Cybersecurity veilig inrichten

Blog #2 in een serie blogs over cybersecurity en digitale beveiliging

In ons vorige blog legden we uit dat je op een andere manier naar digitale beveiliging moet kijken wil je de controle over de IT security herpakken. Maar wat is daar voor nodig? Hoe richt je de IT-omgeving veilig in?

Spoiler: Als de techniek faalt, is de mens de laatste verdedigingslinie!

 

Beleid en praktijk

Begin met een goed informatiebeveiligingsbeleid. Denk bijvoorbeeld na over het wachtwoordbeleid, hoe je omgaat met toegang voor leveranciers, hoe je data beveiligt, waar je data opslaat en hoe je back-ups regelt. Heb je het informatiebeveiligingsbeleid opgesteld, dan ben je er natuurlijk nog niet. Nu is het zaak dit beleid met een serie praktische maatregelen in de praktijk te brengen, te beheren en te bewaken.

We noemen twee van die maatregelen. Allereerst verkleinen Role Based Access Control (RBAC) en PAM (Privileged Access Management) het risico op accounts met (te) veel rechten voor gebruikers die dat niet nodig hebben. In plaats van toegangsrechten blindelings uit te geven zorgen deze oplossingen ervoor dat toegangsrechten aansluiten op de functie die iemand vervult. In zorgorganisaties met enkele duizenden medewerkers komt het namelijk dagelijks voor dat mensen (tijdelijk) van functie wisselen. Dan is het zaak die rechten aan te passen zodra de situatie verandert. Niet te vroeg, waardoor iemand zijn werk niet meer kan doen, maar zeker niet te laat.

Mensen opleiden op het gebied van cybersecurity is een tweede belangrijke maatregel. Waarom kunnen medewerkers een mailtje van hun baas niet altijd vertrouwen? Hoe kunnen ze dreigingen, zoals phishing mails, herkennen? En wat moeten ze daar vervolgens mee doen? Op een laptop gaat dat nog redelijk eenvoudig, maar op een smartphone wordt dat al een stuk lastiger. Bij cybersecurity veilig inrichten moeten we overal aan denken.

Vertrouw niemand

Wanneer je een informatiebeveiligingsbeleid opstelt, is het belangrijk je te realiseren dat dreigingen van buiten én binnen de organisatie kunnen komen. Het zero trust model biedt een kader dat helpt om de beveiliging hierop te laten aansluiten. In het kort komt zero trust er op neer dat je nooit vertrouwt, maar altijd verifieert. Je gaat er niet langer van uit dat alles binnen het bedrijfsnetwerk veilig is, maar verifieert toegangsverzoeken alsof deze vanaf een publiek netwerk komen. Een voorbeeld is Multi-Factor Authenticatie (MFA), waarmee je de kans dat aanvallers met gestolen inloggegevens toegang tot de IT-omgeving krijgen, aanzienlijk verkleint.

Denk hierbij ook aan zaken als ‘defence in depth’: beveilig niet alleen de toegangspoort, maar ook de tussendeuren. Zo voorkom je dat een aanvaller die je omgeving binnendringt, vervolgens vrij zijn gang kan gaan.

 

Zoek balans tussen een veilige én werkbare omgeving

Al deze maatregelen mogen ook weer niet ten koste gaan van de medewerkers die ‘gewoon’ hun werk willen doen op wisselende tijden, locaties en apparaten. Het uiteindelijke doel van cybersecuritymaatregelen in de zorg is dat zorgmedewerkers en organisaties ongehinderd zorg kunnen blijven verlenen. Dus enerzijds beleid voeren en daarop continu blijven toetsen en bijsturen, want de organisatie is ook continu in ontwikkeling. Anderzijds denken vanuit de gebruiker: hoe kan IT helpen zijn werk goed te doen? Kortom, we moeten de balans bewaren tussen een werkbare en tegelijk veilige digitale omgeving.

De mens als zwakste schakel?

Juist bij cybersecurity wordt de mens vaak weggezet als de zwakste schakel. Dit soort shaming werkt in onze ogen averechts. Zo is er bijvoorbeeld niets mis met een interne phishingtest. Voorwaarden zijn dan wel dat je dat een positieve insteek geeft, mensen uitlegt hoe ze dergelijke mails in de toekomst beter kunnen herkennen en welke actie ze in zo’n geval moeten nemen. Maar als de techniek faalt, is uiteindelijk de mens je laatste hoop! Mensen zijn de laatste verdedigingslinie. Zij trekken aan de bel als niets anders dat nog doet.

Veilig inrichten is niet genoeg

Zoals gezegd, veilig inrichten is de eerste stap richting cybersecurity. Maar die is helaas niet voldoende. Het is immers niet langer de vraag óf, maar wanneer het een keer mis gaat. Dan is 24/7 monitoring minstens net zo hard nodig. Daarover meer in ons volgende blog.

Weten waar u staat met uw cybersecurity?

Neem contact op en we gaan daarover graag het gesprek met u aan over cybersecurity veilig inrichten.

Robert Nowee

Robert Nowee

Product Manager Zorg

+31(0)6 - 51 23 0726
rnowee@ram-it.nl

Managed Detection & Response en Microsoft Defender XDR

Hoe bescherm je de moderne werkplek tegen digitale aanvallen? Met RAM-IT Managed Detection & Response (MDR) monitoren wij uw IT-omgeving 24 uur per dag, 7 dagen per week, 365 dagen per jaar. En bij dreigingen ondernemen we proactief actie vanuit het Nederlandse Security Operations Center (SOC).

Meer weten hoe wij met MDR en Microsoft Defender XDR uw security op peil brengen en houden? Maak een afspraak voor het complete verhaal.

Lees al onze blogs over cybersecurity en digitale veiligheid

cybersecurity digitale beveiliging - blog #1

Blog #1 -
Zo herpakt u de controle over uw IT security

Cybersecurity veilig inrichten

Blog #2 -
Cybersecurity begint met veilig inrichten

security monitoring voor betere cybersecurity

Blog #3 -
Het belang van security monitoring

Cyber Security Rapportage

Blog #4 -
3 Redenen voor goede security rapportage