Is jouw IT-omgeving waterdicht? Hoe centralisering en automatisering kunnen helpen.

Om risico’s en bedreigingen zoals een datalek of cyberaanval te voorkomen, is een waterdichte IT-omgeving vaak wenselijk. Maar is ‘waterdicht’ wel zo realistisch? En wat kun je als organisatie zelf doen om de IT-omgeving zo veilig mogelijk te maken? Ad Dollevoet, partner en consultant bij Beschermheren, geeft in dit artikel advies en tips hoe je dit kunt realiseren.

 

Een waterdichte IT-omgeving: realistisch?

Een waterdichte IT-omgeving anno 2022, behoort dat überhaupt nog tot de mogelijkheden? Als we Ad Dollevoet moeten geloven wel. Hoewel helemaal ‘waterdicht’ voor de gemiddelde onderneming niet realistisch en rendabel is. Dit zou namelijk betekenen dat er op zowel organisatorisch als op technisch vlak enorm veel, vergaande, security maatregelen moeten worden getroffen. En laten we eerlijk zijn, je probeert een business te runnen en niet om topcriminelen achter slot en grendel te houden.

‘Het is veel belangrijker om te kijken naar maatregelen die passen bij de data die je beheert. Gaan er binnen jouw organisatie bijvoorbeeld nagenoeg geen persoonsgegevens of andere vitale data over de lijn? Investeer dan niet al je winst in de beste IT-security apparatuur’, begint Dollevoet. Waterdicht betekent dus voor elke organisatie iets anders, maar er zijn zeker stappen te ondernemen die voor iedere organisatie van toepassing zijn.

 

 

Stap 1: Centralisatie vanaf ‘top down’

Een waterdichte IT-omgeving begint met een goed plan dat centraal beheerd wordt. Het is van belang om na te denken over wat écht belangrijk is voor jouw organisatie. Stel jezelf de vraag: wat is voor ons waterdicht? Zo heeft een glazenwasser minder belang bij een geavanceerde firewall dan een groot advocatenkantoor.

Zodra duidelijk is wat er gedaan moet worden om een waterdichte IT-omgeving te realiseren, is het tijd om regisseurs aan te wijzen. Alles dat vervolgens gedaan wordt dient centraal te worden uitgevoerd. Het is van groot belang dat alles gebeurt in lijn met de gemaakte afspraken en er controle plaatsvindt op de naleving hiervan. ‘Als voorbeeld nemen we een cloud migratie. Om dit in goede banen te leiden dient er naast een centraal beleid ook iemand aan de knoppen te draaien met verstand van zaken. Een cloud architect bijvoorbeeld. Laat je dit doen door je huidige IT’ers dan ontbreekt (mogelijk) de juiste kennis van zaken. Gevaarlijk, want ook intern moet de boel nog steeds ingericht en beheerd worden’, waarschuwt Dollevoet.

 

Stap 2: On-premise of in de cloud? Eigen beheer vs externe expertise

Heb je het over waterdicht, dan moet je ook kritisch kijken naar hoe en waar je de data opslaat. Hierbij zijn twee opties het meest aannemelijk: on-premise of in de cloud. ‘Waar mensen al snel denken dat de cloud automatisch veiliger is, is dit geen gegeven. Waar je hierbij als organisatie voor moet waken is gemakzucht. Vaak wordt er gedacht ‘we zitten nu in de cloud, onze cloud provider regelt het verder wel. Dit is foute en gevaarlijke gedachte. Een cloud provider levert namelijk enkel en alleen het platform. Vervolgens gaat een organisatie zelf zijn omgevingen inrichten en beveiligen. Als dit niet op de juiste wijze wordt gedaan door iemand met verstand van zaken, zal dit ten koste gaan van de veiligheid, integriteit en beschikbaarheid van informatie’, aldus Dollevoet.

Aanvullend schuilt er ook gevaar in de zogenaamde shadow-IT. Dit gebeurt wanneer alles zich in de cloud afspeelt maar er geen centraal beleid wordt gevoerd. ‘Zo wordt er bijvoorbeeld een cloud applicatie ingekocht zodat HR de uren beter kan bijhouden. Vervolgens gaan de mensen bij HR alles en iedereen toevoegen. Na verloop van tijd zal dit betekenen dat men het overzicht verliest, er teveel accounts actief zijn en onduidelijk is wie welke rechten heeft. Dat zijn precies de accounts die vaak weer succesvol worden gebruikt bij aanvallen. Geen wenselijke situatie dus!’

‘Ga niet klakkeloos allerlei oplossingen aanschaffen. Vaak zorgt dat er alleen maar voor dat je kwetsbaarder wordt’

 

De cloud biedt natuurlijk wel veel specialistische kennis die je mogelijk niet zelf in huis hebt. Zo legt een simpel virus niet zomaar de hele cloud infrastructuur plat. On-premise kan een soortgelijk virus wel vervelende gevolgen hebben. Daarnaast worden ook veel applicaties tegenwoordig enkel nog aangeboden via de cloud en werken de grote cloud providers continu aan een betere omgeving waar jij van mee profiteert.

Ongeacht welke keuze je maakt, is het van belang om van tevoren een duidelijk plan te maken en de naleving hiervan actief te monitoren. Automatisering is vervolgens de volgende stap richting een waterdichte IT-omgeving.

 

Stap 3: Automatisering kan het verschil maken

‘Het mooie aan automatisering is dat het heel breed toepasbaar is. Belangrijk hierin is wel dat de boel op orde is voordat automatisering goed kan worden gebruikt en kan bijdragen aan een waterdicht systeem. Een goed voorbeeld hiervan is de Log4J kwetsbaarheid van enkele maanden geleden. Organisaties die goed geautomatiseerd waren, hadden snel door waar de kwetsbaarheid zich bevond op de systemen. Zij konden snel en adequaat actie ondernemen. Organisaties waarbij dit niet het geval was, moesten dit handmatig onderzoeken. Dit kostte kostbare tijd waarin men langdurig kwetsbaar was.’ Ad zijn advies is dan ook om, voordat je ook maar bezig gaat met automatiseren, een risico-analyse uit te voeren. ‘Ga met elkaar kijken waar eventuele risico’s zitten , analyseer deze en kijk wat de potentiële impact hiervan is. Pas dan kun je serieus aan de slag met automatisering.’

 

Conclusie: het belang van de organisatie staat op de eerste plek

‘Wil jij een waterdichte IT-omgeving? Bepaal dan eerst voor jezelf wat dat betekent, hoe dat eruit ziet en wat ervoor nodig is. Ga niet klakkeloos allerlei oplossingen aanschaffen. Vaak zorgt dat er alleen maar voor dat je kwetsbaarder wordt door rondslingerende accounts en een gebrek aan overzicht.’

‘Bij Beschermheren komen wij ook niet meteen met allerlei technische oplossingen wanneer een klant veiliger of zelfs ‘waterdicht’ wil zijn. Dit is, zo vinden wij, van secundair belang. Veel belangrijker is een oplossing en aanpak zoeken die echt bij de organisatie past. Zo kijken wij veel meer naar het menselijke en organisatorische element dan naar technische snufjes’, aldus Ad Dollevoet, partner en consultant bij Beschermheren.

Zoals ook hierboven uiteengezet, een waterdicht IT-systeem valt of staat met een goed plan, een centraal beleid en de juiste mensen achter de knoppen. Heb je het idee dat jouw IT-systeem mogelijk ook wat aan het lekken is? Of wil je vrijblijvend sparren over onze werkwijze? Wij horen natuurlijk graag van je.

Beschermheren is specialist in informatiebeveiliging en privacy. Onze security experts en privacy officers helpen organisaties om ‘in control’ en compliant te zijn aan de huidige wet- en regelgeving. Met goed advies, en het inzichtelijk maken van mogelijke risico’s, treffen we de juiste maatregelen om beveiligingsrisico’s te minimaliseren. Meer weten? Bekijk onze aanpak of neem contact op!

Beschermheren

Daalwijkdreef 35
1103 AD Amsterdam
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving

Algemene voorwaarden

A man should look for what is, and not for what he thinks should be.

Albert Einstein