LOKO Online SecurityNieuws

De angst om te verliezen – Arno van Rijn

Door 12 augustus 2019 Geen reacties

Als Security Consultant kom je kom je veel situaties tegen maar het blijft fascinerend; Het kantoorpand wordt beveiligd met een alarmsysteem, de verschillende ruimtes zijn voorzien van een toegangscontrole systeem maar ondertussen hanteren gebruikers een wachtwoord in de categorie “Welkom123” voor toegang tot de zakelijke data en staat er een 10 jaar oude firewall als poortwachter.

De analoge wereld

Iedereen heeft het weleens meegemaakt: Inbraak, diefstal of verlies. Het kunnen vervelende gebeurtenissen zijn waarbij dierbare, kostbare of gevoelige bezittingen verloren raken. Naast het verlies van materie geeft het vaak een gevoel van onbehagen en onveiligheid als er een vreemd iemand zonder toestemming aan jouw spullen heeft gezeten.

Als mens hebben we de emotie angst meegekregen. Angst is de natuurlijke reactie van je lichaam en geest op dreigend gevaar. Angst heeft in principe een belangrijke functie. Het is een signaal van je lichaam dat je in beweging moet komen om het gevaar te bestrijden of juist te ontlopen.

Met die kennis is het dus eenvoudig te beredeneren waarom we zonder daarover na te denken de voordeur op slot doen als wij van huis gaan, de auto afsluiten en in het zwembad bezittingen opslaan in een afgesloten kluisje. We denken zelfs bewust na wat voor beveiligingsmethodes afdoende zijn. Het schuurtje met tuingereedschap vergrendelen we met een hangslot, de woning met een cilinderslot en driepunt sluiting en het kantoor vergrendelen we met een slot op de deur én een alarmsysteem. We vragen ons ongemerkt af: “Welke spullen zijn cruciaal voor mij? Welke spullen zijn interessant voor kwaadwillenden? Wie kunnen die kwaadwillenden zijn?” We hebben angst om onze spullen te verliezen.

De digitale wereld

Iedereen heeft er waarschijnlijk wel mee te maken gehad. Een computervirus, malware, ransomware, slachtoffer van phishing of een defecte PC waar nog belangrijke bestanden op stonden.

Als mens hebben we dus de emotie angst meegekregen.  Met die kennis is het dus eenvoudig te beredeneren waarom we zonder daarover na te denken… Gek genoeg zijn alle  vanzelfsprekendheden die in de analoge wereld spelen nog lang niet van toepassing in de digitale wereld.

Wanneer een gebruiker slachtoffer is van malware, een virus of computerstoring is de eerste vraag hoe snel het systeem weer operationeel is en of alle data er nog op staat of teruggezet kan worden. We hebben immers de angst om onze spullen te verliezen. In tegenstelling tot de analoge wereld kunnen we van onze bestanden eenvoudig een kopie maken. Als de storing verholpen is en de bestanden weer beschikbaar gemaakt zijn is men gerustgesteld en gaat men over tot de orde van de dag, we hebben immers niets verloren.

Veelal wordt er niet nagedacht bij welke partijen de data in handen komt en wat hiervan de consequenties kunnen zijn. Wat voor data is er gelekt tijdens die malware-infectie? Heeft een kwaadwillend persoon nu vrij toegang tot mijn computer. Wat zijn de zwakheden in mijn beveiliging. Welke data is cruciaal voor mij? Welke data kan interessant zijn voor kwaadwillenden? Dit is een dimensie die verder gaat dan alleen het verlies. Hier wordt minder over nagedacht, terwijl de impact in potentie veel groter kan zijn.

Bij veel digitale omgevingen hangt er een hangslot op de digitale ‘tuindeur’ en is deze ook toegepast op de woning en het kantoorgebouw. In andere situaties waar er wel adequate voorzieningen zijn geïnstalleerd is de voordeur voorzien van een cilinderslot en driepuntsluiting met geavanceerd alarm. De sleutel ligt echter onder de deurmat en de pincode van het alarm is 1234. De administratie, commerciële gegevens en de privéfoto’s slaan we bijvoorbeeld op in een gratis Dropbox variant. De terms and conditions worden zonder te lezen geaccordeerd waarmee het intellectueel eigendom van de data is overgedragen naar die “gratis” clouddienst.

We kunnen de meest fantastische technische oplossingen implementeren. Maar uiteindelijk is de ketting zo sterk als de zwakste schakel en is ook de gebruiker een essentiële schakel in deze beveiligingsketting.

De hoop van de nieuwe generatie

De vanzelfsprekendheden in de analoge wereld zijn het gevolg van lessen en inzichten die generatie op generatie zijn overgenomen en zijn aangeleerd.

De huidige generaties X en Y zijn opgegroeid in het analoge tijdperk en moeten veel lessen van de digitale wereld nog leren. De echte verandering in mind set zal dis plaatsvinden door de komst van generatie Z met zijn nakomelingen, de digital natives, de eerste generatie die opgegroeid is met smart-devices, apps en een overvloed aan data.

In de tussentijd hebben overheid en de IT-sector een zorgplicht om consumenten en bedrijven bewust te maken, te wijzen op de gevaren en te zorgen voor een werkomgeving die aan alle technische randvoorwaarden voldoet en gedragen wordt door beleid. De meldplicht datalekken laat bijvoorbeeld goed zien hoe krachtig wetgeving en de opvolging vanuit de markt kan werken bij het bewustwordingsproces.

De grootste uitdaging is dat de eindgebruiker standaard bij iedere actie nadenkt over de gevolgen van zijn digitale gedrag zoals hij of zij dat ook doet in de analoge wereld.

Hoe nu verder?

De Algemene Verordening Gegevensbescherming (AVG), stakeholders die steeds vaker kritische vragen stellen over hoe jij de informatieveiligheid binnen jouw organisatie geregeld heeft, de ene hack na het andere datalek in het nieuws. Wat betekent dit eigenlijk voor jouw bedrijf? Waar moet je beginnen?

Ten eerste is het van essentieel belang om jouw omgeving op organisatorisch vlak in kaart te brengen, vergeet de techniek! Dat vult jouw IT-partner in.

  • Wie werkt er in mijn organisatie?
  • Wie mag bij welke data en applicaties?
  • Op welke plekken staat mijn data?
  • Hoe wordt mijn data benaderd?
  • Wat is de gevoeligheid van mijn data?
  • Wie heeft belang bij mijn data?
  • Zijn er procedures voor standaard werkzaamheden?
  • Wat is mijn IT-beleid?
  • Wat is het niveau van mijn eindgebruikers?
  • Wat ziet mijn organisatie als reëel risico voor een hack, datalek of malware infectie?

Op basis van deze informatie kan de technische status en het functioneel gebruik getoetst worden met de vereisten die jouw organisatie stelt. Een autobedrijf heeft immers andere wensen en eisen dan een zorginstelling.

Het doel is om te komen tot een gelaagde beveiliging van jouw ICT-infrastructuur die de gebruiker en zijn behoeftes faciliteert. Dat laatste is erg belangrijk. Als binnen jouw infrastructuur bijvoorbeeld geen mogelijkheid is om eenvoudig bestanden te delen terwijl die vraag er wel is dan opent een gebruiker eenvoudig een gratis dropbox account en ben je de controle kwijt.

Een security scan maakt de verbetercyclus overzichtelijk. En dankzij een concreet actieplan kan je snel aan de slag met verbeteringen die passen bij de cultuur en behoefte van jouw organisatie. LOKO houdt het graag behapbaar. We starten met quick wins. Door eerst het laaghangend fruit te plukken, zetten we snel stappen in het beveiligingsniveau van jouw organisatie. Het maakt de weg vrij voor vervolgstappen en aanvullende beheersmaatregelen. Met LOKO Online Security ben je verzekerd van een goede basis. Begin bij het begin. Wel zo overzichtelijk.

Wil je weten of jouw organisatie digitaal gevaar loopt?

Krijg een gratis advies over jouw security omgeving

Vraag advies aan

Laat een reactie achter