Op basis van Pobelka is 750GB data onfutseld aan overheidsinstellingen en het bedrijfsleven. Daar
zitten ook inlogcodes, wachtwoorden, persoonlijke informatie en creditcard
gegevens bij. Door onduidelijke toewijzing van taken, bevoegdheden en
verantwoordelijkheden opereert het Nationale Cyber Security Center in een vacuüm. Als je gegevens ontvreemd zijn, en als dat bekend
is, kan of wil het NCSC daar te weinig mee doen.
Vertrouwelijke gegevens zijn binnen de muren van jouw
organisatie niet meer veilig. Veel organisaties, vergelijkbaar met die van jou,
beveiligen de koppeling aan het internet met een staldeur.
Dat is verre van toereikend, bewijst Pobelka maar weer. Dus
gaan die organisaties investeren in betere voordeuren. Feit is echter dat de
gegevens op allerlei andere manieren het pand verlaten. Tel het aantal
clouddiensten bij jou in de organisatie maar eens op. Vermenigvuldig die met
het aantal eigen tablets en smartphones. Maak een inschatting van de bewuste medewerker.
Die rekensom vertelt je dat het risicoprofiel van jouw
organisaties enorm is opgeblazen. Daarbij komt de grensvervaging tussen binnen en buiten en de vermenging van werk
en privé. Gegevens verlaten het pand
op allerlei onbeheersbare wijzen. Erger nog, het pand bestaat niet meer!
Er is een schaduwinfrastructuur ontstaan van werkplekken, systemen,
netwerken, clouddiensten, apps en storage waarop de organisatie geen vat meer heeft.
Waar leg jij het zwaartepunt van security in de beschreven
situatie? Er zijn echt nog wel betere voordeuren nodig. Kies dan echter wel een
oplossing die op basis van eenduidige policies de beveiliging van
IT-infrastructuur én endpoints realiseert. Val niet voor de blauwe ogen van de
commercianten van ‘Wij-van-WC-eend’.
Die zien jouw organisatie alleen maar als toiletpot die zij wel even schoon
zullen maken. Risicoanalyse zegt dat je risico niet alleen in de perimeter zit.
OK, dus niet alleen een staldeurupgrade!
De organisatie heeft geen grip op de schaduwinfrastructuur.
De medewerkers daarentegen wel. Op grond van de ideeën van het Jericho-forum is
enkele jaren geleden al aangegeven dat beveiliging van data en identiteit
leidt tot een effectievere beveiliging van vertrouwelijke gegevens. Er
ontstaat een nieuwe perimeter, identiteit!
De organisatie moet dan ook op zoek naar een manier om
naadloos beveiligde toegang te bieden tot vertrouwelijke zakelijke gegevens in
verschillende SAAS-oplossingen, en tot privégegevens van medewerkers in
clouddiensten (dropbox, drive, …). Dan komt al vlug Federated Identity Management
om de hoek kijken. Maar hoe krijg je als organisatie al die cloud providers op
één lijn?
Diverse organisaties hebben natuurlijk al veel tijd gestoken
in Identity Access Manegement projecten toen er nog geen schaduwinfrastructuur
bestond. Ik kan me voorstellen dat menig directielid de wenkbrauwen fronst bij
de budgetaanvraag voor een nieuw IAM-project. Wellicht dat standaarden als SAML
en OAuth een rol van betekenis kunnen spelen in de zoektocht naar goed Identity
Management. Wel zullen cloud providers mee moeten bewegen. Niet iedere partij
is daartoe in staat. Zoek dus de juiste partijen die bereidwillig zijn om ook
jouw gegevens veilig te houden.
Een bijkomend aspect van de nieuwe identiteitsperimeter is
de context waarbinnen die identiteit van kracht is. Thuis, op een eigen
apparaat, is de identiteit van het directielid snel afgezwakt. Moet hij dan
alle autorisaties krijgen die op kantoor wel gelden?
Kijk echter niet te holistisch naar identiteit. Neuro
Linguistisch Programmeren biedt met logische niveaus van Bateson
een mooie kijk op de verschillende niveaus van identiteit. Het start onderaan met omgeving. Of de andere niveaus van
toegevoegde waarde zijn voor het vaststellen van toegangsrechten betwijfel ik
echter.
Daar sta je dan. Een half opengezwaaide staldeur, een
schaduwinfrastructuur en de wetenschap dat je straks geen pand meer hebt
waarbinnen gegevens beveiligd hoeven te worden.
Ga jij die perimeter ‘identiteit’ de prioriteit geven die
het verdiend? Of ga je toch voor een staldeurupgrade? Wellicht ga je allebei
doen. Ik kan me wel vinden in de laatste.
Mocht jij het totaal niet meer zien zitten als beveiliger
dan verwijs ik je naar de Paardenkamp.
Kijk uit voor al die staldeuren!
Leuk artikel! Bovenstaande dateert alweer uit 2013, maar de ontwikkelingen zijn tot op de dag van vandaag nog erg recent! Ik denk dat vele bedrijven zich nu in de fase bevinden van een 'staldeur upgrade'. Allen die nu binnen het bedrijf werkzaam zijn, krijgen een id tag, waar alle 'movements' worden gevolgd om de maximale veiligheid te waarborgen.
BeantwoordenVerwijderenDit kan voor veel mensen betekenen dat ze erg goed in de gaten worden gehouden, maar is in de extreemste gevallen een pure noodzaak. De keerzijde van de medaille is dat de werknemers dit natuurlijk niet echt een prettig idee vinden, dus er zal toch een middenweg gevonden moeten worden tussen de vrijheid van het personeel en de beveiliging van de data. Ben benieuwd wat de beste all-in oplossing zal worden!
Bedankt voor je reactie. Het is waar dat veel organisaties gericht zijn op de staldeurupgrade. Ik maak echter bij verschillende organisaties mee dat die staldeur niet meer de belangrijkste risico's met zich meebrengt. Alles gaat buitenom, via sluipwegen en dan moet je toch wat als organisatie. Monitoren verusus privacy. Goed dat er over gediscussieerd wordt. Straks heb je nog maar twee knoppen waar security door beïnvloed kan worden. Een oor in, en een oor uit. Bewuste medewerkers dus.
VerwijderenHet is daarom ook zeer van belang om op de werkvloer een goed camera systeem te hebben hangen. Ondanks dat het natuurlijk voor de werknemer een raar gevoel kan zijn van monitoren ( wat je ook aangeeft monitoren vs privacy) is het wel van belang voor sommige bedrijfsprocessen dat dit intern blijft en op een bepaalde manier op slot kan.
BeantwoordenVerwijderen