Wie is er verantwoordelijk voor de bedrijfsdata?

Je hoort het wel vaker, data is het nieuwe goud. Waarom zijn we dan niet veel actiever om onze data te beschermen? En wie is er eigenlijk verantwoordelijk voor de bedrijfsdata, de IT-afdeling of de beveiligings- afdeling?

Hackers zijn er op uit om belangrijk informatie te stelen; wachtwoorden, financiële gegevens, strategische plannen, contacten, eigenlijk alles waar zij geld mee kunnen verdienen. Vaak starten zij met het onbruikbaar maken van de data, waardoor ze enorme schade aanrichten. Daarna vragen ze om geld, in ruil voor de sleutel om de gehackte data weer vrij te geven. Ik lees ook over nieuwe tactieken, om ook te zoeken naar bestanden die als drukmiddel gebruikt kunnen worden, indien bedrijven weigeren te betalen.

Maar bij wie ligt nu eigenlijk de verantwoordelijkheid voor de beveiliging van de bedrijfsdata?

Niet elk bedrijf heeft een eigen beveiligingsafdeling, dus dan komt het meestal terecht bij de IT- afdeling en aangezien het toch ook een soort verzekering is, is het vaak lastig voor de IT-manager om de CEO en CTO te overtuigen van de nodige investeringen.

Er zijn natuurlijk diverse zaken die goed in overweging moeten worden genomen, zoals bijvoorbeeld fysieke toegangscontrole. Dit gebeurt nog vaak met hekken, elektronische toegangsverlening en wellicht met perimeter oplossingen en/of beveiliging: camera’s.

Dan zijn er de beveiligingen voor je netwerk; de firewalls, VPN, gateways, e-mail en niet te vergeten alle applicaties die mensen steeds vaker gebruiken.  Bekendere endpoint security, zoals anti-virus kennen we natuurlijk al jaren, maar die zijn lang niet meer bestending voor Malware en Cyber aanvallen.

Een van de doelen is natuurlijk om de risico’s te verkleinen, zodat DDos aanvallen en Ransomware buiten de deur gehouden worden. Een ander doel is om te zorgen voor strategische en financiële veiligheid, dus om de continuïteit van je organisatie te waarborgen.

Wat…of nee, Wie nog altijd het grootste risico is, dat zijn wij zelf.

Dagelijks worden we bestookt met malware(malicious software, een verzamelnaam voor alle kwaadaardige software), dit zijn de virussen. Wanneer hackers via e-mail proberen binnen te komen en de gebruiker willen verleiden om op een link te klikken, noemt men dat phishing en dit weten we inmiddels bijna allemaal zou je denken. Hiermee spelen de hackers in op de emotie van gebruikers en daar gaat het nog regelmatig fout. Bedrijven moeten dus beginnen het personeel beter te trainen om bewuster te worden van alle gevaren. Hoe kan iemand een phishing mail herkennen, welke signalen zijn cruciaal bij het herkennen van malware of andere dreigingen? Wanneer al je personeel op de hoogte is, is daarmee de beveiliging dan al geoptimaliseerd? Ik denk het niet, er moet meer gebeuren.

Wanneer we geen verdere maatregelen nemen en er geen eigen securitymanager is, dan lopen we enorme risico’s.

• Denk aan gegevens verlies
• Downtime
• Reputatie schade
• Financiële gevolgen:  losgeld moeten betalen, nieuwe systemen aanschaffen en klanten compenseren omdat zij indirect ook geraakt worden

Wie is de eigenaar van het back-upsysteem? Historisch gezien is het IT-operations-team altijd verantwoordelijk geweest. Maar daar moet een reden voor zijn? Aangezien back-ups moeten omgaan met productiegegevens op primaire opslagsystemen en alle integraties en planning beheert wordt door onze collega’s die op het infrastructuurgedeelte van de IT-afdeling zitten, kan dat ook bijna niet anders.

In het geval van een Ransomware-aanval, wie moet dan de verantwoordelijkheid nemen om het bedrijf weer online te krijgen? IT-Operations-team of Security Operations-team?
In feite is het een gezamenlijke inspanning om ervoor te zorgen dat de organisatie in de eerste plaats kan herstellen en, belangrijker nog, het herstel snel te laten verlopen en ervoor te zorgen dat de aanval wordt ingeperkt. Dus wat maakt een back-up oplossing veilig?

• Het ontwerp moet veilig zijn zonder servers of databases die draaien op een standaard besturingssysteem dat de noodzaak van beveiligingsbeheer behoudt
• Ingebouwde Air-Gap zonder bestandssysteem dat via het netwerk moet worden gemonteerd. (maar zijn traag en kostbaar)
• Onveranderlijk op het eerste exemplaar en alle exemplaren (‘unmutable’)
• Beveiligd door MFA, RBAC-controle en juiste logische scheiding van gegevens
• End-to-end-codering helemaal van bron tot doel
• Benut de inactieve tijd om gevoelige gegevens te scannen en ex-filtratie te vermijden
• Geef Security Operations de macht om de ‘Indicators of Compromise’ te gebruiken om nieuwe bedreigingen op te sporen en om herinfectie te voorkomen
• Het belangrijkste is dat u razendsnel kan herstellen, liever in minuten of uren, dan in dagen of weken

Ik zie een eenvoudige oplossing en een betaalbare voorbereiding en dat blijft een van de beste manieren om data te beveiligen: de ouderwetse Back-up! Voorheen ook bekend als de 3-2-1 strategie, welke nu verbeterd is.

De nieuwe ‘2022 versie’, noemen we de “3-2-2- strategie”:

• Bewaar 3 kopieën van jouw onmisbare gegevens (zoals; foto’s en video’s)
• Bewaar 2 reservekopieën in huis, maar wel op verschillende opslagsystemen (bijvoorbeeld op de harde schijf van je PC en NAS)
• Bewaar 2 kopieën op een locatie buitenshuis (bijvoorbeeld; 1 kopie bij een familielid + 1 kopie naar de cloud)

>> Begin in elk geval NU met regelmatiger back-ups maken! << 

Samengevat is NU het beste moment om de beveiligingsfuncties van je back-upoplossing opnieuw te beoordelen. Ga ervoor zorgen dat je een plan hebt voor het geval het onverwachte gebeurt en u voorkomt dat u losgeld betaalt, inkomsten misloopt en de organisatie en/of het merk beschadigt. Als de back-upoplossing een of meer van de hierboven genoemde essentiële punten in de zero-trust-architectuur mist, is het alsof je weet dat er een ongeval kan gebeuren en wegkijkt.

BACK-IT-UP People!

Barber Brinkman sr. Business Developer bij Real Solutions

Heb jij verder vragen of opmerkingen nav dit bericht? Neem gerust contact met ons op.