Cybersecurity is meer dan ooit een topprioriteit voor zowel de overheid als de commerciële sector. Maar hoewel de investeringen in cybersecurity versnellen, blijven inbreuken frequent plaatsvinden. Er zijn veel manieren om hier wat aan te doen, variërend van het volgen van nieuwe governance frameworks tot het inzetten van nog meer nieuwe securityproducten- en diensten. Maar de meeste securityproducten en -services zijn zogenaamde protocolanalysetools met weinig kennis van de applicatie(s) die ze moeten beschermen. De grootste uitdaging voor beveiliging in het algemeen en cybersecurity in het bijzonder is de hyperfocus op securitybedreigingen.
Bij VMware geloven we dat effectievere informatiebeveiliging mogelijk is als security standaard wordt ingebouwd in de architectuur, in plaats van het achteraf in te bouwen. Om een effectievere beveiligingsaanpak te implementeren zijn twee fundamentele stappen nodig:
- Focus op het beschermen van bedrijfskritische applicaties
- Implementatie van de vijf basisprincipes van cyberhygiëne
Wat zijn deze 5 basisprincipes van cyberhygiëne?
1. Least privilege
Weet u wie van uw medewerkers vanaf welke locatie toegang heeft tot welke informatie? Uit een onderzoek dat VMware vorig jaar liet uitvoeren bleek dat 82% van de Nederlandse ondervraagden denkt dit goed in kaart te hebben. Maar zelfs als een organisatie hier inzicht in heeft, wil dit niet zeggen dat elke medewerker ook altijd en overal toegang zou moeten hebben. Daarom moeten gebruikers van een dienst alleen de minimaal noodzakelijke toegang krijgen die ze nodig hebben om productief te zijn.
2. Microsegmentatie
Zodra een aanvaller door de buitenste defensielaag van een netwerk komt, is hij binnen en kan allerlei data inzien. Daarom is het beter om de IT-omgeving op te splitsen in kleinere delen. Deze techniek heet microsegmentatie. Microsegmentatie maakt het beheer makkelijker – een kleinere omgeving is minder complex – en je kunt de schade beperken bij een datalek. Opmerkelijk is dat 55% van de Nederlandse bedrijven hier begin vorig jaar nog geen gebruik van maakt en dat 28% er zelfs nog nooit van heeft gehoord.
3. Encryptie
Alle opgeslagen of verzonden gegevens van kritieke bedrijfsprocessen moeten worden gecodeerd. Als er dan een datalek is krijgen hackers alleen onleesbare gegevens te zien. Driekwart van de Nederlandse bedrijven maakt er gebruik van, wat ook betekent dat een kwart van de bedrijven zijn data nog niet codeert.
4. Multi-factor authenticatie
De identiteit van gebruikers en systeemcomponenten moet worden geverifieerd met behulp van meerdere factoren en niet alleen met eenvoudige wachtwoorden. Hoe persoonlijker de authenticatie is, hoe veiliger netwerken worden.
5. Patching
Systemen moeten up-to-date worden gehouden en consistent worden onderhouden. Elk kritiek systeem dat verouderd is, is een belangrijk beveiligingsrisico.
Door twee fundamentele stappen te nemen: implementatie van de 5 kernprincipes van cyberhygiëne en een focus op het beschermen van de applicatie – kunnen organisaties overgaan op effectievere informatiebeveiliging.