Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Security by design, vergeet niet goed na te denken

04 februari 2018 - 14:085 minuten leestijdOpinieSecurity & Awareness

Buzzwoorden zoals security by design, agile security integration, DevSecOps en nog vele anderen, vliegen tegenwoordig over de ceo, cfo, cto, cisp en dpo board tafel. En terecht. Want security – het beveiligen van de bedrijfsmiddelen – hoort gewoon een integraal onderdeel te zijn van elk (kritiek) bedrijfsproces.

Maar net zoals we op de tv-spotjes kunnen zien dat je de voordeur van je huis op slot moet doen, een lamp aan moet laten en ramen dicht moet doen als je je huis verlaat – ook voor heel eventjes – om insluipers of inbrekers te weren of het moeilijk te maken om spullen mee te nemen wordt vergeten dat de voordeursleutel nog steeds onder de deurmat ligt.

Het blijft mij verbazen dat ik in mijn dagelijkse werk nog steeds zaken tegenkom die met goed nadenken gewoon voorkomen of goed geregeld kunnen worden.

Verwijderen niet voldoende

Wanneer personeelszaken adviseert dat een medewerker het bedrijf moet verlaten, is het belangrijk om meer te doen dan simpelweg het account van de persoon te verwijderen uit de active directory. Tegenwoordig hebben gebruikers meerdere (verschillende) cloudservice accounts voor functies zoals payrolling, urenregistratie, reizen, workflow, customer relation management en projectbeheer. Omdat deze accounts zich in de cloud bevinden, is het veel gemakkelijker voor een medewerker die het bedrijf heeft verlaten om toegang te krijgen tot het account.

Een internet connectie is voldoende. Het is dan ook belangrijk om alle accounts van vertrekkende medewerkers te verwijderen. Een goed identity & access management-systeem – en dat kan ook een cloud service zijn – gekoppeld aan de hr-bedrijfsprocessen kan hierin een goede ondersteuning bieden.

Dreigingen van binnenuit

Bedrijven richten hun beveiligingsinspanningen vooral op externe bedreigingen zoals cybercriminelen en ‘schurkenstaten’ (die hun inlichtingendienst ook inzetten voor bedrijfsspionage) maar de dreiging van insiders verdient net zo veel aandacht. Forrester Research ontdekte dat 58 procent van de wereldwijde ondernemingen in de afgelopen twaalf maanden ten minste één inbraak van buitenaf heeft ervaren. 50 procent van diezelfde groep geeft aan ten minste één intern incident te hebben gehad.

Data loss prevention-software kan helpen met datalekken in de organisatie, maar vergeet ook niet om aandacht te besteden aan het gedrag van medewerkers. Kijk eens naar de tevredenheid van werknemers. Ontevreden medewerkers kunnen geneigd zijn gegevens te stelen en door te spelen aan de concurrent.

Controle over ‘schaduw it’

Schaduw it is de laatste jaren een veelbesproken onderwerp geworden, en terecht. Het blijft een serieus probleem voor it-afdelingen. Gartner voorspelt zelfs dat 38 procent van de it-aankopen in 2018 door leidinggevenden uit de line-of-business zal worden gedaan. Clouddiensten afnemen door middel van een simpele ‘swipe’ met de creditcard is heel eenvoudig. Door de it- of security-afdeling hier niet bij te betrekken hoeft er geen verantwoording te worden afgelegd en zijn de doorlooptijden kort. Maar hierdoor blijven it- en beveiligingsanalisten zich op hun hoofd krabben over hoe de organisatie te beveiligen.

Als je niet weet dat iets bestaat kun je het ook niet beveiligen. Om hier grip op te krijgen, is voorlichting aan- en bewustmaking van business line managers door mensen die bekwaam zijn in het uitleggen van de technische uitdagingen – en de bijbehorende business risico’s – een absolute noodzaak.

Supply chain-security

Beveiligingsprofessionals zijn zo gefocust op de eigen verantwoordelijkheid binnen hun vakgebied in de onderneming dat ze het overzicht – the bigger picture – uit het oog verliezen. Isaca, ISsc2en andere beveiligingsgroepen adviseren beveiligingsanalisten om een ​​meer holistisch beeld te krijgen van de mogelijke risico’s. Denk hierbij aan aandacht voor de security maatregelen van serviceproviders, andere derde partijen en verschillende leveranciers.

Veel bedrijven voeren nu beveiligingscontroles uit op hun leveranciers met behulp van tools zoals BitSight, QuadMetrics en SecurityScorecard om de risico’s van de gehele supply chain in kaart te brengen- en daar waar nodig additionele maatregelen te nemen. Met name door de in werking tredende GDPR op 28 mei aanstaande zal een nadere risico analyse nodig blijken te zijn op de verwerking van (persoonlijke) data door leveranciers.

Bug bounty-programma’s

Beveiligingsexperts praten altijd over integratie van beveiliging in het proces van codeontwikkeling zoals DevSecOps of agile (security) development, maar wanneer organisaties een stapje terug doen en kijken naar wat dit echt kost, blijkt het heel moeilijk of kostbaar om te doen. Om te beginnen is het voor ontwikkelaars belangrijk om op deze manier te leren werken – en dus zijn er (dure) trainingen nodig om deze manier (DevSecOps of agile security development) van werken aan te leren.

Binnen de DevOps-toolketen zijn beveiligingssleutels (certificaten) of wachtwoorden nodig om hedendaagse moderne applicaties te bouwen. Tegen de algemene beveiligingsstandaarden in worden deze vaak rechtstreeks ingebed in code- of configuratiebestanden zoals Ansible Playbooks. Wanneer deze hulpmiddelen of bestanden in gevaar worden gebracht, worden de beveiligingssleutels (certificaten) of wachtwoorden en de toegang die ze bieden ook aangetast, waardoor organisaties zowel groot als klein, kwetsbaar worden voor een aanval.

Sommige bedrijven hebben zich tot bugbountybedrijven zoals HackerOne en Bugcrowd gewend om kwetsbaarheidstests uit te voeren op producten in ontwikkeling. Het is misschien niet perfect, maar het geeft bedrijven in ieder geval inzicht in enkele van de meer voor de hand liggende kwetsbaarheden, zodat ze deze kunnen aanpakken voordat een product de deur uitgaat.

Meer over

AgileCybercrimeSecurity by design

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Meer lezen

    Maandthema Security by design
    OpinieSecurity & Awareness

    Security by design in 9 stappen

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Computable Insights

    Een ai-agent die klantvragen afhandelt. Dat is een van de nieuwste troeven van softwareproducent Salesforce, dat daarmee meesurft op de...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs