Van ‘assume breach’ naar ‘zero trust’ naar dataclassificatie

Paul Vos

5 december 2022

Wanneer ben jij voor het laatst gehackt? Dat weet je niet? Eigenlijk is het ook niet zo relevant, ga er maar vanuit dat het gebeurt. Een andere kijk – assume breach – op security kan veel organisaties helpen.

Een succesvolle hack hoeft helemaal niet ingewikkeld te zijn. Uber werd gehackt door een zogenaamde ‘MFA-vermoeidheidsaanval’. De aanvaller deed zich voor als iemand van IT die de werknemer herhaaldelijk login notifications mailde. De aanvaller putte de werknemer in principe uit, waardoor deze uiteindelijk zijn credentials op een vals portaal invoerde. Ga er maar van uit dat het een keer gebeurt, een breach.

Professionalisering

Het aanvalsoppervlak van organisaties is enorm gegroeid door remote working en de grote hoeveelheid waardevolle data waarmee we werken in meerdere cloud-platformen.

Voeg daar de professionalisering van cybercriminaliteit aan toe, wat inmiddels een heel innovatieve industrie geworden is. Waar een hacker vroeger een proces van begin tot eind uitvoerde, zie je nu dat er strategische partnerships ontstaan, met specialisten voor identiteitsdiefstal, infiltratie van organisaties of monetizing van hacks. Zelfs AI wordt al ingezet, om de zwakke plekken in de beveiliging te vinden.

Zero trust security

De traditionele IT-security is, afgezien van specifieke toepassingen, niet toereikend meer. Data moet vrijelijk kunnen bewegen binnen de cloud, met toegang via apps op allerlei devices en locaties, managed en soms ook unmanaged. Assume breach zou voor de meeste organisaties het uitgangspunt moeten zijn. En als je dat eenmaal omarmt, zul je de digitale identiteiten van medewerkers, de apps, de data en de endpoints moeten beschermen, de zero trust beveiliging. Daarmee verdeel je het risico. Ik zie echter dat organisaties in de adoptie van zero trust nog een behoorlijke inhaalslag moeten maken.

Dataclassificatie

Na zero trust is er nog een factor om rekening mee te houden. Nu we steeds meer de gemakken ontdekken van samenwerken met collega’s, partners of leveranciers in de cloud zul je je bewust moeten zijn welke informatie wel en niet gedeeld kan worden of toegankelijk is voor anderen. Wie weet namelijk waar gevoelige informatie belandt en wie erbij kunnen?

Door gebruik te maken van dataclassificatie kun je ervoor zorgen dat gevoelige data niet zonder meer door derden geopend of gemaild kan worden. Door bijvoorbeeld gebruik te maken van documententemplates krijgt gevoelige data een label en wordt deze versleuteld. Op deze manier bescherm je gevoelige informatie tegen niet-geautoriseerden.

Assume breach, zero trust en dataclassificatie laten zien dat je op een andere manier over beveiliging moet nadenken en je bewust moet zijn van de ‘kwade’ buitenwereld. Of dit nou eindgebruikers, consumenten of zakelijke partners zijn. Een zwakke schakel in het geheel kan het begin zijn van die hackaanval waar je niet op zit te wachten.

Waardestijging

Behalve het voorkomen van een hack draagt de juiste security ook enorm bij aan de perceptie van waarde van een bedrijf. Bij aanbestedingen en RfP’s moet je de nodige aandacht besteden aan de security-maatregelen die je organisatie heeft getroffen. Dit moet je bovendien kunnen aantonen. In die zin brengen investeringen in zero trust en dataclassificatie ook echte waarde.

Ten slotte nog een tip. Grijp incidenten in je eigen organisatie maar ook daarbuiten aan om de bewustwording over beveiliging te versterken. Want regelmatig aandacht vestigen op de kansen van een aanval draagt bij aan inzicht bij je medewerkers en andere relaties en maakt de kans dat je gehackt wordt weer een klein beetje minder.

Lees ook onze whitepaper CyberSecurity – Trends en adviezen voor een veilig 2023. Als je hieronder je gegevens achterlaat, sturen we je de downloadlink per e-mail.
 

    Gerelateerde artikelen

    Zero trust: hoe maak ik het concreet?

    Zero trust: hoe maak ik het concreet?

    Jaarlijks zijn er tal van onderzoek- en adviesbureaus met allerlei overzichten van strategische trends in IT en cybersecurity. Steevast is zero trust onderdeel van deze lijstjes, met over het algemeen een toelichting in de trant van ‘vertrouw niets zomaar, maar verifieer. Maar wat moet je hier nu concreet mee als CIO, CISO of IT-manager?

    Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

    Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

    Meer dan een derde van alle Nederlandse bedrijven zakte vorig jaar voor hun compliance-audit. Daardoor lopen ze een tien keer grotere kans op een datalek. Tien procent werd in 2023 slachtoffer van een ransomware-aanval. Van al die bedrijven betaalde vier procent losgeld. Dat stelt Thales in zijn meest recente Data Threat Report.

    Twee derde werknemers gokt met security

    Twee derde werknemers gokt met security

    Ruim twee derde van Nederlandse werknemers brengt de organisatie bewust in gevaar, wat tot ransomware- of malware-infecties, datalekken of financieel verlies leidt. Meer dan vier op de vijf van de onderzochte organisaties maakte in 2023 ten minste één succesvolle aanval mee.

    Overheid lanceert NIS2-Quickscan

    Overheid lanceert NIS2-Quickscan

    Op 29 februari heeft de Rijksoverheid de NIS2-Quickscan gelanceerd waarmee organisaties zich kunnen voorbereiden op de nieuwe Europese NIS2-richtlijn. Deze richtlijn is gericht op het vergroten van de digitale weerbaarheid van bedrijven en organisaties in de EU.