Security moet digitale transformatie mogelijk maken - niet frustreren
2018 is het jaar van de digitale transformatie. Zo’n beetje elk bedrijf dat het hoofd boven water wil houden in de moderne economie, heeft een initiatief voor digitale transformatie gepland. Dat kan van alles omvatten. Van de implementatie van standaardapplicaties voor verbeterde online interactie met klanten, tot de convergentie van OT- en IT-netwerken en het in de cloud onderbrengen van de complete bedrijfsinfrastructuur. Security blijkt hierbij een belangrijk onderwerp. Vaak omdat het deze digitale initiatieven bemoeilijkt. We horen nog veel te weinig dat security juist een logisch onderdeel is van de digitale transformatie.
Bij digitale transformatie draait alles om de klant. Het optimaliseren van de online ervaring van klanten is belangrijker dan ooit. Deze transformatie vereist het inzetten van nieuwe technologieën die het aanbieden en afnemen van diensten of producten verbeteren. Dat houdt in dat bedrijven hun diensten of producten op zo’n manier aanbieden, dat deze helemaal overeenkomt met de wensen van de klant. Maar dan moeten we de klant natuurlijk wel goed kennen. Bovendien moet alles op dusdanige wijze worden ingericht, dat het niet in strijd is met privacywetgevingen zoals de AVG. Bedrijven die digitale transformatie serieus nemen, weten bovendien dat beveiliging een logisch onderdeel is bij deze transitie. Toch wordt het door veel bedrijven nog als struikelblok gezien.
Meer en meer
Een digitale transformatie die niet hand-in-hand gaat met een transformatie van de beveiliging maakt bedrijven zeer kwetsbaar. Met alarmerende gevolgen. Volgens Gartner gaven bedrijven in 2017 bijna 90 miljard dollar uit aan informatiebeveiliging.
De komende 5 jaar zullen deze investeringen naar verwachting boven een biljoen dollar uitkomen. Maar volgens de prognoses zal ook cybercriminaliteit de komende vijf jaar blijven toenemen. Ondanks alle beveiligingsinspanningen lopen bedrijven steeds verder achter de feiten aan.
Dit probleem is deels te wijten aan het groeiende menselijke aanvalsoppervlak. Meer dan de helft van de wereldbevolking is inmiddels online. En een steeds groter percentage consumenten kan zich geen tijd zonder het internet herinneren.
Dan is er nog het groeiende digitale aanvalsoppervlak. Het toenemende gebruik van IoT-apparaten en -netwerken, de exponentiële groei van het dataverkeer als gevolg van de opkomst van apps en big data, de implementatie van complexe en uiterst flexibele multicloud-omgevingen en de onstuitbare mobiliteit van eindgebruikers vereisen netwerktoegang vanaf elke locatie en elk apparaat. Veel bedrijfsnetwerken kunnen dit niet meer aan.
Wat zeggen de cijfers?
Uit onderzoek van Fortinet blijkt de meerderheid van alle organisaties al van start is gegaan met digitale transformatie, maar dat security als een lastig element wordt gezien. De wildgroei aan endpoints, de steeds sterker vertakte netwerken en de exponentiële groei van datavolumes en het netwerkverkeer vormen stuk voor stuk punten van zorg voor beveiligingsteams en IT-afdelingen. Op de vraag wat het belangrijkste struikelblok is voor het slagen van de digitale transformatie, noemt 85 procent van alle CISO’s en CSO’s: IT-beveiliging.
De gemiddelde respondent schat dat een kwart van hun netwerkinfrastructuur onvoldoende tegen cyberbedreigingen is beschermd. Dit is te wijten aan diverse factoren: de groei van het aanvalsoppervlak als gevolg van digitale transformatie, het toenemende aantal complexe bedreigingen en een tekort aan personeel met de juiste beveiligingsexpertise. Uit het onderzoek komt ook naar voren dat met name twee bedreigingen een punt van zorg zijn voor CISO’s en CSO’s. Dit zijn de opkomst van polymorfe aanvallen (85 procent) ofwel cyberbedreigingen die voortdurend van vorm veranderen om detectie te voorkomen en kwetsbaarheden als gevolg van DevOps-processen (81 procent).
Eigen schuld
Digitale transformatie brengt allerhande nieuwe risico’s met zich mee, maar deze hebben we ten dele aan onszelf te danken. We zijn geneigd om wijzigingen van onze infrastructuur als losstaande projecten te beschouwen in plaats van ze in te bedden in een overkoepelend transformatiekader. We implementeren nieuwe systemen en technologieën en zetten vervolgens afzonderlijke beveiligingsoplossingen in voor nieuwe problemen in nieuwe omgevingen.
Helaas weten cybercriminelen maar al te goed misbruik te maken van de ‘voegen’ tussen deze omgevingen. Ze benutten kwetsbaarheden in een deel van het netwerk om toegang te krijgen tot een ander deel.Digitale transformatie is van invloed op elk aspect van ons beroeps- en privéleven. Als we afstappen van onze gebruikelijke manier van doen en digitale transformatie op consistente en holistische wijze benaderen, zal dit proces onze maatschappij in positieve zin veranderen. Maar als we onze koers van losstaande oplossingen en ad hoc beveiliging voortzetten, kan dit catastrofale gevolgen hebben. Organisaties die de transformatie van de beveiliging niet vanaf dag 1 serieus aanpakken, zullen weinig klanten overhouden. Dus is de belangrijkste vraag: hoe zorg je nu voor een veilige digitale transformatie die over een langere periode stand houdt?
Vijf beveiligingsprincipes
Begin met een veilige basis: maak de transformatie van de beveiliging een kernonderdeel van de digitale transformatie. Ga ervan uit dat alles vroeg of laat met al het andere verbonden zal zijn. Het oplossen van beveiligingsvraagstukken die het gevolg zijn van digitale transformatie vraagt om eenvoud. Niet om extra complexiteit. Maak een goed begin door de digitale bedrijfsinfrastructuur in te richten rond de volgende 5 beveiligingsprincipes:
Principe 1 - Stel een integraal en toekomstbestendig beveiligingsplan op dat voorziet in geïntegreerde beleidsregels en beveiligingsprotocollen en hou daaraan vast. Evalueer regelmatig de effectiviteit van dit plan en breng waar nodig wijzigingen aan.
Principe 2 - Richt de beveiliging in op basis van open standaarden, zodat alles een verbinding kan maken met de rest van de omgeving, ook als de plannen en oplossingen veranderen. Vermijd iedere oplossing die geen actieve bijdrage levert aan het bredere beveiligingsplaatje. De open standaarden maakt proactieve coördinatie van alle apparaten mogelijk, zodat je effectief kunt reageren op bedreigingen, waar die ook maar de kop opsteken binnen het gedistribueerde en flexibele netwerk.
Principe 3 - Zorg voor centraal overzicht en beheer en centrale orkestratie. Dit vraagt om een continu bijgewerkt overzicht van alle apparaten binnen het netwerk en een evaluatie van hun kwetsbaarheidsniveau. Daarnaast is een proactief plan nodig voor het patchen, beschermen en vervangen van apparaten die risico’s opleveren. Deze vorm van centrale coördinatie zal ervoor zorgen dat het beveiligingssysteem makkelijk kan worden uitgebreid en zich dynamisch kan aanpassen aan nieuwe netwerk- en IT-systemen.
Principe 4 - Wissel bedreigingsinformatie uit op lokaal en wereldwijd niveau en breng alle gegevens met elkaar in verband. Op deze manier kan je de beveiliging van elk apparaat afstemmen op de laatste bedreigingen. Dit vraagt onder meer om de inzet van security information & event management (SIEM) software en sandboxing. Deze oplossingen zijn nodig voor de detectie van complexe bedreigingen en zero day-aanvallen.
Principe 5 - Maak waar mogelijk gebruik van automatisering en kunstmatige intelligentie. Cybercriminelen doen dat namelijk ook. De tijd tussen het binnendringen van een netwerk en het hacken van systemen en wegsluizen van data wordt met de dag kleiner. In de nabije toekomst zal deze tijd in microseconden worden gemeten. We bevinden ons niet langer in een luxepositie en beschikken over onvoldoende personeel om op eigen kracht bedreigingsgegevens tegen elkaar af te zetten en handmatig op bedreigingen te reageren.
Vincent Zeebregts is country manager van Fortinet Nederland