Nu tijd voor reflectie, straks tijd voor actie
Nu de zomervakanties in heel Nederland officieel zijn begonnen, is het tijd om te reflecteren op de eerste helft van het jaar. Wat hebben we bereikt? En waar staan we nu? Daarnaast is het ook een goed moment om te bepalen welke prioriteiten gesteld moeten worden om onze doelen voor de tweede helft van 2024 te behalen.
Het beveiligen van de IT-omgeving is één van de onderwerpen die dan vaak benoemd wordt. Denk aan ransomware, steeds geavanceerdere phishing, diefstal van data en intellectuele eigendommen en wachtwoordaanvallen. Kortom: gedachten die niet bevorderlijk zijn voor een gevoel van veiligheid en niet bepaald bijdragen aan een ontspannen zomervakantie.
Dit wordt benadrukt door ons eigen onderzoek waaruit blijkt dat slechts 17% van de respondenten aangeeft dat hun beveiligingsmaatregelen onder controle zijn. Bij het onderzoek werden lastig grip krijgen, onvoorspelbaarheid en stress vanwege voortdurend veranderende oplossingen en een constante druk meermaals benoemd. Onduidelijke wetgeving (zoals NIS2), maar ook financiële- en gebruikersimpact en de belasting op de beheerorganisatie zijn redenen om het project uit te stellen naar een volgend kwartaal of zelfs nog later.
Dit is in lijn met data uit de jaarlijkse onderzoeken van Microsoft, waaruit blijkt dat de mogelijkheden binnen een Microsoft-omgeving vaak niet, of niet correct, geconfigureerd zijn. Multi-Factor Authenticatie is bijvoorbeeld nog lang niet overal geïmplementeerd, terwijl dit eigenlijk tot de basis hygiëne behoort op het gebied van het beveiligen van je IT-platform. Het is immers op dit moment nog de eerste stap van een aantal adviezen die uiteindelijk resulteren in 99% bescherming.
Wat zijn die stappen dan?
- Implementeer Multi-Factor Authenticatie (MFA);
- Pas zoveel mogelijk Zero Trust principes toe, inclusief Advanced Threat Protection (ATP), Mobile Device Management (MDM) en Enpoint Detection and Response (EDR);
- Integreer technologieën zoals AI-geautomatiseerde respons en Extended Detection and Response (XDR);
- Bescherm je gegevens met Data Loss Prevention (DLP) en versleuteling;
- Zorg voor regelmatige updates en patches.
Ik hoor je denken: wat bedoel je met ”MFA is immers op dit moment nog de eerste stap”? Is dat binnenkort niet meer zo dan? Zoals aangegeven, gaat het snel binnen de digitale wereld, en dit geldt niet alleen voor de verdedigende kant. Ook cybercriminelen maken gebruik van innovaties, en het feit dat MFA nog steeds een wachtwoord vereist, maakt het kwetsbaar. De opvolger van MFA, namelijk wachtwoordloze authenticatie, staat al klaar. Ondertussen hebben veel organisaties de voorganger nog niet geïmplementeerd. Dus is er echt wel wat werk aan de winkel.
Oplossingen zijn dus beschikbaar, vaak zelfs al deels inbegrepen bij betaalde licenties, maar worden niet of onvoldoende geïmplementeerd. Dat is toch gek? Zeker voor Nederlanders! We betalen 100%, maar benutten er slechts een deel van! De financiële impact – en die is natuurlijk niet alleen de licentie, zoals hierboven benoemd – is dus niet altijd de hoofdreden voor het doorschuiven of uitstellen van dit probleem. Waar zit dan precies het knelpunt?
Deze logische vraag wordt vaak beantwoord met redenen zoals: het project lijkt te omvangrijk voor dit moment, ik kan het nog niet goed overzien, ik wacht op definitieve wetgeving, ik wacht op stabilisatie van de oplossingen, mijn beheerorganisatie is er niet klaar voor, enzovoort. Natuurlijk zijn er talloze redenen te bedenken om iets niet te doen, maar de omvang van ons potentiële project neemt niet af als we blijven wachten. Sterker nog, het verschil wordt alleen maar groter en groter. Het is altijd beter om nieuwe technologie stap voor stap te adopteren, in plaats van in één keer een grote sprong voorwaarts te maken. Want hoe langer je wacht, des te groter en moeilijker die sprong wordt.
Wetgeving loopt per definitie achter op technologische ontwikkelingen. De NIS2-wetgeving, bijvoorbeeld, hoeft niet volledig definitief te zijn om te voldoen aan de basisbeveiliging van je IT-platform. Die basisbeveiliging is nu al noodzakelijk om niet op de lijst van slachtoffers te belanden.
Een stabilisatie van de oplossingen is niet te verwachten. Sterker nog, de innovatie neemt alleen maar toe. Het vermogen om snel aan te passen en te evolueren naar een wendbare organisatie zijn cruciale succesfactoren voor organisaties van morgen. In dezelfde lijn doe je er als organisatie goed aan te transformeren naar een regieorganisatie, die deze verandering ondersteunt en een landschap van partners beheert. Alles een beetje meer agile, en flexibeler.
Ons advies is dus om juist nu te beginnen. Doe het stap voor stap, zelfs als het hele kleine stapjes zijn, want elk resultaat is beter dan niets doen. In deze zomerblogserie geven we je in twee opvolgende blogs tips voor zowel de technische implementatie als de organisatorische kant, zodat je na de zomer fris van start kunt gaan met een haalbaar plan. In de volgende blog ‘groot denken, klein beginnen’ bespreken we hoe je daadwerkelijk begint met het verbeteren van je cloudbeveiligingsstrategie.
Meer weten over Legian Cloud Services? Klik dan hier.
Over de auteur
Patrick Smeets is sinds 2022 werkzaam als Strategisch Adviseur Cloud bij Legian. Zijn passie voor techniek en innovatie, gecombineerd met de overtuiging dat er altijd ruimte is voor verbetering, typeren hem, net als zijn energie en drive. Met 35 jaar ICT-ervaring en specialisme in Microsoft Cloud-omgevingen helpt Patrick organisaties bij het vinden van hun ideale pad naar digitale transformatie en cybersecurity. Naast het sleutelen aan cloudomgevingen, sleutelt hij ook graag aan auto’s. En als hij niet bij een auto te vinden is, staat hij waarschijnlijk een lekkere pizza te bakken.
Legian. Mastering Cloud Complexity.
