Kijken we naar de resultaten van de Work Security Index, dan zien we wat tegenstrijdige cijfers als het gaat om de impact van thuiswerken op security. Van de 255 senior beslissers die bevraagd zijn in Nederland, ziet 42 procent dat de kans op ernstige cyberrisico’s toeneemt, maar zijn negen van de tien respondenten ervan overtuigd dat de apparaten die gebruikt worden bestand zijn tegen geavanceerde cyberdreigingen. Dit terwijl 67 procent van de respondenten aangeeft thuis op persoonlijke apparaten te werken. Bij grote bedrijven met meer dan 250 medewerkers ligt dit percentage zelfs op 80 procent.

Dat zijn toch best typische – wellicht zelfs enigszins verontrustende – uitkomsten, waarbij er overigens wel een (klein) verschil in perceptie is tussen respondenten die ook voor de coronacrisis al thuiswerkten en zij die dit pas na de uitbraak van het coronavirus zijn gaan doen. De eerste groep kijkt er iets realistischer naar: 51 procent van hen ziet de kans op ernstige cyberrisico’s toenemen, waar dat slechts 37 procent is van de nieuwe thuiswerkers. Er lijkt dus wel een zekere mate van besef te zijn. Het zou dan natuurlijk wel handig zijn als er de nodige (extra) bewustwording zou komen in de vorm van trainingen en dergelijke, iets wat bij 63 procent van de respondenten niet is gebeurd, getuige de resultaten van het onderzoek.

Moderne security-oplossingen bewijzen hun waarde

Op zich is het niet kunnen inschatten van de eigen kwetsbaarheid niet nieuw natuurlijk. Dat is eigenlijk van alle tijden. Zolang je binnen de muren of firewalls van je eigen organisatie zit, is een dergelijke houding potentieel echter minder funest dan het geval is als je, zoals de afgelopen en komende maanden, vooral thuis werkt. Zoals we hierboven gezien hebben gebeurt dat ook veel op apparaten die niet door werkgevers beschikbaar gesteld zijn.

Het zal niemand verbazen dat Van de Burgt en Pool vanuit hun rollen bij CrowdStrike, een relatief nieuwe security-partij die haar platform in de cloud aanbiedt, pleiten voor het (deels) herzien van de security-strategie bij organisaties. “Alle technische beperkingen die horen bij oudere benaderingen, maken thuiswerken lastig,” geeft Pool aan. Hierbij verwijst hij onder andere expliciet naar VPN-lijnen die overbelast raken, omdat deze simpelweg niet gebouwd zijn op 100 procent van de werknemers buiten het kantoor. “Je hebt dan ook geen zichtbaarheid meer, waardoor veel werknemers gewoon op eigen apparaten gaan werken,” vult hij verder aan.

Een belangrijk onderdeel van thuiswerken veilig mogelijk maken is volgens Van de Burgt dan ook dat je “voorzichtig afscheid moet nemen van de perimeter.” De cloud als vertrekpunt van je security-strategie, biedt veel meer mogelijkheden. Getuige de groei die partijen zoals CrowdStrike doormaken de afgelopen maanden, lijkt dit ook bij de markt doorgedrongen te zijn in ieder geval. “Heel veel organisaties omarmden de cloud nog niet volledig, daar heeft de afgelopen periode een grote verandering in aangebracht,” geeft hij dan ook aan.

Technologie voor veilig thuiswerken is er

De grote veranderingen met betrekking tot cloud, in het geval van CrowdStrike security vanuit de cloud inrichten, geven aan dat de technologie op dit moment op een niveau is waarbij organisaties de overstap van perimeter naar cloud ook kunnen maken. “Als we twee jaar geleden deze crisis hadden gehad, hadden we een volledig ander verhaal gehad,” aldus Pool, om aan te geven dat er de afgelopen jaren veel vooruitgang is geboekt op het gebied van de technologie die beschikbaar is. Niet dat het twee jaar geleden pertinent niet mogelijk was geweest, maar het was wel een stuk moeilijker geweest. Zo is CrowdStrike in die tijd gestaag door blijven bouwen aan hun platformfilosofie, tussen 2017 en nu van 4 naar 16 mensen gegroeid in onze regio, en dus ook weer een stuk verder dan enkele jaren geleden.

Al met al zien de heren van CrowdStrike security als een belangrijke enabler voor thuiswerken. Hiermee wordt vooral bedoeld dat thuiswerken niet meer als iets lastigs of ingewikkelds gezien wordt als je de juiste security-strategie kiest, wat je met een perimeter-strategie nog wel hebt. Je moet dan immers allerlei zaken aan die perimeter zo inregelen dat men van buitenaf toegang heeft en er zal onherroepelijk minder zichtbaarheid zijn op datgene wat er zich buiten die perimeter afspeelt. Daarnaast los je met het goed inregelen van je security voor werken op afstand ook de nodige frustraties op bij werknemers. Denk aan frustraties die te maken hebben met VPN’s bijvoorbeeld, maar ook met security-updates.

Overigens willen Van de Burgt en Pool zeker niet zeggen dat er geen gelaagdheid meer moet zijn in security. Integendeel, je moet nooit afhankelijk zijn van een enkele beveiligingslaag, is de boodschap die ze duidelijk overbrengen. Dat betekent dus dat zaken zoals endpointbeveiliging, EDR, applicatiebeveiliging, gedragsmonitoring en netwerkdetectie en respons ook zeker onderdeel uit moeten blijven maken van je security-strategie. Waar de cloud vooral veel meerwaarde kan bieden, is in het op een veilige manier ontsluiten van de hele werkplek aan de werknemers, zonder daarbij hindernissen op te werpen die je bij een perimeter-strategie wel hebt.

Toekomstbestendig keuzes maken

Uiteindelijk draait het volgens Van de Burgt en Pool vooral om het maken van toekomstbestendige keuzes. “Het delivery model van de toekomst is niet on-prem,” geeft Van de Burgt aan, dus je kunt maar het best zo snel mogelijk na gaan denken over hoe je de cloud in gaat zetten voor je security. Ook als je op dit moment alles nog on-prem draait, vult hij hierbij aan. Je kunt maar beter goed voorbereid zijn op wat komen gaat, is de boodschap. Heel lastig is het in principe niet om de overstap naar cloud-gebaseerde security te maken, als we zo eens luisteren naar beide heren, al moet je omgeving natuurlijk wel een netwerkverbinding hebben. Het is primair een strategische keuze.

Kijken we tot slot nog even naar de aan het begin van dit artikel aangehaalde cijfers uit de Work Security Index, dan is het interessant om de vraag te stellen wat een dergelijke strategische keuze voor cloud-gebaseerde security hiervoor betekent? Het verandert de cijfers naar alle waarschijnlijkheid niet meteen in positieve (of negatieve) zin, aangezien we hier vooral met perceptie van doen hebben. De kans dat een medewerker een persoonlijk device plotseling als minder veilig zal gaan beschouwen, omdat er voor een andere security-strategie gekozen is, achten wij in ieder geval niet heel groot.

De winst zit zoals hierboven al aangehaald vooral in de toegenomen zichtbaarheid in wie er zoal met welke apparaten in de bedrijfsomgeving actief is en wat de risico’s hiervan zijn (mits de rest van je security ook op orde is uiteraard). Misschien zelfs wel zoveel zichtbaarheid dat het uiteindelijk ook gewoon niet meer uitmaakt of je op een persoonlijk of zakelijk apparaat de bedrijfsomgeving benadert, waarmee de Work Security Index zichzelf op dat punt overbodig gemaakt zou hebben. Of dat ook echt mogelijk is, valt te bezien, maar we blijven de ontwikkelingen in ieder geval volgen.

Copyright © 2020 IDG Communications, Inc.



Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here