Na een vloedgolf aan ransomware-campagnes, datalekken en aanvallen op kritieke infrastructuur zijn bedrijven zich ervan bewust dat hun digitaliseringsprojecten moeten worden aangevuld met een goed ontworpen securitystrategie. Maar daarbij worden ze geconfronteerd met een complex en verwarrend dreigingslandschap en een even veelzijdig landschap van securityleveranciers. Veel organisaties zien door de bomen het bos niet meer. Hoe moet een securitystrategie eruit zien?
Door: Darren Fields, Vice President Networking in EMEA
Eén essentiële factor wordt daarbij vaak over het hoofd gezien: de mensen die het waardevolst zijn voor je securitystrategie werken misschien nog niet eens voor je. En nee, dan heb ik het niet over die ongelooflijk moeilijk te vinden beveiligingsprofessionals.
Veel securitydiscussies richten zich op specifieke bedreigingen: ransomware, diefstal van intellectueel eigendom of een van de vele manieren waarop criminelen kunnen inbreken in bedrijfsnetwerken. Een tweede, even vaak voorkomend type discussie richt zich op afzonderlijke onderdelen van de omgeving die bescherming nodig hebben: bedrijfskritische applicaties, de infrastructuur die collega’s helpt samen te werken, gebruikte clouddiensten, website en e-commerce-applicaties, ga zo maar door.
Zelden krijgen werknemers de aandacht die ze verdienen in het securitydebat
Een derde aspect wordt vaak gezien als bijzaak: de werknemers. Als zij al worden genoemd, zijn het vaak doelwitten voor social engineering-campagnes, “domme gebruikers” die op schadelijke links klikken, of kwaadaardige insiders die gevoelige data lekken. Zelden krijgen werknemers de aandacht die ze verdienen in het securitydebat. Juist zij zijn de spil waar alle andere aspecten omheen draaien! Het zijn tenslotte de werknemers die met al deze bedrijfskritische applicaties en gevoelige data in de weer zijn. Zij sturen ieder aspect van het bedrijf aan. Het is dus broodnodig om de focus in het debat te verleggen. Zet werknemers in de schijnwerpers en niet in de coulissen.
Hoe veilig ben je in de toekomst?
Bij het ontwerp van een securitystrategie kan het nuttig zijn om niet alleen te focussen op de nieuwste, meest geavanceerde aanvallen en securityoplossingen, maar juist meer op de werknemers. Dat betekent niet noodzakelijk het huidige personeel. De fundamentele vraag is eerder: “wat zijn de behoeften van mijn werknemers – en daarmee de securityeisen – over vijf jaar?
Over vijf jaar is de beroepsbevolking veel sterker gedigitaliseerd, zelfs op gebieden die van oudsher analoog zijn. De nieuwste generaties van digitale professionals gebruiken mobiele (privé-)apparaten in combinatie met een gestaag groeiend aantal clouddiensten om waar dan ook te werken. De pandemie heeft de trend simpelweg versneld en de verschuiving zichtbaarder gemaakt voor het algemene publiek.
Deze digitale beroepsbevolking zal een steeds dringendere behoefte hebben om waar dan ook efficiënt en veilig te kunnen werken. Sommigen nemen hun eigen devices mee, anderen geven de voorkeur aan bedrijfstoestellen, een derde groep een mix van beide. Tegelijkertijd neemt de ingebruikname van clouddiensten toe, terwijl veel bedrijven, zoals in de maakindustrie, een groeiend aantal applicaties aan de rand van hun netwerken inzetten. Dat resulteert in een steeds complexer hybride applicatielandschap dat bestaat uit on-premises legacy technologieën, moderne on-premises of cloud-based applicaties, mobiele apps én een dynamische set van cloud services. De uitdaging daarbij is niet alleen om werknemers te beschermen in hun werk met deze uiteenlopende mix van applicaties. Het betekent ook dat het gebruik van ongewenste apps en diensten moet worden vermeden – of in ieder geval nauwlettend moet worden gemonitord.
Als de besluitvormers binnen de organisatie zich richten op de behoeften van hun toekomstige personeel op het gebied van werk, samenwerking en bruikbaarheid, kunnen ze de belangrijkste beveiligingsrisico’s identificeren. Hooggeplaatste werknemers zijn bijvoorbeeld een gewild doelwit. Tegelijkertijd is het belangrijk te realiseren dat in principe iedere medewerker, van de callcenteragent tot een HR- of financemedewerker, een doelwit zal zijn. Een geslaagde aanval hangt tenslotte vaak af van die ene persoon die op een kwaadaardige link klikt.
Een toekomstbestendige securitystrategie
Als de risico’s van de toekomstige beroepsbevolking eenmaal zijn vastgesteld, volgen natuurlijk tal van vragen:
- Wat zullen de dringendste behoeften van werknemers zijn omtrent veilig werken wanneer ze waar dan ook met ieder apparaat moeten kunnen verbinden?
- Hoe flexibel en schaalbaar moet de beveiligingsarchitectuur zijn om in te spelen op het dynamische karakter van een hybride multi-cloudinfrastructuur?
- Hoe kunnen de securitybehoeften van werknemers in balans worden gebracht met een soepele gebruikerservaring – vooral als je bedenkt dat complexe securitytools en een trage toegankelijkheid van apps en gegevens werknemers er eerder toe aanzetten op zoek te gaan naar workarounds?
- Hoe kan de veiligheid continu worden geborgd zonder het risico te lopen dat de productiviteit en motivatie van werknemers wordt verminderd?
In de nabije toekomst wordt het “nieuwe normaal” van flexibel werken het “ingeburgerde normaal”. De hele digitale beroepsbevolking, niet alleen hoogopgeleiden, zal verwachten flexibel en op afstand te kunnen werken op een manier die past bij hun individuele behoeften, en wel op een veilige manier. Zij zullen zelf willen – en moeten – beslissen wat het beste past bij hun werkwijze en bij de taak die zij op dat moment verrichten. De securitystrategie moet het volledige spectrum van deze behoeften en eisen ondersteunen. Besluitvormers moeten daarom toekomstplannen maken voor hun organisatie en niet alleen voor de problemen die ze op dit moment bestrijden – zelfs als dat betekent dat ze plannen moeten maken om toekomstige werknemers te beveiligen.
Darren Fields, Vice President Networking in EMEA
– Onderzoek cyberdaders: Nog een wereld te ontdekken
– “Het is Koude Oorlog op cybergebied”
– Is SaaS de al-in-één oplossing voor alle securityvraagstukken?
Volg Security Management op LinkedIn