Eindelijk is er is een bewindspersoon die zich gaat toeleggen op digitalisering en digitale weerbaarheid. De overheid gaat tevens fors investeren in een brede meerjarige cybersecurity aanpak en in cyberexpertise bij de politie, rechtspraak, het Openbaar Ministerie en defensie. Dat zijn allemaal goede ontwikkelingen om een weerwoord te vinden tegen cyberaanvallen. Maar wat kun je als organisatie nu zelf doen als het gaat om cybersecurity? Ik onderscheid drie trends die je houvast geven in het uitstippelen van een securitystrategie in 2022.

Het laatste kwartaal van 2021 stond bol van de security-incidenten en datalekken. Bedrijven en instellingen in talloze sectoren kregen te maken met verstoringen in de dagelijkse operatie als gevolg van cyberaanvallen. Er lijkt zich een ratrace te ontpoppen, waarvan het eind nog niet in zicht is. Het lijkt dan ook overbodig te zeggen dat je als organisatie niet moet denken: ‘dat overkomt mij niet’. Security-analisten hebben niet voor niets de stelregel dat er twee typen organisaties zijn: zij die zijn gehackt en zij die worden gehackt.

Flexibel reageren op nieuwe kwetsbaarheden

Wat uit de hausse aan datalekken en securityincidenten naar voren komt, is dat aanvallen op bijvoorbeeld de supply chain steeds geavanceerder worden. Tevens zien we dat cyberaanvallers steeds beter en sneller reageren wanneer er kwetsbaarheden in software opduiken, zoals het geval was bij Apache Log4j. Met deze wetenschap is het vooral van belang dat je als organisatie flexibel bent en snel en adequaat kunt reageren op de gestage stroom van bedreigingen die hoe dan ook op je afkomt. Daarnaast wordt er van een IT-omgeving verwacht dat deze steeds toegankelijker wordt. Om deze balans te kunnen vinden, moet je in ieder geval rekening houden met een drietal trends.

Toenemend aantal verschillende gebruikersgroepen

Traditioneel had je als organisatie een netwerk ingericht dat als belangrijkste taak had de medewerkers op kantoor of de bedrijfsvestiging hun werk te laten doen. Iedereen werkte ook op dat kantoor en dat was wel zo overzichtelijk, ook gezien de security. Maar die tijden zijn definitief voorbij. Vandaag de dag werken er niet alleen veel mensen vanuit huis, maar heb je ook te maken met verschillende groepen gebruikers die toegang moeten hebben tot (delen van) je netwerk. Klanten en leveranciers hebben toegang tot elkaars netwerken, bijvoorbeeld om supply chain en logistieke processen te optimaliseren. Daarnaast zien we dat bedrijven op projectbasis met elkaar samenwerken en informatie en applicaties met elkaar delen; dat wil je wel op een veilige en robuuste manier inrichten. Maar denk ook aan auditors die op gezette tijden processen en datastromen moeten kunnen monitoren. Al deze actoren melden zich aan op het netwerk met verschillende devices en besturingssystemen. Het is dan ook een uitdaging om voor alle actoren en devices het juiste risicoprofiel op te stellen en te vertalen naar toegangsbeheer en securitybeleid. Je zult in 2022 meer dan ooit kritisch moeten kijken naar je Identity en Access Management omgeving.

Meer focus op gebruikersgemak

Er is een spanningsveld tussen gebruiksgemak en beveiliging. Dat zal in zekere zin altijd zo blijven. Sommige informatie is zo gevoelig dat je er zeker van wil zijn dat deze alleen binnen de kantoormuren ingezien kan worden. En een bepaalde financiële applicatie is alleen bestemd voor een beknopte groep gebruikers. Dat betekent vaak: verschillende keren inloggen en gebruik van meerdere wachtwoorden. Dit zorgt ervoor dat gebruikers ingewikkelde procedures moeten volgen, voordat ze toegang hebben tot applicaties en informatie. Het wordt medewerkers moeilijk gemaakt om op een prettige en veilige manier hun werk te doen. Dat terwijl het juist zo belangrijk is om medewerkers vast te houden en aan te trekken door hen een optimale user experience te bieden. Iets wat essentieel is nu de krapte op de arbeidsmarkt verder toeneemt. Je zult in 2022 dan ook werk moeten maken van het nauwgezet in kaart brengen van de securityrisico’s van ieder inlogverzoek. Pas daar vervolgens de inlog policies op aan. Een applicatie om vergaderruimte mee te reserveren kent een laag risicoprofiel, terwijl het dashboard met informatie over klanten juist wel een hoog risico met zich mee brengt.

Goed is niet meer goed genoeg

Lange tijd werd security gezien als een sluitpost. Inspanningen waren erop gericht om met minimale inzet en kosten een acceptabel beveiligingsniveau te realiseren. Deze instelling is echter niet meer toereikend en organisaties zullen dan ook snel tegen hun grenzen aan lopen. Wil je medewerkers, assets en uiteindelijk business continuïteit beschermen, dan wordt er een hogere kwaliteit van je cybersecurity verwacht. Maak daarbij gebruik van de kennis en de middelen die vrijkomen nu overheidsinstanties investeren in het digitaal weerbaarder maken van de samenleving. Kortom, gebruik dit momentum om zelf cybersecurity naar een hoger niveau te brengen. Je zult het echt nodig hebben.

Dit is een ingezonden bijdrage van Guido Gerrits, Directeur Access Management Solutions bij Thales Nederland. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.