Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Eigen werknemer kan ook een vijand zijn

 

Computable Expert

Fred Streefland
Sr Manager Product Marketing EMEA, Palo Alto Networks. Expert van Computable voor het topic Security.

Iedere organisatie kampt met dezelfde uitdaging: hoe behoud ik het overzicht in deze tijden van Bigdata, complexe cyber aanvallen, aangepaste eisen en regelgeving van klanten/overheden/instanties en (ex-)werknemers? Nu denkt u mischien: De eerste paar redenen begrijp ik, maar wat heeft die laatste categorie er nu mee te maken? Ik zal dit toelichten.

De basis van een goede alomvattende security strategie voor een organisatie begint bij het identificeren en onderkennen van alle dreiging, dus ook die van binnenuit, ook wel ‘insiders threat’ genoemd. Het is dan ook zaak om deze security strategie bekend te maken binnen de organisatie, zodat eenieder op de hoogte is van deze strategie (cyber awareness). Indien dit zorgvuldig wordt aangepakt, dan zijn ook de werknemers (en toekomstige ex-werknemers) op de hoogte van het feit dat de organisatie insiders threat onderkend.

Helaas is een dergelijke aanpak voor cyber awareness eerder uitzondering dan regel en zullen organisaties hierin moeten investeren om toekomstige veiligheidsincidenten met eventuele ex-werknemers te voorkomen, want een goede cyber awareness invulling kan mijns inziens wel degelijk bijdragen tot een ‘afschrikeffect’ voor ex-werknemers. Vandaar ook deze opinie.

Constant monitoren

Naast deze ‘preventieve' aanpak, zal een allesomvattende security strategie ook moeten ingaan op het constant monitoren van de organisatie, inclusief de eigen werknemers. Deze monitoring is essentieel om het benodigde overzicht van de organisatie te verkrijgen. Deze monitoring dient te worden 'uitgevoerd' met daadwerkelijke effectieve en volledige tooling. Deze tooling bestaat uit de 'open deuren' als een goede password policy of intrusion detection/prevention systemen, maar wordt vooral gevormd door de combinatie van een goede Identity Management, Access Management en siem-oplossing (security information en event management). Juist die combinatie zorgt ervoor dat de organisatie minder kwetsbaar is geworden voor dreigingen van binnenuit.

Een Identity Management, een Acces Management of een standaard siem-oplossing alleen zal vaak niet afdoende zijn, want de organisatie mist het algehele overzicht. Juist de combinatie van deze drie elementen zorgen ervoor dat de organisatie redelijk goed is beveiligd. De verschillende elementen voeden elkaar met essentiële informatie, die vervolgens kan worden geanalyseerd.

Door de toevoeging van intelligentie, worden er verbanden gelegd, die door een enkele oplossing niet altijd kunnen worden geïdentificeerd. De kracht van de verdediging is juist het samenwerken van de verschillende elementen, zodat alle mogelijke gevaren door één of meerdere oplossingen kunnen worden onderkend en worden 'aangepakt'.

Essentieel

Vooral de siem-oplossing is essentieel in dit verhaal, want zonder een goede siem-oplossing, is het vereiste overzicht van de netwerken lastig te verkrijgen. Hierbij doel ik op tweede generatie siem-oplossingen, want de eerste generatie oplossingen zijn niet meer adequaat tegen de huidige dreigingen. De tweede generatie siem-oplossingen worden ondersteund en ge-update door specifieke r&d en zijn in staat om in de pre-exploit fase mogelijke kwetsbaarheden te ontdekken, want het gaat meer en meer om proactieve onderkenning van mogelijke gevaren.

Een goed inzicht in de huidige configuraties op alle systemen, bestaande vulnerabilities/kwetsbaarheden, security- en compliance policies, assets en anomaliën is essentieel. Daarnaast is de mogelijkheid al deze informatiebronnen te koppelen aan siem-informatie en overall correlatie en predictive analysis te kunnen doen middels 'security intelligence' van onschatbare waarde voor organisaties om zich te wapenen tegen nieuwe bedreigingen en tegen ‘insiders threat'.

Mijns inziens is het niet de vraag of u hiermee in aanraking komt, maar moet de vraag zijn: wanneer? De voorbeelden uit het recente verleden spreken voor zich. De ene keer is er een miljardenbedrag aan geld ontvreemd door een eigen werknemer en de andere keer is er zeer gevoelige informatie ‘gelekt' door een ex-werknemer. Kenmerkend bij deze voorbeelden is het feit dat het organisaties betreft, die geen actieve en moderne drie-eenheid van identity management, access management en siem hadden ingevoerd.

Snel op de hoogte zijn

Zeker in de huidige tijd van onzekerheid, gedwongen ontslagen en de technische mogelijkheden van gegevensdragers, is het van belang om op ieder moment precies te weten wat de werknemers doen en waartoe zij toegang hebben. Niet om constant ‘Big Brother is watching you' uit te hangen, maar wel om bij een dergelijk voorval zeer snel op de hoogte te zijn, zodat erger kan worden voorkomen. Sterker nog, als de drie-eenheid functioneert en dit ook is gecommuniceerd binnen de eigen organisatie, dan ben ik van mening dat de kans op een dergelijk voorval tot een minimum wordt beperkt. Dat er meer aandacht moet worden besteed aan insiders threat is zeker, want het zijn niet alleen de Duqu, Stuxnet en Anonymous, die bedreigend zijn voor uw organisatie. Een eigen werknemer kan namelijk zowel een ‘friend' als een ‘foe' zijn of worden......

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/4377562). © Jaarbeurs IT Media.

?

 

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.