Cybercrime gaat de komende jaren een steeds groter probleem worden voor allerlei soorten bedrijven en organisaties.
Het is onze ambitie om met Valid een groter bewustzijn te creëren bij onze klanten als het gaat om cyber-bedreigingen voor de bedrijfsvoering: malware, hacking van de infrastructuur en social engineering (bijv. phishing).
Gevaar kan daarbij zowel van binnen als van buiten de organisatie komen – en de robuustheid van je ICT-netwerk is daarbij cruciaal. Helaas, 100% veilig bestaat niet - maar als je duidelijk inzicht hebt in je eigen infrastructuur, kan je ook beter je zwakke en sterke punten bepalen en je beveiligingsstrategie hierop aanpassen.
Een belangrijke leidraad daarbij is altijd dat er een goede balans is tussen beveiliging van je infrastructuur en business doelen. Soms stelt de business eisen aan de workflow die een complexe security-transitie in de weg zit. Een andere keer heb je te maken met de legacy van verouderde en kwetsbare software die niet zomaar vervangen kan worden.
Van compliance naar security
Door een Nederlandse overheidsorganisatie werden wij benaderd voor het begeleiden van een transitie op het gebied van security monitoring. Het project was in eerste instantie gericht op het compliant maken van de organisatie aan de opgelegde regelgeving vanuit de Baseline Informatiebeveiliging Rijksdienst (BIR).
Gelukkig konden wij hier goed van dienst zijn, in zowel het technische als het non-technische deel van de security control. Bijvoorbeeld bij het aansluiten van de databronnen - zoals bijvoorbeeld firewalls en Windows systemen - op de security monitoring platforms.
Nadat deze klus was geklaard, kwamen wij tot de conclusie dat de securitystrategie eigenlijk nog niet toekomstbestendig was.
Omdat cybercrime niet stilstaat beseften wij dat er ook een omgeving nodig was om doorlopend interne penetratietesten uit te voeren op de IT-infrastructuur. Dit viel officieel niet binnen de scope van de opdracht, maar omdat wij niet alleen graag kijken naar defensieve kant van IT-security, maar ook naar de offensieve – en ook altijd graag iets extra doen voor een klant – namen wij de uitdaging aan.
De stap na het compliant maken van de organisatie was dus: de organisatie klaar maken om zelf doorlopend de IT-infrastructuur te monitoren op dreigingen in het cybersecurity landschap. Dit wordt gedaan door regelmatig use cases te formuleren die je vervolgens test binnen de IT-infrastructuur met offensieve tools.
Enkele voorbeelden van use cases zijn:
– Welke bepaalde groep gebruikers mag inloggen op welk specifiek systeem?
– Vanuit welke landen wordt er een poging gedaan om in te loggen op een externe VPN-service die de organisatie aanbiedt?
– Zijn er client-systemen die proberen het netwerk te scannen of technieken te gebruiken om credentials te achterhalen die verder toegang geven tot het netwerk.
Maar wil je als organisatie echt veilig zijn voor cybercriminelen dan is het analyseren van aanvalstechnieken slechts één van de eerste stappen. Vervolgens moet je ook onderzoeken hoe je IT-infrastructuur samenhangt met de businessdoelen en hierop je security-monitoring aanpassen, zodat je cybersecurity dreigingen kan detecteren.
Eerlijke antwoorden van experts
Omdat Valid haar consultants de volledige vrijheid biedt om te werken vanuit hun expertise, haal je als klant een eerlijk en oprecht advies binnen (en soms betekent dat ook dat dingen NIET mogelijk zijn, of dat je eerlijk moet zeggen hoe klein de marges zijn voor IT-innovatie in de beperkte speelruimte die de business biedt).
Tegelijkertijd daagt de vrijheid die je krijgt als consultant ook uit om jezelf op onbekend terrein te begeven en een complex vraagstuk op een creatieve manier op te lossen.
Meer weten over IT-Security en hoe Valid consultants en klanten tevreden houdt? Neem dan contact met mij op.
