Bedrijven verwaarlozen securityfundering

  1. 21 dec 2015
  2. 0 reacties

In 2016 krijgen we te maken met slimmere en zwaardere cyberaanvallen. Ter verdediging daartegen adviseert Venafi CIO & CISO Tammy Moskites meer aandacht te besteden aan het beheer van alle gebruikte digitale certificaten en encryptiesleutels. Veel bedrijven investeren namelijk in geavanceerde securityoplossingen aan de rand van hun digitale infrastructuur, terwijl ze de fundering verwaarlozen. 

Tammy Moskites

Uit wekelijkse nieuwsberichten over securityincidenten en expertonderzoeken blijkt dat het aantal cyberaanvallen toeneemt en deze tevens zwaarder worden. Ter voorbereiding op 2016 is het volgens Venafi CIO & CISO Tammy Moskites belangrijk dat securityverantwoordelijken een stap terugzetten, om kritisch te kijken naar de fundering van hun verdedigingsstrategie en -middelen. “Bedrijven investeren in geavanceerde oplossingen om informatiediefstal en -verlies te voorkomen, terwijl ze nog onvoldoende inzicht en grip hebben op wat er dagelijks in hun netwerk gebeurt. Deels omdat het digitale landschap van middelgrote tot grote organisaties complex is en anderzijds omdat deze steeds sneller verandert. Daarom is het voor een effectieve verdedigingsstrategie tegen cyberaanvallen belangrijk om precies te weten welke ICT-assets door wie worden gebruikt en welke risico’s daaraan gerelateerd zijn. Maar ook om de gebruikte tools en processen regelmatig te reviewen, mede om te blijven voldoen aan veranderende wet- en regelgeving.” Een fundamenteel onderdeel van die digitale assets zijn alle gebruikte certificaten en encryptiesleutels, waarvoor Venafi een managementoplossing levert.

Samenwerken met businessmanagers

Een tweede advies van Moskites aan securityverantwoordelijken is actiever te gaan samenwerken met de businessmanagers. Vergelijkbaar met IT zien zij security namelijk als een beperkende en vertragende invloed op hun processen en projecten. Met als gevolg dat bijvoorbeeld de marketingmanager zelf een onveilig digitaal certificaat inkoopt en gebruikt voor een nieuwe campagne. Daarmee kan hij of zij echter onbewust een deur openzetten voor hackers. “De meeste businessmanagers zien security als een noodzakelijke toevoeging of beperking, in plaats van een fundering. Wanneer klanten als gevolg van een veiligheidsincident het vertrouwen in een organisatie verliezen, heeft dat vaak een lange termijn invloed op de resultaten, of kan het zelfs tot een faillissement leiden. Omdat uit steeds meer incidenten blijkt dat verbindingen met het bekende slotje niet vanzelfsprekend veilig zijn, is het belangrijk dat security officers beter inzicht krijgen in het gebruik van alle certificaten. Door proactief met collega businessmanagers te gaan samenwerken, kunnen zij van security een ‘enabler’ maken in plaats van showstopper.”

Securityrisico’s identificeren, analyseren en managen

Security professionals hebben de taak en verantwoordelijkheid om alle mogelijke risico’s te identificeren, te analyseren en te managen. Dit gebeurt vaak vanuit een technisch perspectief, terwijl de mogelijke financiële gevolgen onderbelicht blijven. Ondanks de wereldwijd bekende DigiNotar case. Volgens Moskites krijgen veel CISO’s wel veel verantwoordelijkheid, maar niet de bijbehorende bevoegdheden. “CISO’s tellen bij de meeste organisaties nog niet op C-level mee. Dat blijkt zowel uit de vele gesprekken die ik met hen heb, als de beschrijving van het managementteam op websites en in jaarverslagen. Ik ben daar een uitzondering op, met mijn gecombineerde CIO & CISO-functie, wat begrijpelijk is voor een volledig in Internet-security gespecialiseerd bedrijf als Venafi.” Een ander verbeterpunt dat tijdens het interview met Moskites ter sprake komt is het beperkte aanbod van CISO-opleidingen. “De technische kant van dit vak komt aan bod bij ICT- en securityopleidingen en het risicogedeelte bij managementopleidingen, maar er is amper een CISO-studie op bachelor of masterniveau.”

Auditing en outsourcing

Net als voor het beveiligen van gebouwen en mensen, zijn er dienstverleners die bedrijven graag helpen hun digitale infrastructuur te monitoren en te verbeteren. Omdat het te complex en risicovol voor ze wordt alle taken zelf te blijven uitvoeren. Moskites werkt zelf samen met een externe auditor, maar is geen voorstander van outsourcing. “Directies moeten kritisch de toegevoegde waarde en kosten van een auditor of outsourcing afwegen, omdat ze zelf verantwoordelijk blijven voor de gevolgen van incidenten. De auditor van een klein gespecialiseerd bedrijf waarmee ik samenwerk, vergroot met assessments mijn inzicht en voegt daarmee belangrijke waarde toe. Outsourcing kan voor bedrijven interessant zijn, maar brengt ook risico’s met zich mee. Omdat je zelf moet blijven controleren of de gekozen partner mensen met voldoende actuele kennis en ervaring en effectieve middelen in huis heeft om de beloofde security te waarborgen. Anders krijgt men een vals gevoel van veiligheid, tot het eerste incident. Verder ontstaat er een vertraging in de reactietijd, totdat de outsourcepartner zijn benodigde analyses heeft uitgevoerd.”

Beheer certificaten en sleutels verbeteren

Het Internet is decennia geleden ontwikkeld met een beveiligingssysteem dat vergelijkbaar is met het menselijke immuunsysteem. Net als de HLA-tags in ons lichaam goede en kwade cellen onderscheiden en op basis daarvan accepteren of afstoten, doen digitale certificaten en cryptografische sleutels dat op het Internet. Omdat de meeste mensen deze blindelings vertrouwen, lukt het cybercriminelen steeds vaker om webservers of browsers te hacken en malware toe te voegen aan software. “Alleen wanneer bedrijven hun digitale sleutels en certificaten beter gaan beheren en bij incidenten snel geautomatiseerd vervangen, zijn aanvallen effectiever tegen te houden”, resumeert Moskites. “Dat is namelijk de fundering voor het vertrouwen tussen alle bedrijven en mensen, om met elkaar zaken te doen in de online wereld!”

Venafi Trust Protection Platform is een immuunsysteem voor Internet om alle digitale assets van organisaties te beveiligen. Die gebruikt worden in datacenters, desktops, mobiele apparatuur en de cloud. Het platform werkt samen met Venafi ThrustAuthority om het gebruik van alle sleutels en certificaten realtime inzichtelijk te maken en te managen op basis van de securitystrategie en policies. Met behulp van Venafi TrustForce is de levenscyclus van sleutels en certificaten van een organisatie volledig geautomatiseerd te beheren, inclusief het vervangen ervan bij ontdekte bedreigingen. Tenslotte bewaakt Venafi TrustNet het wereldwijde gebruik en vertrouwen van alle sleutels en certificaten.