2 items tagged "informatiebeveiliging"

  • ‘Privacy als integraal onderdeel van security’

    Experts doen voorspellingen voor 2016

    4726367In 2016 staat veel te gebeuren op het vlak van privacy en dataprotectie. Hoewel de discussie ‘security versus privacy’ dit jaar al is begonnen, barst deze in 2016 echt los. Computable-experts bespreken verschillende it-beveiligingsvoorspellingen voor het komende jaar. Hierbij worden onder andere cloudbeveiliging en de integratie van beveiligingsoplossingen aangehaald.

    Privacy
    Richard van Lent, managing partner bij MITE Systems:
    2015 stond vooral in het teken van onderwerpen als ‘Cloud First’, ‘Mobile First’ & internet of things (IoT). Daarnaast heeft de Wet Meldplicht Datalekken, een toevoeging op de bestaande Wbp, de afgelopen maanden nogal wat stof doen opwaaien binnen afdelingen als hr, legal/risk compliance, security en ict. Data Analytics-oplossingen gaan voor de meeste bedrijven rand voorwaardelijk worden als het gaat om het borgen van de privacy, compliancy en security in de dagelijkse operatie. Een belangrijke trend voor 2016, die zich momenteel in een rap tempo ontwikkelt, is dan ook het inzetten van Data Analytics-oplossingen om zaken als beveiliging, voorspelbaarheid & gedrag bijna in realtime inzichtelijk te maken.

    Gerard Stroeve, manager Security & Continuity Services bij Centric:
    Een andere belangrijke security-trend voor 2016 is privacy. Op het gebied van privacy staat er het komende jaar veel te gebeuren. Neem bijvoorbeeld de meldplicht datalekken. Deze gaat op 1 januari 2016 in en verplicht organisaties (zowel bedrijven als overheden) om ernstige datalekken direct te melden. Ook krijgt het College Bescherming Persoonsgegevens (CBP), dat vanaf 1 januari verder gaat als de Autoriteit Persoonsgegevens, boetebevoegdheid tot 820.000 euro. Daarnaast vormt de Europese Algemene Data Protectie Verordening een belangrijke internationale ontwikkeling op het gebied van privacy. Naar verwachting wordt ook deze begin 2016 van kracht met een overgangsperiode van zo’n anderhalf jaar. Komend jaar moeten organisaties echt aan de slag met de voorbereiding op die nieuwe wetgeving.

    Het is daarbij belangrijk om privacy niet als een op zichzelf staand onderwerp te benaderen. Privacy heeft specifieke wet- en regelgeving, maar is wel een integraal onderdeel van informatiemanagement en -beveiliging als geheel.

    Lex Borger, Principal Consultant bij I-to-I:
    De politieke discussie ‘security versus privacy’ is al begonnen, maar gaat in het verkiezingsjaar in de Verenigde Staten echt losbarsten. Hoeveel privacy moeten we opgeven om terrorisme te bestrijden? Mogen overheden eisen stellen om toegang te krijgen tot informatie die versleuteld verzonden wordt of opgeslagen is? Kan terrorisme zo bestreden worden? Kunnen we overheden vertrouwen met die mogelijkheden? Kunnen we voorkomen dat anderen (overheden, georganiseerde criminaliteit) hier misbruik van maken? Mag de burger nog wat te verbergen hebben? Voldoende gelegenheid tot discussie, ik ben benieuwd.

    Cloud, integratie en IoT
    Gerard Stroeve, manager Security & Continuity Services, Centric:
    De derde belangrijke trend voor 2016 is cloudsecurity. Veel organisaties geven aan nog te weinig grip te hebben op de cloudoplossingen die zij gebruiken. Hoe vind je bijvoorbeeld afstemming met grote, publieke cloudleveranciers als Google, Microsoft en Amazon? Een andere grote uitdaging vormt de zogenaamde ‘Shadow it, een fenomeen waarmee bijna iedere organisatie tegenwoordig te maken heeft. Wanneer de juiste functionaliteit niet of niet snel genoeg beschikbaar is, zoeken medewerkers daarvoor steeds vaker zelf een oplossing in de cloud. Zo ontstaat er langzaam maar zeker een wildgroei aan gebruikte cloudoplossingen waarop de organisatie geen grip heeft. Dat vraagt om helder beleid en goede richtlijnen rondom veilig cloudgebruik, zonder daarbij de productiviteit in de weg te zitten. Een praktisch handvat hierbij vormt de 4C-benadering.

    John Veldhuis, Senior System Consultant bij Sophos:
    Zoals we in de gateway een integratie hebben gezien van voorheen losstaande apparaten voor email/web proxy, vpn, packet filtering, layer 7 filtering, load balancing et cetera. in een UTM, gaan we een doorontwikkeling meemaken die ervoor zorgt dat anti-malware, UTM en versleutelingsoplossingen met elkaar praten. Voorbeeld: Verdacht verkeer, bijvoorbeeld ransomware gerelateerd, wordt gedetecteerd. Dit kan door software op de besmette machine zijn, maar ook door de UTM. Hierdoor kan automatisch:

    • de machine ontdaan worden van sleutels, zodat vertrouwelijke data niet gelekt kan worden, maar ook het bewerken ervan (versleutelen door ransomware) niet meer kan plaatsvinden (geen sleutel = geen toegang);
    • de machine in een quarantaine- of mitigatienetwerk worden geplaatst, op de overige machines een zoekactie worden gestart naar het bestand dat het verkeer veroorzaakte de herkomst van het bestand worden gezocht en in een reputatiefilter worden gezet et cetera.

    Harm de Haan manager consultancy bij Telindus:
    Door de toenemende complexiteit van it-infrastructuren en de mate waarin onderdelen met elkaar geïntegreerd zijn, is security steeds moeilijker te garanderen. Bovendien zijn de gevolgen van een ´breach´ groter, door de nieuwe Wet Meldplicht Datalekken. Hierdoor is security voor veel organisaties een belangrijk thema in 2016. Endpoint solutions kunnen veiligheid onvoldoende garanderen, juist door de complexiteit van moderne infrastructuren. Beter zouden organisaties zich oriënteren op ‘security by design’: een aanpak waarbij security in de ontwerpfase van een infrastructuur wordt ingericht als onderdeel van de losse componenten, zoals compute, networking en storage.

    Lex Borger, Principal Consultant bij I-to-I:
    Geen excuus meer: TLlskan nu overal en gratis. Ttp's moeten hun business-model veranderen, Let's Encrypt levert gratis tls-certificaten met automatische provisioning. Jouw site kan altijd https aan. Geen dure certificaten te beheren, geen moeilijk proces voor aanvraag, maar je moet wel aantonen dat je zeggenschap hebt over je website. Voor velen zal dit veilig genoeg zijn. Het betaalde proces voor certificaatbeheer is complex genoeg, het is absurd dat er nog gepleit wordt om SHA-1 langer geldig te laten zijn omdat we onze certificaten niet snel genoeg kunnen opsporen en vervangen.

    Ook zal het internet of things in 2016 explosief groeien met sensors en kleine automaatjes die eenvoudig moeten werken en simpel aan te sluiten zijn. Dit geeft heel veel mogelijkheden voor hackers om ik weet niet wat te doen (Ik ben niet creatief genoeg om te bedenken wat er allemaal mogelijk is). We gaan er flink last van krijgen dat onze netwerkinfrastructuren inherent onveilig zijn. Het is nog steeds eenvoudig je voor te doen als een ander apparaat op het internet. Dit gegeven ligt aan de basis van veel aanvallen - DDoS, identity theft.

    Tot slot: een gedegen basisproces
    Los van deze drie thema’s vraagt informatiebeveiliging vooral een integrale benadering, meent Gerard Stroeve. ‘Informatiebeveiliging is een breed vakgebied met verschillende aandachtsgebieden. Naast de genoemde thema’s, is er bijvoorbeeld cybersecurity. Het aantal DDoS- of ransomware-aanvallen zal komend jaar niet afnemen. Ook verwachten we dat de aandacht voor beschikbaarheid en continuïteitsmanagement het komend jaar zal toenemen.’

    Om effectief met al deze uiteenlopende dreigingen om te gaan, is een gedegen basisproces volgens hem cruciaal. ‘Door een goed governancemodel ben je in staat te reageren op nieuwe en veranderende dreigingen. Hierbij staan classificatie en het analyseren van risico’s centraal. Belangrijk is ook dat informatiebeveiliging een stevig managementdraagvlak krijgt.’

    Source: Computable

  • Gartner: tekort aan experts om Internet of Things te beveiligen

    detailHet Internet of Things brengt allerlei beveiligingsrisico's met zich mee, maar ervaren experts die hierbij kunnen helpen zijn schaars, zo stelt martkvorser Gartner. Volgens Gartner zijn beveiligingstechnologieën vereist om alle Internet of Things-apparaten tegen aanvallen te beschermen.

    Het gaat dan om zowel bekende als nieuwe aanvallen. Gartner wijst naar aanvallen waarbij aanvallers zich als bepaalde apparaten voordoen of "denial-of-sleep-aanvallen" uitvoeren, om zo de batterij van apparaten leeg te maken. De beveiliging van het Internet of Things wordt verder gecompliceerd door het feit dat veel van de apparaten eenvoudige processoren en besturingssystemen gebruiken die geen complexe beveiligingsoplossingen ondersteunen. Ook is er een tekort aan expertise.

    "Ervaren IoT-beveiligingsspecialisten zijn schaars, en beveiligingsoplossingen zijn op het moment gefragmenteerd en bestaan uit verschillende leveranciers", zegt Nick Jones, vicepresident en analist bij Gartner. Jones voorspelt dat er de komende jaren nieuwe dreigingen voor het Internet of Things zullen verschijnen, aangezien hackers nieuwe manieren vinden om aangesloten apparaten en protocollen aan te vallen. Dit zou inhouden dat veel van de IoT-apparaten gedurende hun levenscyclus van hardware- en softwareupdates moeten worden voorzien.

    Source: Security.nl

EasyTagCloud v2.8