Jouw IT-security in 2021 onder controle

In het Solvinity Security Awareness onderzoek 2020 vroegen we deze zomer aan 500 Nederlandse IT-verantwoordelijken of hun organisatie naar hun idee de beveiliging van de IT-omgeving onder controle heeft. 25,9% is daar zeker van. 62,4% “heeft het gevoel van wel” - de rest denkt van niet of heeft simpelweg geen idee. Dat zijn geen hele fijne getallen.

De grote vraag is dus hoe je ervoor kunt zorgen dat je wél vol zelfvertrouwen kunt zeggen dat je de basisbeveiliging van je organisatie op orde hebt. Hier een aantal handvatten om fris en veilig het nieuwe jaar in te gaan.

1. Security by Design Security is heel lang een bijgedachte geweest. Inmiddels is het een cruciaal onderdeel van iedere IT-omgeving. Hoe eerder je cybersecurity dus meeneemt in je beleid en ontwerp, hoe beter het is. Security by design maakt alles zo veel makkelijker. Je IT-infrastructuur is veiliger en eenvoudiger te beheren. Het maakt je beveiligingsbeleid eenvoudiger. Het geeft inzicht dat van pas komt bij compliance en bij audits. Het zorgt ervoor dat je vanaf het begin een goed beeld opbouwt van alle maatregelen en alle kwetsbaarheden die je bewust hebt moeten toestaan, waardoor je altijd weet waar je aan toe bent. Als dat inzicht ontbreekt, kun je nooit met zekerheid zeggen dat je ‘in control’ bent.

1. Patchen en updaten, doe het direct Updates en patches worden vaak uitgebracht om kwetsbaarheden in hard- en software te verhelpen. In ons onderzoek geeft maar liefst 80% aan dat niet alle updates en patches altijd worden geïnstalleerd. En als het wel gebeurt, duurt het vaak langer dan nodig. Volgens Watchguard bestaat op dit moment al 70% van alle malware uit ‘zero day attacks’: aanvallen die specifiek gericht zijn op nog niet gepatchte systemen. Voor het niet tijdig installeren van patches zijn vaak ogenschijnlijk goede redenen– bijvoorbeeld de angst dat een update cruciale bedrijfsprocessen kan verstoren. De realiteit is, dat hoe langer je ermee wacht, hoe ingewikkelder het wordt. En de impact van een security incident op je bedrijfsvoering is vaak vele malen groter. Vind een goede balans tussen het testen van patches en de snelheid waarmee ze geïnstalleerd worden. Zorg voor een spoedprocedure op de plank voor de meest risicovolle kwetsbaarheden. Automatiseer het testen – het verkort de tijd nodig voor het installeren vaak aanzienlijk. En standaardiseer. Dit maakt het makkelijker om de oorzaak van mogelijke problemen te achterhalen en een roll-back uit te voeren mocht dat nodig zijn.
2. Testen, reviewen, herinstalleren en opschonen Veel mensen willen hun bestaande IT-infrastructuur beter beveiligen. Tegelijkertijd willen ze graag flexibeler, sneller en prettiger kunnen werken. Dat is niet ideaal. Alleen al in kaart brengen hoe de huidige infrastructuur in elkaar zit, is ontzettend tijdrovend en daardoor zeer kostbaar. Daarna moet je proberen een fundamenteel onveilig systeem weerbaar te maken. Iedereen die wel eens een fietsband heeft geplakt weet, dat als een band eenmaal lek is geweest, een nieuwe band eigenlijk altijd de beste oplossing is. Natuurlijk is het mogelijk achteraf nog veel te doen. Je kunt vulnerability tests en een (kostbare) security audit laten uitvoeren; je kunt de firewall rules en je hardening laten controleren (een enorme klus). In wezen moet je je hele IT-omgeving opnieuw laten bekijken en overal opnieuw een bewuste keuze maken: welke poorten zet je open en welke maatregelen hebben welke gevolgen elders in de keten. Het kán. Maar in veruit de meeste gevallen is een volledige herinstallatie verreweg de beste keuze. Je kunt gebruikmaken van best security practices en je krijgt het inzicht dat nodig is om een systeem weer onder controle te krijgen. Een herinstallatie is bovendien een uitstekende gelegenheid om de infrastructuur op te schonen en te vereenvoudigen, bijvoorbeeld door afscheid te nemen van verouderde of ongebruikte componenten of door over te stappen op flexibelere en veiligere alternatieven die beter beheersbaar zijn.

Iedere organisatie krijgt regelmatig te maken met veranderingen, zoals de installatie van updates en patches, de implementatie van nieuwe oplossingen of het toevoegen van nieuwe gebruikers. Door dat soort aanpassingen onderdeel te maken van een veilige standaardprocedure, in een IT-omgeving die ‘secure by design’ is opgebouwd, kun je deze snel en met een gerust hart doorvoeren. Het is de beste manier om bij ons volgende Security Awareness onderzoek te kunnen antwoorden dat de IT-omgeving volledig onder controle is.

Door Marc Guardiola, CISO en Lead Architect bij Solvinity