Cloud Security, een overpeinzing tijdens de zomer

Tijdens de zomervakantie schakelen velen van ons een tandje terug en reflecteren we op de eerste helft van het jaar. Wat hebben we bereikt? Waar staan we nu? En wat zijn de belangrijkste doelen voor de tweede helft?

Het beveiligen van de IT-omgeving is één van de onderwerpen die dan vaak naar voren komt. Berichten over ransomware, steeds geavanceerdere phishing, diefstal van data en intellectuele eigendommen, wachtwoordaanvallen etc. Kortom: gedachten die niet bevorderlijk zijn voor een gevoel van veiligheid en dragen niet bij aan een ontspannen zomervakantie.

Uit ons eigen onderzoek onder (potentiële) klanten blijkt dat 17% van de respondenten aangeeft dat hun beveiligingsmaatregelen onder controle zijn, terwijl de overige 83% andere kwalificaties kiest. 

Bij het onderzoek werden termen als lastig om grip op te krijgen, onvoorspelbaar en stressvol vanwege voortdurend veranderende oplossingen en een constante druk, vaak gekozen als kwalificaties. De vaak onduidelijke wetgeving zoals NIS2, maar ook financiële- en gebruikersimpact en de belasting op de beheerorganisatie zijn allemaal redenen om het project uit te stellen naar een volgend kwartaal of zelfs nog verder.

Dit is in lijn met data uit de jaarlijkse onderzoeken van Microsoft*, waaruit blijft dat de mogelijkheden binnen een Microsoft-omgeving vaak niet, of niet correct, geconfigureerd zijn.

Multi-Factor Authenticatie is bijvoorbeeld lang niet overal geïmplementeerd, terwijl dit eigenlijk tot de basis hygiëne behoort op het gebied van het beveiligen van je IT-platform. Het is immers nu nog de eerste stap van een aantal adviezen die uiteindelijk resulteert in 99% bescherming.

* Bron: Microsoft Digital Defense Report 2023

Wat waren die stappen ook alweer?

• Implementeer Multi-Factor Authenticatie (MFA);
• Pas zoveel mogelijk Zero Trust principes toe, inclusief Advanced Threat Protection (ATP), Mobile Device Management (MDM) en Endpoint Detection and Response (EDR);
• Integreer technologieën zoals AI-geautomatiseerde respons en Extended Detection and Response (XDR);
• Bescherm je gegevens met Data Loss Prevention (DLP) en versleuteling;
• Zorg voor regelmatige updates en patches.

Wat bedoel je met MFA is immers nu nog de eerste stap? Binnenkort niet meer dan? Zoals aangegeven, gaat het snel binnen de digitale wereld, en dit geldt niet alleen voor de verdedigende kant. Ook cybercriminelen maken gebruik van innovaties, en het feit dat MFA nog steeds een wachtwoord vereist, maakt het kwetsbaar.

De opvolger van MFA, namelijk wachtwoordloze authenticatie, staat al klaar. Ondertussen hebben veel organisaties de voorganger nog niet geïmplementeerd. Er is dus echt wel werk aan de winkel.

Oplossingen zijn beschikbaar, vaak zelfs al deels inbegrepen bij betaalde licenties, maar worden niet of onvoldoende geïmplementeerd.  Dat is toch gek? Zeker voor Nederlanders! We betalen 100%, maar benutten er slechts een deel van! De financiële impact – en die is natuurlijk niet alleen de licentie – zoals hierboven benoemd – is dus niet altijd de hoofdreden voor het doorschuiven of uitstellen van dit probleem. Waar zit dan precies het knelpunt?

Deze logische vraag wordt vaak beantwoord met redenen zoals: het project lijkt te omvangrijk voor dit moment, ik kan het nog niet goed overzien, ik wacht op definitieve wetgeving, ik wacht op stabilisatie van de oplossingen, mijn beheerorganisatie is er niet klaar voor, enzovoort.

Natuurlijk zijn er talloze redenen te bedenken om iets niet te doen, maar de omvang van ons potentiële project neemt niet af als we blijven wachten. Sterker nog, het verschil wordt alleen maar groter. Het is altijd beter om nieuwe technologie stap voor stap te adopteren, in plaats van een grote sprong voorwaarts te maken. Hoe langer je wacht, des te groter en moeilijker die sprong wordt.

Wetgeving loopt per definitie achter op de technologische ontwikkelingen. De NIS2-wetgeving bijvoorbeeld, hoeft niet volledig definitief te zijn om te voldoen aan de basisbeveiliging van je IT-platform, toch? Die basisbeveiliging is nu al noodzakelijk om niet op de lijst van ransomware slachtoffers te belanden.

Een stabilisatie van de oplossingen is niet te verwachten. Sterker nog, de innovatie neemt alleen maar toe. Het vermogen om snel aan te passen en te evolueren naar een wendbare organisatie zijn cruciale succesfactoren voor organisaties van morgen.

In dezelfde lijn doet je organisatie er goed aan te transformeren naar een regieorganisatie, die deze verandering ondersteunt en een landschap van partners beheert. Alles een beetje meer agile, en flexibeler.

Ons advies is dus om juist nu te beginnen! Doe het stap voor stap, zelfs als het hele kleine stapjes zijn, want elk resultaat is beter dan niets doen. In deze zomerblogserie geven we je in twee opvolgende blogs tips voor de technische implementatie als de organisatorische kant, zodat je na de zomer fris van start kunt gaan met een haalbaar plan!

Patrick Smeets is Strategisch Adviseur Cloud transitie & innovatie bij Legian