Van ‘assume breach’ naar ‘zero trust’ naar dataclassificatie

Paul Vos

5 december 2022

Wanneer ben jij voor het laatst gehackt? Dat weet je niet? Eigenlijk is het ook niet zo relevant, ga er maar vanuit dat het gebeurt. Een andere kijk – assume breach – op security kan veel organisaties helpen.

Een succesvolle hack hoeft helemaal niet ingewikkeld te zijn. Uber werd gehackt door een zogenaamde ‘MFA-vermoeidheidsaanval’. De aanvaller deed zich voor als iemand van IT die de werknemer herhaaldelijk login notifications mailde. De aanvaller putte de werknemer in principe uit, waardoor deze uiteindelijk zijn credentials op een vals portaal invoerde. Ga er maar van uit dat het een keer gebeurt, een breach.

Professionalisering

Het aanvalsoppervlak van organisaties is enorm gegroeid door remote working en de grote hoeveelheid waardevolle data waarmee we werken in meerdere cloud-platformen.

Voeg daar de professionalisering van cybercriminaliteit aan toe, wat inmiddels een heel innovatieve industrie geworden is. Waar een hacker vroeger een proces van begin tot eind uitvoerde, zie je nu dat er strategische partnerships ontstaan, met specialisten voor identiteitsdiefstal, infiltratie van organisaties of monetizing van hacks. Zelfs AI wordt al ingezet, om de zwakke plekken in de beveiliging te vinden.

Zero trust security

De traditionele IT-security is, afgezien van specifieke toepassingen, niet toereikend meer. Data moet vrijelijk kunnen bewegen binnen de cloud, met toegang via apps op allerlei devices en locaties, managed en soms ook unmanaged. Assume breach zou voor de meeste organisaties het uitgangspunt moeten zijn. En als je dat eenmaal omarmt, zul je de digitale identiteiten van medewerkers, de apps, de data en de endpoints moeten beschermen, de zero trust beveiliging. Daarmee verdeel je het risico. Ik zie echter dat organisaties in de adoptie van zero trust nog een behoorlijke inhaalslag moeten maken.

Dataclassificatie

Na zero trust is er nog een factor om rekening mee te houden. Nu we steeds meer de gemakken ontdekken van samenwerken met collega’s, partners of leveranciers in de cloud zul je je bewust moeten zijn welke informatie wel en niet gedeeld kan worden of toegankelijk is voor anderen. Wie weet namelijk waar gevoelige informatie belandt en wie erbij kunnen?

Door gebruik te maken van dataclassificatie kun je ervoor zorgen dat gevoelige data niet zonder meer door derden geopend of gemaild kan worden. Door bijvoorbeeld gebruik te maken van documententemplates krijgt gevoelige data een label en wordt deze versleuteld. Op deze manier bescherm je gevoelige informatie tegen niet-geautoriseerden.

Assume breach, zero trust en dataclassificatie laten zien dat je op een andere manier over beveiliging moet nadenken en je bewust moet zijn van de ‘kwade’ buitenwereld. Of dit nou eindgebruikers, consumenten of zakelijke partners zijn. Een zwakke schakel in het geheel kan het begin zijn van die hackaanval waar je niet op zit te wachten.

Waardestijging

Behalve het voorkomen van een hack draagt de juiste security ook enorm bij aan de perceptie van waarde van een bedrijf. Bij aanbestedingen en RfP’s moet je de nodige aandacht besteden aan de security-maatregelen die je organisatie heeft getroffen. Dit moet je bovendien kunnen aantonen. In die zin brengen investeringen in zero trust en dataclassificatie ook echte waarde.

Ten slotte nog een tip. Grijp incidenten in je eigen organisatie maar ook daarbuiten aan om de bewustwording over beveiliging te versterken. Want regelmatig aandacht vestigen op de kansen van een aanval draagt bij aan inzicht bij je medewerkers en andere relaties en maakt de kans dat je gehackt wordt weer een klein beetje minder.

Lees ook onze whitepaper CyberSecurity – Trends en adviezen voor een veilig 2023. Als je hieronder je gegevens achterlaat, sturen we je de downloadlink per e-mail.
 

    Gerelateerde artikelen

    De CISO als alleskunner?

    De CISO als alleskunner?

    Chief Information Security Officer – klinkt geweldig, maar is het dat ook? Klinkt als een geweldige positie, als alles goed gaat… Maar wat nu als een organisatie te maken krijgt met een grootschalig cyberincident? In tegenstelling tot andere senior posities kan het voor de CISO vrij snel persoonlijke gevolgen hebben: “Jij zou er toch voor zorgen? Ik dacht dat we een goede CISO hadden?!”

    ‘Guy Fawkes’ en de digitale rebellie

    ‘Guy Fawkes’ en de digitale rebellie

    Het masker met de tronie van Guy Fawkes staat voor een complex web van historische en hedendaagse betekenissen – en een dunne lijn tussen goed en kwaad. Hoe is dit zo gekomen? Kan het ook als inspiratie dienen? CISO Dimitri van Zantvliet denkt van wel.