Vijf vragen die leiden tot de juiste cloud beveiliging

De afgelopen tien jaar hebben bedrijven in hoog tempo verschillende cloud toepassingen in het bedrijfsnetwerk geïntegreerd, en deze trend lijkt nu in een stroomversnelling te raken. Private cloud-infrastructuren, virtualisatie en software defined networking (SDN) zorgen voor een transformatie binnen datacenters op locatie. Deze datacenters hosten het leeuwendeel van alle zakelijke server-workloads. Daarnaast omarmen steeds meer bedrijven de publieke cloud. In de meeste gevallen verbinden ze die met omgevingen op locatie om een hybride cloud-omgeving te creëren. Maar ondanks alle voordelen brengt deze versnelde transformatie van de infrastructuur ook belangrijke zorgen rond de beveiliging met zich mee. De vraag is hoe eindgebruikers en gevoelige informatie moeten worden beschermd tegen steeds nieuwe bedreigingen.

Kevin Bocek, vice president Security Strategy & Threat Intelligence van Venafi

‘Cybersecurity roer moet om’

De beveiliging van Internet is zo lek als een mandje. Als gevolg daarvan kunnen cybercriminelen banken digitaal beroven, bedrijven en ziekenhuizen gijzelen voor losgeld en webservices platleggen met een DDoS-aanval. Vrijwel dagelijks worden mensen geconfronteerd met securityincidenten. Dat zal met de ontwikkeling van het ‘Internet-of-Things’ en ‘Smart Cities’ alleen maar gaan toenemen. Venafi’s Chief Security Strategist Kevin Bocek adviseert het roer om te gooien door de securityfundering van het Internet, zijnde digitale certificaten en encryptiesleutels, structureel beter te gaan beschermen. 

‘Authenticatie moet integraal onderdeel zijn van applicatie’

Met het strategische partnership met het Noorse Promon zette Vasco’s nieuwe President en Chief Operating Officer Scott Clements al snel na zijn aantreden zijn stempel op deze security-specialist. Promon levert zogeheten RASP-technologie waarmee veilig werken volledig in mobiele apps kan worden geïntegreerd. “Ik denk dat daar de toekomst ligt”, vertelt Clements in een interview op het hoofdkantoor van VASCO in Wemmel bij Brussel. “Alleen dan wordt ‘trust’ een integraal onderdeel van een applicatie.” Vandaar dat Clemens wil dat VASCO zich niet meer zozeer als ‘the authentication company’ profileert maar vooral als ‘the trust company’.

Online games en casino’s zijn leuk – gehackte accounts niet

De markt voor online games blijft hard groeien, maar blijft problemen houden met security en authenticatie. Zowel de online gokmarkt als de markt voor gewone online multiplayerspellen hebben te maken met diefstal van accounts, waardoor criminelen zichzelf ten koste van de diensten en hun gebruikers kunnen verrijken. De mogelijke problemen zijn voor gokwebsites duidelijker aanwezig, zoals diefstal van accounts en minderjarigen, gokverslaafden en valsspelers die toegang krijgen tot diensten waar ze niet op mogen komen. Maar accounts voor online multiplayerspellen vormen eveneens een aantrekkelijk doelwit door enorme hoeveelheden aan persoonsgegevens of fictieve handelswaar in het spel dat kan worden verkocht voor echt geld. Of natuurlijk de doorverkoopwaarde van volledige accounts.

Cybercrimineel profiteert van patiënten-empowerment

Er is een sterke lobby om zoveel mogelijk zorgverleners zover te krijgen dat zij hun patiënten met een eigen inlogcode inzicht geven in hun eigen elektronisch medisch dossier. Onder andere de minister van Volksgezondheid en de Nederlandse Patiëntenvereniging vechten hiervoor. Misschien ook wel logisch: patiënten raken zo nauwer betrokken bij hun ziekte en gezondheid. Dit gevoel van controle (of: empowerment) draagt positief bij aan herstel, zo wordt regelmatig bewezen bij wetenschappelijk onderzoek.

Dark Web nog te vaak blinde vlek

Hoeveel firewalls, unified threat management-systemen of intrusion detection-oplossingen we ook installeren, iedere Chief Information Security Officer van een grote organisatie weet dat cybercriminelen nooit opgeven. Zij blijven altijd zoeken naar mogelijkheden om toegang te krijgen tot het corporate netwerk of om bepaalde bedrijfsapplicaties door middel van DDoS-aanvallen onbereikbaar te maken. Informatie over de aanvallen die zij voorbereiden is eigenlijk alleen te vinden op het Dark Web. Kunnen CISO’s en security specialisten op een of andere manier toegang tot dat soort informatie krijgen?

Sensors van Nováccent maken gemeenten weerbaar tegen cyberaanvallen

Richtte het hackersgilde enkele jaren geleden zijn pijlen vooral op financiële instellingen, nu betalen vooral gemeenten het gelach rond de digitale samenleving. Vlotte, publieksvriendelijke dienstverlening dreigt ten onder te gaan aan inbraken in en ontregelen van systemen waaraan burgers hun persoonlijke data toevertrouwen. Nováccent nam het initiatief en startte een ingenieuze cyber security monitoring dienst voor gemeenten, inclusief in eigen beheer ontwikkelde intelligentie op sensors. Hoe meer afnemers, des te slimmer de dienst wordt. Afrekenen per sensor op maandbasis maakt de kosten voor de afnemer overzichtelijk.

Onafhankelijke risicobeoordeling voorwaarde securitycompliance

In Europa is bij wet geregeld dat bedrijven, (financiële) instellingen en overheidsorganisaties hun privacygevoelige persoonsgegevens moeten beschermen. Voor iedere sector bestaan andere beveiligingsregelingen die uiteindelijk op hetzelfde neerkomen: software en hardware moeten aantoonbaar voldoen aan strenge en gedetailleerde regels en procedures, de organisaties moeten kunnen bewijzen hiervoor continu alles in het werk te stellen en overtredingen worden bestraft. Omdat iedere organisatie zelf verantwoordelijk is voor zijn securitycompliance, is een onafhankelijke risicobeoordeling ofwel riskassessment noodzakelijk. Infosecurity Magazine vroeg SRC Secure Solutions naar hun praktijkervaringen met onafhankelijke riskassessments.

QSight IT laat business elementen meewegen in geavanceerd technisch platform

Bijna twee jaar geleden nam, volgens de Cyber Security Benchmark van KPMG, het bestuur van tweederde van de beursgenoteerde ondernemingen geen verantwoording voor beveiliging. Blijkbaar stond het onderwerp niet hoog op hun prioriteitenlijst. Nu calamiteiten aan de orde van de dag zijn, dreigen bestuurders door te schieten in hun denken over cybersecurity. Natuurlijk kan een virus het bedrijfsproces ernstig verstoren. Maar wat als het mitigeren van dat ene virus meer kost dan het financiële risico dat de organisatie loopt door de besmetting? Met een zorgvuldige kosten baten analyse, gegoten in een bewezen Managed Security dienstverlening, wil QSight IT praktisch en pragmatisch organisaties in een viertal bedrijfstakken ondersteunen op het security vlak.

Visie op CISO-functie in 2017

Het ICT-landschap verandert continu, onder andere als gevolg van het groeiende Internet of Things en complexere cyberdreigingen. Technologie verandert in bredere zin steeds sneller en daardoor komt er aanzienlijk meer informatie beschikbaar. Cybersecurity was tot voor kort een ICT-taak, maar wordt in toenemende mate opgeschaald naar een bedrijfsuitdaging met C-level verantwoordelijkheid. Elke organisatie, onafhankelijk van de markt waarin deze actief is, doet er verstandig aan security een hoge prioriteit te geven in het bijhouden van de technische ontwikkelingen. Verder is het belangrijk dat CIO’s, CISO’s en andere managers meer gaan samenwerken om hun organisatie te beschermen tegen het toenemend aantal securityrisico’s.

‘We bewaken de balans tussen performance en veiligheid van een netwerk’

De groei in het aantal WiFi-netwerken is er nog lang niet uit. Het Internet of Things (IoT) staat pas aan het begin van haar ontwikkeling, denkt Spencer Hinzen, directeur Business Development EMEA bij Brocade. Veiligheid en betrouwbaarheid vormen daarbij uiteraard belangrijk issues. Privacy moet gewaarborgd zijn, maar ook de applicaties die op de netwerken draaien, moeten altijd bereikbaar zijn. Nieuwe technologieën staan te dringen om netwerken slimmer en sneller te maken.

eIDAS maakt erkenning van e-identiteiten en elektronische handtekeningen over landsgrenzen heen mogelijk

De Europese Unie heeft op 1 juli 2016 zijn oude EU-richtlijn vervangen met de nieuwe eIDAS-verordening. Daarmee gaan de obstakels voor de erkenning van e-identiteiten en elektronische handtekeningen tot het verleden behoren. Omdat het een verordening is, wordt eIDAS een bindende wet in alle 28 lidstaten die hier geen eigen interpretatie aan kunnen geven. Het uiteindelijke doel van eIDAS is om het digitaal zakendoen binnen Europa te vereenvoudigen. Maar heel bekend is eIDAS zelfs binnen de EU zelf nog niet. Michael Laurie, Vice President Product Strategy bij eSignLive by VASCO, legt uit waarom dit geen probleem is.

SecureLink Nederland: informatiebeveiligingsniveau over de breedte onvoldoende

U weet inmiddels wel dat iedere organisatie getroffen wordt door (doelgerichte) cyberattacks en u bent op de hoogte van de maatregelen die getroffen moeten worden. Uiteraard is dat ook bekend op boardniveau binnen uw organisatie. Maar toch is het informatiebeveiligingsniveau over de breedte onvoldoende. Ik doel onder andere op security awareness, het securitybeleid, network access control, identity en access management, managed security services, een crisisplan, cyberverzekering, vulnerability management, data governance, central logging, controle op shadow-IT, et cetera.

Elektronische handtekening vergroot security enorm

Niets veiliger dan een handtekening, toch? Het bedrijfsleven vertrouwt al duizenden jaren op de krabbel. Maar met de wens om papierloos te werken, komt dit oeroude gebruik in het geding. Wacom ontwikkelt daarom hardware om elektronische handtekeningen te zetten die ook nog eens veiliger zijn. “Dit is kansrijk. Het is veiliger en de Europese standaard voor dergelijke handtekeningen is al bepaald. Niets staat een doorbraak nog in de weg.”

‘Maak fabrikanten aansprakelijk voor IoT-security’

De gevaren van onveilige slimme apparaten werden in de herfst van 2016 pijnlijk duidelijk. Het Internet of Things (IoT)-botnet Mirai kreeg onder andere Spotify, Twitter en GitHub op de knieën door DNS-serviceprovider Dyn aan te vallen. Volgens Mikko Hyppönen van F-Secure vallen de Mirai-aanvallen echter in het niet bij wat nog gaat komen. “Hackers die gevoelige gegevens stelen via de IoT-koffiemachine; dat wordt de echte wake-upcall.”