De eisen op het gebied van veiligheid nemen steeds meer toe. Het besef dat de gegevens van bedrijven én hun klanten maximaal beschermd moeten zijn, leeft niet langer alleen bij de IT-afdeling maar wordt steeds breder gedragen bij de directie. Zo blijkt uit onderzoek van Gartner dat in 2020 75% van het beveilingsbudget van IT aan proactieve detectie en ‘rapid response’ tools wordt besteedt, in tegenstelling tot 10% in 2012.
Natuurlijk wordt iedereen elke dag weer op de feiten gedrukt als in het nieuws verschijnt dat er een hack heeft plaatsgevonden en er persoonsgegevens zijn buitgemaakt. Reageren op een aanval is te laat en daarom niet meer van deze tijd. Neem actie en stel een proactief beleid op aangaande de beveiliging van je IT-omgeving!
Als senior network engineer is Eric Meurs verantwoordelijk voor de beveiliging van het cloud platform van Eshgro, met daarop tientallen klanten en partners met elk weer een hun eigen klanten. Bij Eshgro voert hij al jaren een proactief beveiligingsbeleid, om de veiligheid te kunnen garanderen. Beveiliging van IT in het algemeen vindt hij zeer belangrijk en hij deelt dan ook graag drie tips uit zijn ervaring.
Het grootste beveiligingsrisico blijft de mens zelf. Je kunt een state-of-the-art firewall hebben, als je CEO zijn paswoord laat slingeren krijgen hackers wel heel gemakkelijk toegang. Doordat steeds meer Nederlanders beseffen dat ze op moeten letten voor fishing en niet alle documenten zomaar moeten delen, gaat het beter. Toch zijn er ook nog genoeg medewerkers die geen toegangscode hebben op hun telefoon, maar wel de zakelijke e-mail ontvangen.
Eric licht verder toe: ”Beveiliging van IT moet op de agenda staan bij alle medewerkers, bijvoorbeeld ook de receptioniste. Zij moet er goed op letten dat er niet zomaar een onbekende naar binnen loopt naar de serverruimte. Ook is er een geval bekend van een USB-stick die werd opgestuurd met de vraag of de bestanden verstuurd konden worden naar de directeur. Niets vermoedend stopt de secretaresse de stick in haar computer, waar direct een trojan werd geïnstalleerd met alle gevolgen van dien.“
Natuurlijk houd je als IT-verantwoordelijke het liefst alles in de gaten houden wat er gebeurd op het platform. Echter is dat in de praktijk niet mogelijk, legt Eric uit. “Als je zoals bij Eshgro een platform hebt waar duizenden gebruikers dagelijks inloggen, krijg je een logbestand waar je hoofd van gaat duizelen. Daarom adviseren wij een slim geconfigureerde anomaly detector. Zo wordt wel alles gemonitord en gelogd, maar krijg je alleen een melding als er iets gebeurt dat opvalt’.
Het succes van een dergelijke tool staat of valt bij de configuratie. Je wilt niet teveel meldingen krijgen, want die leiden alleen maar af. Echter wil je ook niet het risico lopen dat je er een risico over het hoofd wordt gezien door het systeem. Eric vervolgt: “Het systeem logt bijvoorbeeld wanneer iemand vanuit een onbekende locatie inlogt. Dat is prima, want dat kan gewoon een hotel zijn. Hij logt in op de terminal server waar hij toe is gerechtigd, nog steeds prima. Probeert hij echter drie keer een netwerkmap te openen met het verkeerde wachtwoord, dan gaan de alarmbellen rinkelen. Vaak is het een typefout of zijn ze het wachtwoord vergeten, maar het risico wil je niet lopen”.
“Er is niemand die je belt om te melden dat er wellicht een lek zit in je open SSL. Hou daarom je ogen en oren open en zorg dat je op de hoogte bent van het laatste nieuws!”. Eric doelt hiermee vooral op het beveiligingslek Heartbleed, wat de afgelopen weken veel in het nieuws is geweest. Hiermee kwamen de gegevens van gebruikers van veel bedrijven en websites in gevaar, waardoor een aantal organisaties hun gebruikers hebben moeten vragen om een nieuw wachtwoord aan te maken.
Eric benadrukt: “Als je dat soort dingen mist, is je platform in één keer een stuk kwetsbaarder voor kwaadwillende hackers. Maak dus een database met goede bronnen en raadpleeg deze regelmatig!”
Tot slot wil Eric graag nog iets toevoegen over de discussie aangaande veiligheid in de cloud. “Vaak hoor ik mensen zeggen dat de cloud niet veilig is, dat is natuurlijk onzin! Ik kan garanderen dat zelfs onze kleinste klanten de beveiliging hebben die gelijk staat aan die van een multinational. Bedrijven moeten wel goed nadenken over de partij met wie zij in zee gaan om hun private cloud te hosten. Waar staat de data bijvoorbeeld? Wat is het beveiligingsbeleid van de service provider? En worden zij jaarlijks gecontroleerd op bijvoorbeeld een ISAE3402 certificering? Door het stellen van de juiste vragen, weet je zeker dat je kiest voor een cloud die veiliger kan zijn dan welke IT-omgeving dan ook.”
Thysia is nu Eshgro
Avensus is nu Eshgro