Wanneer ben jij voor het laatst gehackt? Dat weet je niet? Eigenlijk is het ook niet zo relevant, ga er maar vanuit dat het gebeurt. Een andere kijk – assume breach – op security kan veel organisaties helpen.
Een succesvolle hack hoeft helemaal niet ingewikkeld te zijn. Uber werd gehackt door een zogenaamde ‘MFA-vermoeidheidsaanval’. De aanvaller deed zich voor als iemand van IT die de werknemer herhaaldelijk login notifications mailde. De aanvaller putte de werknemer in principe uit, waardoor deze uiteindelijk zijn credentials op een vals portaal invoerde. Ga er maar van uit dat het een keer gebeurt, een breach.
Professionalisering
Het aanvalsoppervlak van organisaties is enorm gegroeid door remote working en de grote hoeveelheid waardevolle data waarmee we werken in meerdere cloud-platformen.
Voeg daar de professionalisering van cybercriminaliteit aan toe, wat inmiddels een heel innovatieve industrie geworden is. Waar een hacker vroeger een proces van begin tot eind uitvoerde, zie je nu dat er strategische partnerships ontstaan, met specialisten voor identiteitsdiefstal, infiltratie van organisaties of monetizing van hacks. Zelfs AI wordt al ingezet, om de zwakke plekken in de beveiliging te vinden.
Zero trust security
De traditionele IT-security is, afgezien van specifieke toepassingen, niet toereikend meer. Data moet vrijelijk kunnen bewegen binnen de cloud, met toegang via apps op allerlei devices en locaties, managed en soms ook unmanaged. Assume breach zou voor de meeste organisaties het uitgangspunt moeten zijn. En als je dat eenmaal omarmt, zul je de digitale identiteiten van medewerkers, de apps, de data en de endpoints moeten beschermen, de zero trust beveiliging. Daarmee verdeel je het risico. Ik zie echter dat organisaties in de adoptie van zero trust nog een behoorlijke inhaalslag moeten maken.
Dataclassificatie
Na zero trust is er nog een factor om rekening mee te houden. Nu we steeds meer de gemakken ontdekken van samenwerken met collega’s, partners of leveranciers in de cloud zul je je bewust moeten zijn welke informatie wel en niet gedeeld kan worden of toegankelijk is voor anderen. Wie weet namelijk waar gevoelige informatie belandt en wie erbij kunnen?
Door gebruik te maken van dataclassificatie kun je ervoor zorgen dat gevoelige data niet zonder meer door derden geopend of gemaild kan worden. Door bijvoorbeeld gebruik te maken van documententemplates krijgt gevoelige data een label en wordt deze versleuteld. Op deze manier bescherm je gevoelige informatie tegen niet-geautoriseerden.
Assume breach, zero trust en dataclassificatie laten zien dat je op een andere manier over beveiliging moet nadenken en je bewust moet zijn van de ‘kwade’ buitenwereld. Of dit nou eindgebruikers, consumenten of zakelijke partners zijn. Een zwakke schakel in het geheel kan het begin zijn van die hackaanval waar je niet op zit te wachten.
Waardestijging
Behalve het voorkomen van een hack draagt de juiste security ook enorm bij aan de perceptie van waarde van een bedrijf. Bij aanbestedingen en RfP’s moet je de nodige aandacht besteden aan de security-maatregelen die je organisatie heeft getroffen. Dit moet je bovendien kunnen aantonen. In die zin brengen investeringen in zero trust en dataclassificatie ook echte waarde.
Ten slotte nog een tip. Grijp incidenten in je eigen organisatie maar ook daarbuiten aan om de bewustwording over beveiliging te versterken. Want regelmatig aandacht vestigen op de kansen van een aanval draagt bij aan inzicht bij je medewerkers en andere relaties en maakt de kans dat je gehackt wordt weer een klein beetje minder.
Lees ook onze whitepaper CyberSecurity – Trends en adviezen voor een veilig 2023. Als je hieronder je gegevens achterlaat, sturen we je de downloadlink per e-mail.
