Beveiliging van bedrijfsgegevens is de uiteindelijke verantwoordelijkheid van het management. De directie moet vaststellen welke gegevens absoluut niet in vreemde handen mogen vallen, de beveiligingsexpert dient dat te vertalen naar it-beleid en de it-afdeling gaat dat uitvoeren. Risico’s moeten helder zijn om een kostenafweging te kunnen maken.
Tijdens de expertsessie 'Help mijn bedrijf wordt gehackt' van Computable op de Infosecurity 2012 in De Jaarbeurs was het panel eensgezind over waar de eindverantwoordelijkheid ligt voor beveiliging: bij de directie. Martijn Bellaard van Brain Force bracht als eerste naar voren dat de top van het bedrijf moet bepalen wat er wel en wat er niet of minder beveiligd moet worden. René Pieete van McAfee voegde hieraan toe dat ook de medewerkers hun verantwoordelijkheid moeten nemen. 'Als je een e-mail naar jouw thuisaccount stuurt met gevoelige bedrijfsgegevens omdat je 's avonds nog wat wilt werken, dan moet je beseffen dat dit een risico is.'
Righard Zwienenberg van Nod32 haalde aan dat het nodig is om alle medewerkers te overtuigen dat beveiliging ook hun zaak is. Marinus Kuivenhoven van Sogeti haakte hierop in door te vertellen dat mensen geneigd zijn om een omweg te zoeken om toch hun werk te kunnen doen. 'Dan kun je beter niet verbieden om bijvoorbeeld gebruik te maken van Dropbox, maar goede voorlichting geven over hoe je daarmee om kunt gaan.'
Panelleider Pieter Lacroix van Sophos meldde dat hem opvalt dat beveiliging in de praktijk meer en meer een zaak is van de financiële directeur en minder van de it-afdeling. 'Het gaat tenslotte om de financiële risico's die een organisatie loopt.'
Cloud is geen garantie
Op de stelling dat encryptie in de cloud een garantie biedt voor veilige opslag van data, bleek het panel eveneens eensgezind: de cloud zelf is een risico. 'Als de dienstverlener zelf de gegevens versleutelt, dan kan hij nog steeds bij mijn gegevens. Er is dus geen enkele garantie dat encryptie in de cloud veilig is', vatte Bellaard samen.
Zwienenberg haalde hier nog aan dat het nuttig is te vragen hoe de cloudprovider met beveiliging omgaat en of het personeel gecertificeerd is. 'Mocht je van clouddiensten gebruik gaan maken, dan moet je heel kritische vragen stellen over security.'
Hij kwam trouwens met de tip om mensen bewust te maken van hun gedrag. 'Een bank zou zijn klanten een mail kunnen sturen met een link erin. Mochten er mensen zijn die daarop klikken, dan krijgen zij een waarschuwing dat het niet handig is om zomaar ergens op in te gaan. Dat is een manier om bewustzijn te vergroten.'
Meerdere oplossingen integreren
Voor organisaties is het lastig om de juiste oplossingen te kiezen. 'Wij hebben er geloof ik alleen al zestig', aldus Pieete. 'En organisaties hebben natuurlijk al oplossingen van andere leveranciers in hun bedrijf. We zien nu eindelijk dat de fabrikanten van securityoplossingen hun producten open gaan maken en het mogelijk gaan maken om ze met elkaar te integreren. Want hoe meer verschillende producten je hebt, hoe minder zicht je hebt op de gaten in jouw beveiliging.'
Trouwens, zo hield hij het gehoor voor, er zijn ook bedrijven die bewust gaten hebben in hun beveiliging om zo de hackers daar naartoe te lokken en ze van de echt interessante gegevens weg te houden.
Tot slot bracht het panel naar voren dat het nodig is van detectie naar preventie te gaan. Het is goed mogelijk te loggen wat het gedrag is van medewerkers op het interne netwerk van hackers die van buiten aanvallen. Maar als de logfiles alleen maar worden gebruikt om achteraf (als de schade al is ontstaan) te kunnen vaststellen wat er is gebeurd, dan ben je toch te laat. 'Ik wil op het moment dat een medewerker plotseling heel veel Dropbox gebruikt, een signaal krijgen. Als dan bij personeelszaken blijkt dat die persoon over twee maanden het bedrijf verlaat, dan weet je genoeg om actie te ondernemen', legde Bellaard uit.