In maart 2020 gingen miljoenen mensen overal in de wereld noodgedwongen van de ene op de andere dag over op thuiswerken. Dat stelde IT-teams voor forse uitdagingen. Zij moesten er onder hoge tijdsdruk voor zorgen dat medewerkers niet alleen over een stabiele werkplek beschikten, maar ook veilig konden werken.
Dat laatste is in een corporate omgeving, met een eigen netwerk of eigen datacenter, beter te realiseren dan bij thuiswerkplekken waar elke vorm van controle ontbreekt. In het beste geval werken mensen thuis met een laptop van de organisatie die voorzien is van de laatste beveiligingssoftware en encryptievoorzieningen. Maar zelfs dan is het niet gezegd dat de veiligheid van data en de compliance gewaarborgd zijn. Het is nodig om security en security-awareness continu op de agenda te houden. Daarbij gaat het zowel om het technische aspect als het organisatorische.
Het technische aspect is bij de meeste organisaties relatief goed afgedicht. Zij gebruiken bijvoorbeeld multi-factor authenticatie (MFA) via sms, e-mail of authenticatie-apps om toegang te bieden tot cloudapplicaties. MFA begint steeds meer gemeengoed te worden voor aanmelden bij bedrijfssystemen. Dat betekent ook dat cybercriminelen gaan zoeken naar mazen in deze techniek. Een voorbeeld is sim-swapping waarbij criminelen via social engineering simkaarten in bezit krijgen van anderen en daarmee sms-codes voor MFA te onderscheppen. Het is met name een manier om bitcoin-accounts leeg te roven. Deze vorm van fraude onderstreept nog eens hoe cybercriminaliteit meegaat met de ontwikkeling van securitymiddelen. Het laat zien dat zelfs een als veilig beoordeelde methodiek als sms-verificatie niet altijd waterdicht is. Mede om deze reden adviseren securityspecialisten het gebruik van authenticatie-apps die een tijd- en device-gebonden code bieden.
MFA is slechts een van de talrijke technische middelen om data en applicaties te beveiligen. En elke organisatie en ieder bedrijf ontkomt er niet aan om te blijven zoeken naar de beste oplossingen om data te beschermen. Dat geldt net zo goed voor een kleine mkb-onderneming als voor een multinational. Maar techniek alleen is niet genoeg. Security-awareness is net zo belangrijk. Elke organisatie zal werk moeten maken van bewustwording. Steekproeven door securityadviesbureaus laten steeds opnieuw zien dat de kans dat iemand op een dubieuze link klikt of een geïnfecteerd bestand opent erg groot is. Daarnaast is het gebruik van sterke wachtwoorden of het goed beheren van beheerdersaccounts nog lang niet overal de norm. Nog onlangs werd bekend dat een Nederlandse gemeente de volledige IT-omgeving had beveiligd met het wachtwoord ‘Welkom2020’. Gevolg: 89 van de 124 servers van de gemeente werden gewist en vijf versleuteld, waaronder een back-upserver.
De beste security is uiteindelijk een samenspel van mens en techniek. Daarbij is het uiteindelijke doel van elk awarenessprogramma een gedragsverandering in het omgaan met technologie. Het gaat dan om skills en kennis. Skills draait om het simpele feit of een medewerker alert is op het herkennen van een phishing-mail of verdacht bestand. Die zijn met een stevig awarenessprogramma goed aan te leren. Kennis gaat om het bredere begrip van medewerkers dat ze met bedrijfsdata werken en dus een verantwoordelijkheid hebben ten opzichte van de organisatie en die ook nemen. Een breach kan immers enorme financiële en organisatorische gevolgen hebben. Awareness opbouwen is geen eenmalige activiteit. Het vraagt om een continue investering in tijd en middelen. Maar het is wel de enige manier om veilig te blijven werken.
Op zoek naar IT Infrastructure & Cyber Security professionals? Dankzij ons grote netwerk aan experts helpt Tergos je vooruit. Lees meer over staffing services voor organisaties.
Geef je carrière een boost! Tergos is jouw partner in de zoektocht naar een volgende opdracht of werkgever. Lees meer over de mogelijkheden.