Open Deuren blog voor business managers - Deel II

In mijn vorige blog over kwetsbaarheid beheer (vulnerability management) trapte ik voor veel security collega’s een open deur in. Maar de directeuren waaraan ik het concept, de mogelijkheden en noodzaak van vulnerability management (scanning) uitlegde, keken al wat minder glazig en waren geïnteresseerd. Dus toch nog maar even verder op basis van open deuren…

Het hang -en sluitwerk op de buitendeuren is in orde, we weten waar alle sleutels zijn en we maken regelmatig een digitale ‘sluitronde’. Ook de digitale inbreker werkt op basis van een businesscase; als hij ziet dat de buitenkant van uw digitale huis op orde is gaat hij op zoek naar een makkelijker doelwit.

Tijd om te kijken hoe het er binnenshuis uitziet. In een huis of bedrijf heb je meestal verschillende kamers; ieder met een eigen functie. We zetten niet op iedere binnendeur een slot maar wel op de badkamer, het toilet en soms bepaalde werkkamers. We gaan er van uit dat iemand die is binnengelaten vertrouwd is. U hebt ze zelf binnengelaten of ze hadden van u een sleutel gekregen. Hier gaat mijn vergelijking met de fysieke thuiswereld scheurtjes vertonen. Als het gaat om informatiebeveiliging willen we alleen die digitale binnendeuren openzetten voor mensen die echt toegang nodig hebben tot bepaalde informatie.

Wij zetten dus wel(!) sloten op de binnendeuren en hanteren een gelaagde beveiliging: ‘defense-in-depth’. Als iemand onverhoopt toch binnen weet te dringen of zich in laat sluiten krijgt hij of zij te maken met aanvullende maatregelen zoals extra binnendeuren.

Ook die deuren gaan we controleren. Zijn er voldoende, zijn ze op de juiste plek, sluiten ze goed genoeg en zorgen deurdrangers dat ze goed gesloten blijven? Net als de buitendeuren controleren we de digitale binnendeuren ook weer met scans of ethical hacks op kwetsbaarheden. Binnenshuis is de omgeving wel vele malen complexer en uitgebreider. We moeten dus in kaart brengen wat we moeten controleren. En ook inregelen dat de controlerende systemen bij deze omgevingen kunnen komen om hun werk te doen. Ja, ook daar moet soms een deurtje voor open worden gezet. Daarna stellen we vast of de beveiliging goed genoeg is;

• Zijn de systemen wel op de juiste manier geïnstalleerd en ingesteld (‘hardening’)?    

• Zijn er na de initiële installatie geen nieuwe manieren bekend geworden om de deuren open te krijgen?

• Zijn alle verbeteringen van de leveranciers geïnstalleerd (patches & fixes)

• Zijn er geen toegangsdeuren onbedoeld en gemakshalve op een kier gezet en wordt het systeem nog wel ondersteund door de leverancier?

Je beveiliging op deze manier inrichten is in moderne omgevingen best een uitdaging maar hiervoor zijn gelukkig veel goede technische oplossingen beschikbaar om kwetsbaarheden in kaart te brengen. Bij de inzet van scanners is het belangrijk dat ze een goed oordeel geven over de kwetsbaarheid en weerbaarheid van alle relevante IT-systemen. Ze mogen natuurlijk niet de productieomgeving verstoren en moeten leesbare rapportages opleveren voor systeembeheerders die de kwetsbaarheden moeten oplossen. En er moeten ook rapportages beschikbaar zijn voor de businessmanager! Inzicht in de weerbaarheid van zijn digitale huis of bedrijf; meten is weten!

Kan er niets meer gebeuren als je regelmatig je ‘sluitronde’/scan doet? Neen, natuurlijk niet. Nieuwe kwetsbaarheden worden iedere dag ontdekt en steeds sneller misbruikt. Systeembeheerders en applicatieontwikkelaars houden zelf continue de weerbaarheid natuurlijk ook goed in de gaten.

Een actieve houding om de weerbaarheid van uw organisatie op een hoog niveau te houden geeft vertrouwen bij klanten en medewerkers en verbetert je risicoprofiel. Bovendien is de financiële impact een stuk minder dan wanneer een kwaadwillende een kwetsbaarheid weet te vinden en effectief misbruikt. Doorlopend scannen op kwetsbaarheden is daarvoor een prima vangnet, het geeft inzicht en is een efficiënte en effectieve investering in de digitale weerbaarheid van jouw organisatie. Lees hierover meer in deze blog "Staying Ahead".

Regelmatig een rondje in je digitale huis op zoek naar dingen die beter kunnen. Dat is goed voor de reputatie van jouw organisatie, de nachtrust van iedereen en verlaagt mogelijk zelfs je verzekeringspremie!