De rol van de security officer is de afgelopen jaren steeds uitdagender geworden. Bedrijven moeten voldoen aan snel veranderende wet- en regelgeving. Bescherming tegen cyberdreigingen wordt steeds complexer. En met de populariteit van de cloud blijft informatie niet meer geconcentreerd binnen de veilige grenzen van de organisatie. In deze blog leg ik uit hoe u in vier stappen de controle houdt over de beveiliging en compliancy van uw IT-landschap.
De security officer gaat over het creëren, bewaken en toetsen van het securitybeleid en de daarbij behorende maatregelen. Daarvoor is het essentieel om te weten welke informatie zich waar bevindt, wie er toegang tot die data heeft en wat men met die toegang doet. Dat kan alleen als het beleid optimaal is afgestemd op de systemen en datastromen in de organisatie. En daar gaat het in veel organisaties mis. Applicaties zijn vaak niet (goed) afgestemd op het beleid. Bovendien gebruiken medewerkers regelmatig eigen tools die niet worden ondersteund door de IT-afdeling. Daardoor dreigt de security officer het zicht kwijt te raken op de bewegingen van gebruikers. Het is niet meer duidelijk welke gebruikers toegang hebben tot welke gegevens en hoe informatie gedeeld wordt.
Rol security officer verandert
In het verleden was toegang tot informatie(systemen) veelal alleen mogelijk vanuit de interne organisatie. De grootste uitdaging van de security officer was destijds vooral om externe bedreigingen buiten de deur te houden. Tegenwoordig hebben gebruikers altijd en overal toegang tot informatiesystemen en wordt data op diverse plaatsen bewaard en gedeeld, zowel binnen als buiten de onderneming. De security officer richt zich daardoor steeds meer op het monitoren van de risico’s tot ver buiten de grenzen van de eigen organisatie.
Neem nu bijvoorbeeld het gebruik van gratis cloudopslagdiensten. Veel organisaties werken niet met die cloudapplicaties. Toch worden ze dikwijls gebruikt door individuele medewerkers. Deels voor privégebruik, maar ook om snel iets te delen met leveranciers of klanten. Hoe weet een security officer dat zo’n opslagdienst wordt gebruikt? En hoe voorkomt hij dat gebruikers gevoelige documenten uploaden of delen met de concurrentie? Deze gratis cloudoplossingen vormen een soort schaduw-IT, die voor serieuze securityrisico’s zorgen.
Een ander bekend securityprobleem is het beheren van toegang en identiteit van gebruikers. Hoe stelt de security officer vast dat alle gebruikers netjes omgaan met gegevens? Weet de organisatie wie er allemaal toegang heeft tot een systeem? Zijn de autorisaties nog wel juist? Zijn er bijvoorbeeld nog user-ID’s in omloop van medewerkers die niet meer in dienst zijn? Hoe kan de security officer hier grip op krijgen?
De vier stappen van informatiebeveiliging
Om dergelijke vragen te beantwoorden en de impact van bedreigingen te minimaliseren is het essentieel dat een security officer de risico’s op tijd kan identificeren, analyseren en rapporteren. Dit vraagt enerzijds om het opstellen van helder beleid – wat mag wel en wat mag niet? Én anderzijds om operationele maatregelen – hoe zorgen we ervoor dat de regels ook worden nageleefd en dat de juiste maatregelen worden getroffen? Dat is geen eenmalige inspanning, want in het digitale tijdperk volgen nieuwe dreigingen, zoals gratis cloudoplossingen, elkaar in rap tempo op.
Dit vraagt om een duidelijk proces in de organisatie voor het beveiligen van informatie, waar de PDCA (Plan-Do-Check-Act) cyclus integraal deel van uitmaakt. Ik licht deze cyclus kort toe:
1. Plan – Stel op basis van risicoanalyses, wet- en regelgeving en normeringen beleid op. Bepaal waar uw IT landschap minimaal aan moet voldoen om als veilig beschouwd te kunnen worden
2. Do – Zet dit beleid uit door heldere afspraken te maken en duidelijke maatregelen te implementeren.
3. Check – Controleer met steekproeven en audits of de organisatie zich aan de gemaakte afspraken houdt en of de maatregelen effectief zijn.
4. Act – Los eventuele knelpunten op door bijvoorbeeld het beleid aan te passen, de regels aan te scherpen of extra administratieve of technische maatregelen te nemen.
Door deze vier stappen continu te doorlopen kan een security officer ervoor zorgen dat de organisatie een hoog beveiligingsniveau creëert op het gebied van identity- en accessmanagement, incidentmanagement, disaster recovery, changemanagement en het naleven van eigen beleid. Zo is hij in staat om een omgeving te creëren waarin de beschikbaarheid, vertrouwelijkheid en integriteit van informatie gewaarborgd blijft en waar op tijd actie wordt ondernomen als de beveiliging in het gedrang komt. Bijvoorbeeld door schaduw-IT direct te signaleren, onnodige user ID’s in beeld te brengen en ‘ongewone’ inlogpogingen vast te stellen.
Dit kost echter tijd. Het is tegenwoordig, in complexe omgevingen, niet meer mogelijk om dit continue proces handmatig uit te voeren. Dat kan alleen door dit proces te automatiseren door bijvoorbeeld gebruik te maken van Security Monitoring en Control tools. Hiermee kan de security officer grip krijgen op iedere stap in het proces. Daardoor blijft de organisatie ‘in control’. Hoe u uw informatiebeveiliging naar een hoger niveau kunt brengen met de Ctac Security Monitoring & Control tool, leg ik uit in mijn volgende blog.