Thuiswerken als ongepland extra risico

Laten we maar meteen beginnen met de olifant in de kamer, thuiswerken. Dit is een ontwikkeling waar u zich allen in heeft moeten schikken. Sommige mensen vinden het heerlijk en de ander wordt er helemaal gestoord van. Maar als we uw persoonlijke sores even laten voor wat het is, is het ook duidelijk geworden dat het veel teweeg heeft gebracht binnen de informatiebeveiliging. Iedereen werkt vanuit huis, dus applicaties en API’s moeten worden uitgebreid zodat iedereen zijn werk kan doen. Ongeacht waar in het land deze werknemer zich bevindt.

Een bijzondere aanvullende uitdaging is de verhoogde blootstelling van medewerkers aan aanvallers. Bijvoorbeeld door de overstap naar cloud-based diensten en thuiswerkscenario’s. Hierdoor worden gebruikers en activa die voorheen met een firewall waren afgesloten, vaker zichtbaar. Het is daarom belangrijk om kritisch naar je huidige beleid te kijken. In hoeverre dekt dit de nieuwe situatie? Dit zegt ook ICT-expert Brenno de Winter in een interview met het KVK.

“Maak voor jezelf een speerpunt om extra goed op procedures te letten. We blijven structureel meer thuiswerken, en dat brengt risico’s met zich mee. Internetcriminelen worden steeds geraffineerder. Ze sturen je medewerker bijvoorbeeld een niet van echt te onderscheiden mail van de directeur, met het verzoek om met spoed een groot bedrag over te maken.”

Hier dient dus een strak beleid op gevoerd te worden. Zo voorkom je dat zo’n ‘thuiswerklaptop’ het hele bedrijfsnetwerk infecteert.  Het probleem waar veel bedrijven in 2021 tegenaan gaan lopen is dat dit proces investeringen vereist. Maar juist in 2021 zullen de economische gevolgen van de coronacrisis nog zeer goed voelbaar zijn. Bezuinigen op informatiebeveiliging is echter absoluut geen optie.

Risk-based benadering

Wat er vandaag de dag nog steeds veel vergeten wordt is dat informatiebeveiliging zoveel meer is dan techniek. Sterker nog, techniek is slechts een klein gedeelte. In 2021 zal het nog belangrijker gaan zijn dat management en bestuur dreigingen op waarde gaan schatten. Vanwege het nieuwe IT-landschap en de financiële perikelen kan niet op elke kwetsbaarheid geacteerd worden. Dit zal betekenen dat er meer wordt gehandeld vanuit een risk-based benadering. Dit komt ook naar voren in het rapport van Gartner “2021 planning Guide for Security and Risk Management”.

“Een duurzaam beveiligingsbeleid dat risico afwegingen maakt op basis van beschikbare data en meetbare oplossingen als resultaat biedt, is essentieel om het nieuwe normaal te beheren”

We verwachten daarom dat er ook veel zal worden ingezet op intern risicomanagement. Er zal (nog) meer worden aangestuurd op veilig gedrag omdat dit kosteneffectief is en ook simpelweg noodzakelijk. Zet in op een cultuur waarin de medewerker wordt beoordeeld op veilig gedrag. Momenteel gebeurt het nog te vaak dat medewerkers per ongeluk iets veroorzaken. Dit heeft veel te maken met een gebrek aan controle en beoordeling. Het is daarom zaak om een veiligheidscultuur te cultiveren waarin veilig werken juist beloond wordt. Des te meer in 2021. Het voltallige personeel zit thuis te werken zonder directe supervisie. Er zal daarom, denken wij, meer nadruk liggen op beleid om de medewerker (nog) meer bewust te maken van alle risico’s en gevaren.

Slimmere aanvallen vereisen nog betere verdediging

Het nieuwe werken brengt overduidelijk nieuwe risico’s met zich mee. Uit onderzoek is gebleken dat er in 2020 zeven keer zoveel malware aanvallen plaatsvonden dan het jaar daarvoor. Een ongekende stijging die hand in hand gaat met het bedrijfsleven dat hals over kop haar hele beveiligingsbeleid moest aanpassen. Ondanks dat er geen exacte bedragen bekend zijn is hier wel veel aan verdiend. Dit geld wordt vervolgens door criminelen weer ingezet voor betere en grotere aanvallen. Kortom, 2021 kan haar borst natmaken. Aanvallen zullen blijven komen in groten getale maar zullen ook steeds geavanceerder worden.

Dit vraagt natuurlijk om een reactie vanuit het oogpunt van security. We verwachten daarom dat ook verdedigingsmechanismes steeds slimmer zullen worden. Daarnaast zullen deze oplossingen zich ook meer gaan aanpassen aan het nieuwe werken. Er zijn diverse manieren om dit te bewerkstelligen maar er zal een verschuiving plaatsvinden waarbij Artificial intelligence (AI) een grotere rol zal spelen. Hiermee kan er in real-time worden bekeken hoe gebruikers zich gedragen en waartoe ze toegang zoeken.  Securityteams gebruiken die inzichten om beveiligingsincidenten, atypisch gedrag en overtredingen van het beleid automatisch te detecteren en kwetsbaarheden te controleren.

Het blijft gissen en het zou zomaar kunnen dat er andere zaken de kop op steken in 2021 die alles weer in de war gooien. Toch denken wij dat onze verwachtingen voor informatiebeveiliging in 2021 redelijk accuraat zijn. Ons advies voor bedrijven is daarom wel om niet te bezuinigen op informatiebeveiliging maar juist slimmer te investeren. Dit is waarom wij altijd werken vanuit een risk-based approach. Waar liggen de echte risico’s en hoe pakken we die effectief aan? Geen standaard plan maar een oplossing op maat. Meer weten? Neem contact met ons op via de website.