatie effectiever wordt. We richten ons op meerdere dreigingen tegelijk en met name op het voorkomen van dreigingen. Dit resulteert in minder point solutions, maar juist meer maatregelen, waarmee meerdere risico's tegelijk worden afgedekt en dreigingen sneller herkend worden.

Veranderde mindset; bieden de dijken nog wel voldoende bescherming?

Vroeger probeerden veel bedrijven met behulp van één grote dijk alle bedrijfsassets te beschermen. Nu, in 2015, weten we dat het achterhaald is om bedrijfsassets alleen met dijken of muren te beschermen. De dijken en muren houden het water tegen en bieden bescherming tegen kwaadwillenden die over land komen. Maar wat nu als de dreiging vanuit de lucht komt, of als de assets achter de dijk onder water komen te staan door een grote wolkbreuk?

Het is tegenwoordig niet meer de vraag of je als bedrijf aangevallen wordt, maar wanneer. Dat betekent dat de beveiligingsorganisatie zich daarop moet instellen. Zij moeten zorgen dat de assets de juiste classificatie krijgen en dat de juiste beschermingsmaatregelen genomen kunnen worden. Een gesegmenteerde IT-omgeving met meerlaagse beveiliging is hier een goed voorbeeld van. Want slechts een dijk is tegenwoordig niet meer genoeg. Er zijn aanvullende maatregelen nodig.

Essentiële maatregelen

Maar wat is wijsheid als er al meerdere gaten in de dijk zitten en de dreigingen ook vanuit de lucht kunnen komen?

  • Maak inzichtelijk waar het water alsnog door de dijk komt, of dreigt te komen, zodat je tijdig maatregelen kunt nemen. Kies maatregelen die meerdere gaten tegelijk dichten. Kies een structurele aanpak van risico's.
  • Bescherm de assets door ze te groeperen en geef extra bescherming aan de assets die voor jouw bedrijf het meest waardevol zijn.
  • Gebruik aanvullende beschermingslagen die alle risicogebieden afdekken en voorkom daarmee dat assets vanuit de lucht aangevallen worden en zorg voor adequate monitoring.
  • Wees voorbereid om snel in te grijpen na een incident en zorg dat de draaiboeken klaarliggen en up to date zijn. Zorg dat iedereen binnen de organisatie weet hoe te handelen in een dergelijke situatie. Oefen!

Permanente dijkbewaking

Het is belangrijk dat er een duidelijke visie en strategie is, die nastreeft dat IT-beveiliging zal transformeren naar een permanente dijkbewaking.

De IT-beveiliging binnen APG is, net als bij veel andere bedrijven, ingericht volgens de security lifecycle, wat in grote lijnen preventie, detectie en response inhoudt. Door middel van beleid en de juiste tooling & processen pogen we om misbruik te voorkomen (preventie). We detecteren dreigingen door monitoring en door het regelmatig uitvoeren van beveiligingstesten op het web- en applicatielandschap en op de IT-infrastructuur. Daarnaast is er het CERT (computer emergency response) team, dat bestaat uit IT-beveiligingsmedewerkers van APG, aangevuld met een virtueel team van medewerkers met een securityrol vanuit alle IT afdelingen. Het CERT reageert en bestrijdt dreigingen als ze zich voordoen. Ze hebben dus een coördinerende rol bij security incidenten en hebben een directe lijn naar directie en de business.

Het werken volgens de security lifecycle helpt APG bij het structureel beheersen van risico's. Wanneer zich toch een beveiligingsprobleem voordoet, kan sneller gehandeld worden om de dreiging weg te nemen. Hierdoor is APG weerbaarder tegen de boze buitenwereld. Het resultaat is een hoger en volwassener IT-beveiligingsniveau.

Bewustwording

De beveiliging kan technisch nog wel zo goed op orde zijn, maar als de medewerker door middel van social engineering overgehaald kan worden om bepaalde informatie te geven en/of taken uit te voeren (zoals het klikken op vreemde linkjes), dan kan de beveiliging alsnog omzeild worden. Daarom heeft de IT-beveiligingsorganisatie bij APG nog een extra taak: het faciliteren van security bewustwording bij de medewerkers. Het is belangrijk dat medewerkers de (dreiging van) dijkdoorbraken herkennen en weten hoe te handelen. We verhogen het securitybewustzijn onder andere door middel van diverse uitingen, zoals filmpjes. Maar straks komt er ook een Security Awareness Game, die we samen met een groot aantal andere bedrijven aan het ontwikkelen zijn.