Beveiligingsrisico’s: zaak van bewustwording en gezond verstand

Beveiligingsrisico’s: zaak van bewustwording en gezond verstand

Hoe beveilig je cruciale data? RISK MANAGER Boudewijn Cremers en Security Officer Hennie de Feijter vertellen. “De belangrijkste vereiste voor mijn functie is gezond verstand.”

Boudewijn Cremers is Risk manager bij Stater. Hij is onder meer verantwoordelijk voor het uitstippelen van een langetermijnstrategie voor informatiebeveiliging. Daarbij moet hij doorlopend de belangen van een optimale beveiliging afwegen tegen de wensen van de klant. Hennie de Feijter is Security Officer bij Stater. Zijn mailbox vult zich dagelijks met berichten over nieuwe dreigingen, beveiligingsrisico’s en andere uitdagingen. Daarop probeert hij zoveel mogelijk proactief in te spelen. “De belangrijkste vereiste voor mijn functie is gezond verstand.”

WENSEN CONSUMENTEN STEEDS BELANGRIJKER

Boudewijn: “Het beveiligen van data is een cruciaal onderdeel van mijn functie. Ik focus me hierbij meer op het formuleren van het beleid. Net als vrijwel elk innovatief bedrijf spelen de wensen van de consument daarbij een steeds belangrijkere rol. Consumenten worden over de gehele linie steeds veeleisender over financiële dienstverlening. Ze passen hun wensen razendsnel aan op basis van hun ervaringen met smartphones, tablets en andere eigentijdse apparaten. Die digitale lifestyle willen ze naadloos kunnen voortzetten in elk aspect van hun leven. En dus ook bij hun hypotheek.

Van de IT-afdeling wordt steeds vaker verlangd om business minded mee te denken. Om mogelijkheden te bedenken om IT-oplossingen in te zetten voor het creëren van nieuwe zakelijke mogelijkheden. Manieren om de consument nog beter op maat te bedienen. Wij ontvangen ook steeds meer verzoeken van klanten die hun dienstverlening aan de consument willen verbeteren. Dit sluit aan op de belangrijke doelstelling van Stater zelf, om onze dienstverlening zo klant- en consumentgericht mogelijk te maken. Door het bieden van nieuwe services creëer je tegelijk ook potentiële nieuwe mogelijkheden voor kwaadwillenden. En dus stellen wij hoge eisen aan dergelijke projecten. Zo dwingen wij veiligheidstests af of zorgen wij dat data wordt afgeschermd voor externe partijen.

Complexe beveiliging

De afweging tussen beveiliging en het belang van de gebruiker is vaak buitengewoon complex. Hoe ver kun je gaan in je dienstverlening, zonder de data en privacy van de gebruiker aan onacceptabel risico bloot te stellen? Wanneer is een risico überhaupt nog acceptabel, en hoe leg je uit aan de gebruiker dat zijn gebruiksgemak helaas moet wijken voor veiligheidsoverwegingen? Bovendien hebben we ook te maken met de snel veranderende normen en opvattingen over vermeende veiligheid. Goed voorbeeld is het gebruik van e-mail. Dat is zeker geen veilig medium. Omdat het zo massaal wordt gebruikt, staan steeds meer mensen daar echter niet meer bij stil.

Dat betekent onder meer dat wij regelmatig de discussie met onze klanten aan gaan over de wijze waarop wij bijvoorbeeld rapportages versturen. De klant wil die graag via e-mail ontvangen, omdat dit makkelijk is. Toch moeten wij adviseren om de rapportages via een veilige verbinding te versturen. De wens om de klant op maat te bedienen, weegt dan niet op tegen het veiligheidsrisico dat daar aan vast zit.

inverhaalboudweijn+

Bewustwording

Uiteraard moet je bij het nemen van maatregelen altijd goed nadenken over de gevolgen en de reactie van de mensen die je daarmee treft. Iedereen kent die hekjes op een trottoir wel die worden gebruikt om fietsers tegen te houden. Vaak zie je in het naastgelegen gras een ingesleten spoor van alle fietsers die daar geen boodschap aan hebben. Overal hekken zetten heeft dus simpelweg geen zin. Als je mensen echt wilt meekrijgen, moet je zoveel mogelijk inzetten op bewustwording. Pas als iedereen begrijpt hoe belangrijk dit is, kunnen we gezamenlijk de beveiliging verbeteren!”

Hennie vervolgt: “Als Security Officer ben ik voornamelijk gefocust op onze IT-infrastructuur. Ik speur dagelijks naar mogelijke veiligheidsrisico’s. Zijn alle verschillende softwarepakketten en andere onderdelen waarvan we gebruik maken nog veilig en up-to-date. Zo kan het bekend worden dat er een zwakke plek zit in een bepaald softwarepakket, of dat een leverancier stopt met de ondersteuning daarvan. Gelukkig hoef ik dat niet alleen te doen. In mijn mailbox tref ik dagelijks tips en vragen van collega’s.

Ander belangrijk aandachtspunt zijn de steeds nieuwe kwetsbaarheden op security gebied. Je merkt dat deze aanvallen steeds geavanceerder en talrijker worden. Dat betekent onder meer dat wij onze beveiligingstechnologie ook doorlopend naar een hoger niveau moeten brengen. Achterover zitten is er dus niet bij, want de volgende nieuwe dreiging is net achter de horizon. Je bent nooit klaar, altijd verbetering mogelijk.”

Geavanceerde aanvallen

“Uiteraard geldt de focus op veilige dienstverlening ook nadrukkelijk voor onze eigen medewerkers’, vervolgt Boudewijn. Het spreekt voor zich dat die bovengemiddeld goed op de hoogte moeten zijn van de vele veiligheidsrisico’s waarmee onze organisatie te maken heeft. Tegelijk neemt ook het aantal phishing aanvallen toe. De slecht geschreven phishing-mailtjes* van weleer zijn grotendeels vervangen door zeer professioneel geschreven en opgemaakte e-mailberichten. Die zijn nauwelijks nog van echt te onderscheiden. Bovendien doen de criminelen steeds vaker onderzoek naar de ontvangers, en stellen ze de nepmails op die direct aansluiten op hun functie of leefwereld. Zelfs zeer alerte medewerkers kunnen hierdoor worden verschalkt.”

inverhaalhennie

Interne firewalls

Hennie: “De beveiliging wordt ook steeds geavanceerder. Die ontwikkeling zie je onder andere terug in onze firewalls. Vroeger had je maar één firewall die het hele bedrijf moest beschermen. Tegenwoordig hebben we meerdere firewalls. Dat betekent dat verschillende bedrijfsonderdelen en hun infrastructuur ook door interne firewalls beschermd worden. Ook als je die eerste hindernis hebt genomen, ben je als hacker dus nog lang niet waar je zijn wilt.

Risico’s voor de beveiliging komen overigens niet alleen van buiten. Wij hebben onze organisatie daarom zo georganiseerd dat niemand ongecontroleerde toegang heeft tot alle processen waarbij persoonsgerelateerde data gebruikt wordt. Dit is altijd op een ‘need to know’-basis**. Als security officer buig ik me regelmatig over autorisatieverzoeken van medewerkers. Je kunt dan denken aan softwareontwikkelaars die mee willen kijken over hoe bepaalde processen werken in geval van een verstoring.

Privacy als startpunt

Natuurlijk is 100 procent dataveiligheid door geen enkele organisatie te garanderen. Zelfs een zeer goed beveiligde organisatie als het Amerikaanse Pentagon is niet lekvrij. Als security officer moet ik daardoor telkens een afweging maken. Wat zijn de kosten voor een bepaalde bescherming, en wat zou de schade zijn als de desbetreffende data in verkeerde handen zou komen? Om een zo hoog mogelijke veiligheid tegen zo laag mogelijke kosten te garanderen zijn veiligheid en privacy tegenwoordig startpunt van elk nieuw project. In ons vak heet dat “security & privacy by design”. Als je daar vanaf het begin vanuit gaat, is security tegen aanvaardbare kosten te realiseren. Achteraf wordt zo’n proces vele malen duurder, of zelfs onhaalbaar. Belangrijkste vereiste voor mijn functie is dus gezond verstand, en het vermogen altijd de lange termijn consequenties te overwegen van de beslissingen die je vandaag neemt.”

* Phishing-mailtjes =  vorm van internetfraude. Mensen worden via mail gelokt naar een valse website, die een kopie is van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer.

** Need to know-basis = Je krijgt alleen toegang tot de processen/systemen waar je bij moet om je werk te kunnen doen, de rest is niet toegankelijk.