Van pief-paf-poef op internet

Het wapen van de ‘nieuwe crimineel’ is geen pistool, maar een PC. Niet alleen vallen dagelijks miljoenen consumenten ten prooi ook bedrijven zijn in toenemende mate een geliefd doelwit. Dat vraagt om een nieuwe aanpak van risicomanagement vindt Pieter Lacroix van Sophos.

Met diefstal van bedrijfsinformatie is enorm veel geld te verdienen. Met name nu de economie tegenzit en de concurrentie op alle vlakken aanscherpt, zijn specialistische kennis, klantgegevens, databases, patenten en andere bedrijfskritische informatie goud waard. In het verleden hielden organisaties de gevaren buiten de deur door de toegang tot bedrijfsinformatie van buitenaf eenvoudigweg te blokkeren. Maar door ‘het nieuwe werken’ en een tendens als ‘Bring Your Own Device’ (BYOD) is dat niet meer mogelijk. Medewerkers willen anywhere, anytime kunnen werken en gebruiken smartphones, notepads, sociale media, webtechnologieën en cloudcomputing om via een zij-ingang het bedrijfsnetwerk te betreden. En zetten daarmee de deur open voor ongenode gasten.

Cybercriminelen maken dankbaar gebruik van beveiligingslekken en de onoplettendheid van gebruikers. Maar het zijn allang geen gelegenheidsdieven meer. Het gevaar schuilt niet in de eenzame hacker die op zijn zolderkamertje virussen of Trojaanse paarden in elkaar knutselt. We hebben te maken met commerciële, criminele netwerken die zeer innovatieve tools ontwikkelen en wereldwijd verspreiden. Meebewegen is niet voldoende. De risico’s en uitdagingen van nu, begin 2012, vereisen een nieuwe benadering. Wie bij elke nieuwe bedreiging een nieuwe tool aanschaft, loopt achter de feiten aan. Het leidt bovendien tot een onoverzichtelijk woud van toepassingen die met elkaar conflicteren of slechts gedeeltelijk op elkaar aansluiten, waardoor moeilijk te traceren en te dichten beveilingslekken ontstaan.

Business-issue
Daarbij is beveiliging is niet alleen de verantwoordelijkheid van de IT-afdeling, het is ook en vooral een business-issue. Het is daarom van groot belang dat businessmanagement en IT-management gezamenlijk de verantwoordelijkheid nemen voor het beveiligingsbeleid van de organisatie. Risicomanagement is de eerste noodzakelijke stap: begin met het vaststellen welke informatie, kennis, databases en patenten de core assets van de onderneming vormen en dus beschermd moeten worden en breng vervolgens de risico’s in kaart. Op basis van deze analyse kan een overkoepelend beveiligingsbeleid ontwikkeld worden, dat vervolgens met concrete tools wordt ingevuld.

De ontwikkelingen die ons de komende jaren te wachten staan, vragen om een holistische visie en aanpak en een gecentraliseerd, geïntegreerd beveiligingssysteem dat alle onderdelen van het IT-landschap omvat, inclusief sociale media, mobiele apparaten, webtechnologieën en cloudservices. Een systeem dat beveiliging automatisch regelt en afdwingt op een zodanige manier dat gebruikers er geen last van hebben. Een systeem, kortom, dat organisaties in staat stelt om optimaal te profiteren van alle zakelijke kansen en mogelijkheden die nieuwe technologieën bieden, zonder concessies te doen vanwege de veiligheid van bedrijfsinformatie. Zo ontwapen je de cybercrimineel.