Eerst data beveiligen, dan devices of juist andersom?

Thuis en op locatie werken brengt nieuwe veiligheidsvraagstukken met zich mee voor iedere ondernemer. Daarnaast werken mensen steeds vaker op hun eigen vertrouwde apparaten, bring your own device (BYOD), wat vraagt om een andere beveiligingsstrategie en een revisie van de veiligheidseisen aan data en systemen. Want kun je nu beter data beveiligen i.p.v. devices of andersom?

Het feit is: 100% veilig is data nooit, alles is te kraken en doelbewust of onbewust kan er altijd een datalek ontstaan. Het is daarom belangrijk regelmatig naar de technische securityoplossingen te kijken. Maak ook medewerkers bewust van hun rol in security en benoem waarom gebruiksonvriendelijkere maatregelen zoals sterke wachtwoorden en authenticators noodzakelijk zijn om veilig te kunnen blijven werken. Hiermee creëer je begrip en draagvlak voor je securitybeleid en zijn medewerkers bewuster op gevaren en de risico’s.

“Vanuit het BYOD-principe is het niet meer mogelijk voor werkgevers om alle devices te beveiligen. Het beveiligen van de centrale werkomgeving is in dat geval effectiever. Waar mogelijk is het nog steeds zeer raadzaam om het device te blijven beveiligen met bijvoorbeeld een wachtwoord en/of MFA.” adviseert Michaël Freijser.

Veilig werken door data te beveiligen

Vanuit de zero trust gedachte, niks is te vertrouwen ook ‘veilige’ devices niet, moet je er altijd voor zorgen dat data alleen toegankelijk is voor personen die de betreffende data mogen benaderen. Daarnaast is bijhouden wie, wanneer, welke data heeft geraadpleegd (accounting) en welke acties op deze data heeft uitgevoerd van belang. Op deze manier houd je toezicht op toegang en het correct gebruik van data en wanneer er wel iets misloopt kan snel achterhaald worden welk account, wat gedaan heeft.

De AVG stelt dat je als bedrijf moet kunnen aantonen dat de veiligheid van data en systemen op orde is. Daarnaast moet je bij een datalek kunnen aantonen waar data mogelijk terecht is gekomen. Onder een datalek kan een inbraak van buitenaf worden verstaan maar ook iemand die ongevraagd gebruikt maakt van het legale account van iemand anders. Bijvoorbeeld een gesloten laptop waarop automatisch aanmelden is ingeschakeld. Op zo’n moment is het heel erg waardevol om inzicht te hebben in welke data het betreffende account in de tussentijd heeft benaderd en welke acties hierin zijn uitgevoerd. Op deze manier kan worden vastgesteld welke data gelekt zijn en kan hier actie op ondernomen worden.

“Je moet accepteren dat je niet alles 100% veilig kunt maken. Van de kleine stukjes die je niet kunt beveiligen moet je het risico dat je loopt zo goed mogelijk indekken.” stelt Michaël.

Veilig werken door het beveiligen van devices

Een ‘of-of keuze’ maken kan eigenlijk niet beaamd Michaël. Je moet altijd zowel je data als devices beveiligen. Je laptop of telefoon zorgt bij het aanmelden met een wachtwoord en gebruikersnaam al voor de eerste veiligheidscheck. Vervolgens log je in, met opnieuw een gebruikersnaam en wachtwoord plus een mogelijke tweede authenticatie, op bepaalde systemen. “De beveiliging van het device draagt er dus wel aan bij dat je data veilig kunt benaderen.”

Net als data zijn ook devices te volgen, voor bijvoorbeeld de AVG, maar dit is veel moeilijker dan accounting van (online) data. Op afstand kan wel worden gecheckt of een device up-to-date is en voldoet aan de veiligheidsstandaarden. Denk aan het gebruik van de nieuwste versie virusscanner, software en Bit Locker. Wanneer dit allemaal goed werkt kun je ervan uitgaan als IT-manager dat het opgestelde securitybeleid functioneel is en er dus veilig wordt gewerkt.

Securityadvies

Data beveiligen is in de huidige werkomgevingen veelal effectiever dan het beveiligen van devices. Het advies van Michaël is wel ECHT om goed naar jouw situatie te kijken om te zien welk securitybeleid het beste werkt. Dit is onder andere afhankelijk van de manier van werken binnen een bedrijf, de typen data waarmee wordt gewerkt en de eisen die aan security worden gesteld. Kortom, voor elk bedrijf is een andere aanpak het meeste effectief.

We zien dat bedrijven pas echt gaan nadenken over hun securitybeleid als er iets voorvalt. Blijf dat voor!