Het nieuwe speelveld van security

Informatiebeveiliging is de afgelopen jaren op een ander speelveld terecht gekomen. Waar de focus van de IT-industrie eerst op het afschermen en veilig houden van netwerken lag, is de nadruk komen te liggen op monitoren en anticiperen. Security is bovendien nog meer een specialisme geworden en specialisten op dit gebied zijn hard nodig om dreigingen het komende jaar het hoofd te bieden. In hoeverre is security klaar voor 2020?

Verandering van het speelveld
De afgelopen jaren veranderde ons internetgebruik van 'handig' tot onmisbaar in vele bedrijfsprocessen. Het aantal toepassingen van internetgebruik is enorm gegroeid en er worden steeds meer apparaten en systemen op elkaar aangesloten. Van relatief onschuldige smart home-apparatuur tot bedrijfskritische applicaties. Wereldwijd zijn we compleet afhankelijk geworden van internet.

Er wordt daarom veel méér gevraagd van de IT-afdeling; in plaats van reactief services beschikbaar maken, moet IT actief en als innovator de bedrijfsvoering ondersteunen met inzicht in business, risico-inschattingen en monitoring. Security is hierbij een uitgangspunt en echt uitgegroeid tot specialisme.

Bewustwording over afhankelijkheid
Door de professionalisering van cybercriminaliteit  en de grote schaal waarop deze plaatsvindt, ontstaat er steeds meer bewustwording over de eerder genoemde afhankelijkheid van internet. Aan de andere kant heerst er nog steeds een sterke 'dat overkomt mij niet' mentaliteit, waardoor bedrijven geen actie ondernemen. Tijdens pentesten wordt dit pijnlijk duidelijk: we kunnen vaak diep een organisatie binnendringen en soms zelfs toegang krijgen tot bedrijfskritische onderdelen. Het ontastbare, onzichtbare van cybercrime zorgt er nog steeds voor dat er andere keuzes worden gemaakt. Het boek van journalist Huib Modderkolk 'Het is oorlog maar niemand die het ziet', raakt de kern en beschrijft deze keuze goed. Overheden en bedrijven zijn zich wellicht bewust van het bestaan van cybercrime, maar niet van de risico's.

Toename van wetgeving en compliancy richtlijnen
Komende jaren zal cybercriminaliteit allesbehalve afnemen en zullen de gevolgen van een cyberoorlog steeds meer merkbaar worden. De soms minimale bewustwording over security-risico's en het valse gevoel van onschendbaarheid kunnen met recht een IT-dreiging genoemd worden. Hoe nu dan verder?

Allereerst gaan wetgeving en compliance-eisen zorgen voor richtlijnen om security in te richten. De trend is dat we aan steeds meer regels moeten voldoen. Zo moeten bedrijven volgens de GDPR-regelgeving onder andere datalekken melden en logging van gebeurtenissen kunnen opleveren. Vorig jaar trad de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) ofwel de Cybersecuritywet in werking. De NEN-EN-ISO/IEC27001:2017 specificeert eisen voor het implementeren, onderhouden en verbeteren van beveiligingsmaatregelen, inclusief voorschriften voor de beoordeling en behandeling van veiligheidsrisico's.

Verder werd dit jaar een extra deel (deel 2-4) uit de normenreeks IEC 62443 - Cyber Security for Industrial Automation and Control Systems een officiële NEN-EN-IEC-norm. Dit deel specificeert beveiligingsmogelijkheden die een component in staat stellen bedreigingen voor een bepaald beveiligingsniveau (SL) te mitigeren zonder de hulp van compenserende tegenmaatregelen.

Monitoren en anticiperen
De meeste organisaties hebben inmiddels preventieve maatregelen, zoals een firewall, wel op orde. Wat echter vaak ontbreekt, is de controle op netwerken en systemen: detectie. Die detectie en monitoring zorgen voor inzicht. En dat inzicht is nodig om de controle te houden. Hierin is een grote rol weggelegd voor de security-expert: die moet zorgen voor monitoring en inzicht om risico's in te schatten en te meten of genomen maatregelen effectief zijn. Er wordt veel geschreven over de risico's van cybercriminaliteit, ook in dit artikel, maar dat is niet iets om angstig van te worden. Start 'simpelweg' met het verkrijgen van inzicht. Dat is de enige manier om de controle terug te krijgen èn te houden. Security begint met monitoring en anticipatie. Hierin is een grote rol weggelegd voor de security-expert; die moet zorgen voor monitoring en inzicht om risico's in te schatten.

Wilt u hier meer informatie over, neemt u dan contact met ons op via 015-251 36 36  of via info@pinewood.nl
 

Wet - en regelgeving

Vanaf 25 mei 2018  wordt de wet Algemene Verordening Gegevensbescherming (AVG) beter bekend als GDPR van kracht....

Phishing

Uw medewerkers bewust maken van de gevaren van het internet is een continu proces.Wist u dat 5% van uw medewerkers op...

ISO27001

Steeds meer organisaties hebben te maken met complexe IT-vraagstukken. Maar wat betekent dit op het gebied van...

DDoS

Een DoS- of DDoS-aanval is er op gericht een dienstverlening (service) te verstoren, waardoor de continuïteit van uw...

Ransomware anno 2019

Ransomware! Het woord gonst al een aantal jaar rond in securityland. Helaas is het niet bij een hype gebleven maar is...