Beveilig klanten, transformeer jezelf

Transcriptie

1 Beveilig klanten, transformeer jezelf

2 Managed Services Providers Hacks, ransomware en datalekken zijn dagelijks in het nieuws. Bedrijven moeten in 2018 voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Managed Services Providers zoeken altijd naar manieren om hun klanten extra waarde te bieden en hun producten en diensten beter af te stemmen op de veranderende klantvraag. Voor veel Managed Services Providers is het inmiddels duidelijk geworden dat zij met informatiebeveiligingsdiensten veel waarde kan toevoegen. Niet alleen technisch, maar ook vanuit het oogpunt van risicobeheersing. Net als hun klanten vragen zij zich echter af waar te beginnen, maar hoe kun je als Managed Services Provider de juiste informatiebeveiligingsdiensten leveren?

3 01 Current Mode Het huidige producten- en dienstenportfolio is helder. Als Managed Services Provider heb je overeenkomsten met klanten om hun servers te beheren, eindgebruikers te ondersteunen en backups te controleren. Misschien heb je bij deze klanten ook werkplekken en printers geleverd. Om klanten te beveiligen heb je al het nodige gedaan: klanten maken gebruik van een firewall, je hebt antivirus bij ze geïnstalleerd en ze maken gebruik van een spamfilter. Daarnaast heb je een back-up ingeregeld, zodat klanten na een incident snel weer over hun bestanden kunnen beschikken. 02 Future mode Het toekomstige producten- en dienstenportfolio is niet zo helder. Doordat wetgeving verandert, bijvoorbeeld door de AVG, moeten bedrijven steeds meer gaan doen op het gebied van informatiebeveiliging. Daarnaast is er een flinke toename van criminaliteit via het internet, denk aan ransomware, cryptolockers en inbrekers in netwerken. Ook moeten steeds meer organisaties voldoen aan informatiebeveiligingsnormen, zoals de ISO27001, NEN7510 en DIGID 2.0. Als Managed Services Provider moet je dus producten en diensten leveren die deze klanten ondersteunen bij hun informatiebeveiliging. Er zijn echter een aantal oplossingen mogelijk, dus waar doe je goed aan? Met welk product of dienst kun je een groot aantal klantvragen beantwoorden? 3

4 03 Transition mode Wanneer een Managed Services Provider zich kan transformeren tot een Managed Security Services Provider, dan liggen er veel kansen om bestaande en nieuwe klanten te gaan bedienen. Een Managed Security Services Provider moet daarbij veel verder kijken dan alleen het leveren van een firewall, het implementeren van een anti-virus oplossing of end-point security oplossing. Het leveren van informatiebeveiligingsdiensten vereist een benadering op managementniveau en op technisch vlak. Informatiebeveiliging is risicobeheersing. Risicobeheersing begint met een inventarisatie van wat van waarde is. Welke kroonjuwelen heeft een klant? Voor welke crimineel zijn deze interessant en wat is de schade als er iets met deze kroonjuwelen gebeurt? Een ander belangrijk onderdeel van risicobeheersing zijn de maatregelen die je treft. Maatregelen kunnen een preventief karakter hebben. Met deze maatregelen voorkom je zoveel mogelijk incidenten. Maatregelen kunnen ook een mitigerend karakter hebben. Wanneer er een mitigerende maatregel ingezet wordt, dan is het incident helaas niet voorkomen, maar kan de impact wel verkleind worden door snel en adequaat te handelen. Denk hierbij aan maatregelen die hackers in een netwerk of webapplicatie betrappen. Tot slot zijn er ook nog curatieve maatregelen. Deze maatregelen doen schade van een incident te niet, denk aan het terugplaatsen van een backup of de uitkering van een verzekering. Een Managed Services Provider die in staat is om op managementniveau met klanten in gesprek te gaan en te blijven over risicobeheersing gaat een steeds belangrijkere rol spelen voor die klant. Waar Managed Services Providers tot voor kort vooral nog gezien werden als de systeembeheerder, kunnen zij nu de rol van Chief Information Officer of Chief Information Security Officer gaan vervullen bij klanten. 4

5 Wat zijn de voornaamste uitdagingen? Om informatiebeveiliging op orde te hebben zal er aandacht besteed moeten worden aan processen, mens en techniek. c

6 Processen Wanneer een organisatie niet volgens een informatiebeveiligingsnorm zoals de ISO27001 of NEN7510 gecertificeerd hoeft te zijn, dan kan een organisatie wellicht al toe met een aantal basis procedures. Denk aan het beschrijven van de in- en uit dienst procedures, een bewerkersovereenkomst, back-up en recoveryprocedures, wachtwoordpolicy, privacy impact assesment en het beschrijven waarom een data protection officer wel of niet nodig is om aan de AVG te voldoen. Moet een organisatie wel gecertificeerd raken, dan is het in de meeste gevallen aan te raden om daar een gespecialiseerde partij bij te betrekken. Deze partij weet precies wat er nodig is om een certificaat te behalen en waar een auditor vervolgens op gaat letten. Gedurende het certificeringsproces, maar ook in periode daarna, kunnen systemen inzicht bieden in hoeverre de technologie binnen een organisatie afwijkingen kent van die certificeringsnormen. c Mens Je kunt een systeem nog zo goed beveiligen, als slimme mensen domme dingen doen, dan gaat het alsnog mis. Als Managed Services Provider kun je klanten van dienst zijn door eindgebruikers te instrueren niet op gekke links te klikken, het gebruik van usb-sticks af te raden en vertrouwelijke documenten snel van de printer te halen. Je kunt ook trainingen verzorgen op het gebied van informatiebeveiliging, zodat eindgebruikers minder vaak ten prooi vallen aan kwaadwillenden. Er zijn ook nog andere manieren om awareness te creëren, denk aan het aanpassen van de bureaublad achtergrond van de computers zodat er tips zichtbaar zijn. Bied klanten een handboek aan voor medewerkers, zodat zij veilig omgaan met de vertrouwelijke gegevens en informatiesystemen.

7 Techniek Technologie kan op verschillende manieren ingezet worden om klanten te beveiligen. Traditionele oplossingen, zoals firewalls en antivirus voldoen helaas niet meer. Een firewall is ontwikkeld vanuit de gedachte dat er een intern netwerk is en dat er aan de andere kant de boze buitenwereld bestaat. Doordat steeds meer klanten cloud applicaties, en internettoepassingen gebruiken is deze scheiding niet meer van toepassing. Het internet is je netwerk. Van antivirusprogramma s is inmiddels bekend dat deze steeds minder effectief worden. Op dit moment heb je een antivirusprogramma nog nodig, maar waarschijnlijk zullen deze programma s overbodig worden. Ze hebben simpelweg geen nut meer omdat criminelen ze steeds vaker gaan omzeilen. Als je accepteert dat er geen binnenkant en geen buitenkant van een netwerk meer is, dan zorgt dat ervoor dat je anders naar beveiliging moet kijken. Netwerken zullen in veel gevallen beter gesegmenteerd moeten worden en er zullen defense in depth maatregelen getroffen moeten worden om klanten beter te beschermen. c Als je accepteert dat het Internet je netwerk is en dat beveiliging omzeild kan worden, dan zul je maatregelen moeten treffen om inbrekers en andere kwaadwillenden snel te betrappen. Dit is overigens ook een van de maatregelen die de AVG vergt. Een datalek moet gemeld worden, daarvoor is detectie noodzakelijk. Ethisch hackers vinden elke dag nieuwe kwetsbaarheden in bestaande hard- en software. Dat betekent dat systemen die we vandaag relatief veilig achten, morgen kwetsbaar kunnen zijn. Hard- en softwareleveranciers doen hun best om patches en andere oplossingen uit te brengen. Ze lopen echter altijd een stap achter op kwaadwillende hackers. Tot de update uitgebracht wordt zijn systemen nou eenmaal kwetsbaar.

8 Curatief Mitigerend Preventief Wat kan Guardian360 betekenen in de transformatie? Binnen Guardian360 zien we informatiebeveiliging als proces, niet als product. Informatiebeveiliging is gewoon werk, het is iets dat iedereen in een organisatie continu doet. Denk aan het hanteren van sterke wachtwoorden, het opruimen van vertrouwelijke documenten en het locken van een computer. Om managers en bestuurders inzicht te bieden heeft Guardian360 dashboards in haar platform geïmplementeerd. Door middel van grafieken, tabellen en andere overzichten kunnen zij makkelijk inzicht krijgen in het risiconiveau, focussen op wat echt belangrijk is en met hun Managed Services Provider afstemmen over de beste oplossing. Guardian360 biedt een aantal diensten die invulling geven aan preventieve, mitigerende en curatieve maatregelen die de factoren proces, mens en techniek afdekken. cc Proces Mens Techniek Vulnerability scanning Webapplication security Compliancy module Phishing as a service Pentestabonnement Vulnerability scanning Webapplication security Compliancy module Hacker alert Hacker alert Hacker alert De vulnerability scanning en webapplication security van Guardian360 bieden inzicht in kwetsbaarheden in servers, netwerken en webapplicaties. Door deze inzichtelijk te maken, kunnen deze kwetsbaarheden verholpen worden voordat een kwaadwillende er misbruik van maakt. Mocht een kwaadwillende toch misbruik gemaakt hebben van een kwetsbaarheid, dan biedt het Guardian360 platform oplossingen om de kwetsbaarheid te verhelpen. Cyber risico verzekering Vulnerability scanning Webapplication security Cyber risico verzekering Cyber risico verzekering Vulnerability scanning Webapplication security

9 Door de compliancymodule in te zetten kan een klant met vertrouwen aan haar auditor laten zien dat zij in control is. Dat de procedures gevolgd worden zorgt ervoor dat er geen afwijkingen zijn van normeringen. Zijn die er wel (geweest), dan kan de organisatie makkelijk aantonen dat zij volgens de juiste procedure gehandeld heeft. Met het phishing as a service abonnement zorgt Guardian360 ervoor dat medewerkers doorlopend getoetst worden. Onze phishing s worden door Managed Services Providers gebruikt om te testen hoeveel medewerkers ontvankelijk zijn voor phishing. Daarna zetten zij acties uit om mensen bewust te maken en criminelen de pas af te snijden. Het pentestabonnement kan ingezet worden om technische tests te doen, maar ook door mistery guests in te zetten die gaan toetsen in hoeverre medewerkers zich laten misleiden door een persoon die iets vraagt of wil doen dat eigenlijk niet mag volgens de procedures. cc Met de hacker alert betrapt Guardian360 hackers snel, of dit nu komt doordat de processen niet gevolgd zijn, de mens een vergissing maakt of de techniek niet op orde is. De cyberrisicoverzekering denkt schade als gevolg van een datalek, inbraak of ander incident. Of dit nu komt doordat de processen niet gevolgd zijn, de mens een vergissing maakt of de techniek niet op orde is.

10 Word dan Guardian360 partner en ondersteun klanten door ze beter te beveiligen, beter te voldoen aan wetgeving, beter te voldoen aan normen en hackers snel te betrappen! Vraag vandaag nog het informatiepakket aan via c Guardian360 Schouwburgplein CL Rotterdam Postbus CR Rotterdam +31(0) Guardian360.nl info@guardian360.nl Guardian360