Optimale security vraagt om gestructureerd programma

Door Marcel Bakker

Als ergens hoge, en steeds hogere eisen worden gesteld aan het beheren en bewaren van klantgegevens, dan is het wel in de verschillende systemen van banken en verzekeraars. Waar elders anno 2021 een inhaalslag wordt gemaakt, wordt in deze sectoren het belang hiervan al jarenlang onderstreept. Logisch want uiterste zorgvuldigheid en vertrouwelijkheid is voor deze organisaties van levensbelang. Voor een van onze opdrachtgevers ontwikkelden we daarom een gestructureerd (beleids)programma waarin alle relevante security-maatregelen zijn voorzien en worden (of zijn) genomen.

Om de risk posture te optimaliseren, wordt het securityprogramma om te beginnen opgebouwd door de kwetsbaarheden inzichtelijk te maken. Vervolgens wordt het proces ingericht om deze kwetsbaarheden op te lossen binnen gestelde termijnen. We hebben het dan over vulnerability management.

Awareness
Waar op organisatieniveau het belang van veilige systemen gewoonlijk niet wordt onderschat, laat dat op individueel niveau van de medewerker nogal eens te wensen over. Dit is echter een van de belangrijkste pijlers van security, die – hoe eenvoudig ook – zelfs begint bij het beschermen en organiseren van persoonlijke toegang: een password-protocol is daarbij slechts de minimale, eerste actie van wat we Identity & Accesmanagement noemen. Daarbij is het van belang rekening te houden met het feit dat er altijd meerdere systemen zijn binnen bedrijfsprocessen. Door de applicatie ‘whitelisting’ (en eventueel ‘blacklisting’) toe te passen, is het mogelijk om malware te weren.

In de basis gaat het echter vooral om het creëren van voldoende bewustzijn en alertheid bij medewerkers, bijvoorbeeld om te zorgen dat systemen niet onbeheerd worden gelaten en phishing en spoofing tegen worden gegaan.  

Maatwerk stelt andere eisen
Behalve dat standaard softwarepakketten worden aangeschaft, wordt ook veel maatwerk ontwikkeld. In het securityprogramma is opgenomen dat juist hier aandacht wordt besteed aan securityprincipes en dat er code scanning software wordt geïmplementeerd.

Fysieke toegang
Bij security is het belangrijk om buiten de eigen discipline te kijken, en zelfs buiten de eigen belevingswereld. Zo bestaat er ook zoiets als de offlinewereld, en dus ook de fysieke toegang tot bedrijfspanden en installaties. Aan de hand van het securityprogramma dat door Marcel Bakker werd ontwikkeld, zijn ook hier voor de specifieke opdrachtgever maatregelen genomen en is de toegang verscherpt.

Testen
‘The proof of the pudding’ komt natuurlijk op het moment dat de veiligheid en weerbaarheid wordt uitgedaagd. Onderdeel van het securityprogramma is dan ook de opdracht aan een onafhankelijke partij van vriendelijke hackers. Deze ‘ultieme’ test leidt tot een sterkte-/zwakte-analyse, en daarmee weer nieuwe maatregelen.

Implementatie moet begrijpelijk zijn
Om ervoor te zorgen dat de ICT-structuur blijft voldoen aan de security-eisen is meer nodig dan advanced techniek en andere beheersmaatregelen. Snelheid van implementatie is van belang omdat veranderingen om én van systemen steeds sneller elkaar opvolgen, en security moet meegroeien en up-to-date blijven. Gelijktijdig is het essentieel dat maatregelen en voorzieningen begrijpelijk zijn, zeg maar: simpel. Want uiteindelijk zijn het mensen die mee moeten kunnen komen in het securitybeleid. Ook de fase van implementatie vraagt daarom om een gestructureerd programma.

Zin om verder te groeien in cybersecurity?
Ben je al een paar jaar in de IT actief als Projectmanager of programmamanager Security? SimplifyNow zoekt nieuwe mensen die willen groeien! We komen graag in gesprek met je en zijn heel benieuwd hoe jij hiermee omgaat. Kijk op onze vacaturepagina voor meer informatie.

SimplifyNow maakt IT eenvoudig en begrijpelijk

Neem contact op voor de inhoud van bovenstaand artikel met

Marcel Bakker (+31 6 26 590 437  |  | marcel.bakker@simplifynow.nl)
Meer weten over SimplifyNow, of over werken bij ons? Neem contact op met
Pieter Ruigrok (+31 6 83 06 96 54 | pieter.ruigrok@simplifynow.nl).