Het belang van een totaalbeeld van informatiebeveiliging

Zesdaagse opleiding informatiebeveiliging geeft integraal beeld én mooie praktijkcasussen.

Een interview met Huibert Bouthoorn, docent en IT-adviseur bij Zorgkenners. ‘Je krijgt een integraal beeld van informatiebeveiliging en alle aspecten die daarbij horen. De inhoud gaat van beleidsvorming tot innovatieve techniek én belicht de vele onderwerpen daartussen. De professional die deze 6-daagse opleiding volgt heeft aan het eind daarvan een inzicht in nagenoeg alle onderwerpen die relevant zijn voor het vak informatiebeveiliging,’ aldus Huibert.

‘Het grote voordeel van deze opleiding is dat de verschillende deelnemers elk vanuit hun eigen invalshoek naar de materie kijken. En juist omdat de één bijvoorbeeld meer beleidsmatig kijkt, waar de ander de materie meer vanuit een technische invalshoek onderzoekt, ontstaat er veel gespreksstof. De ervaring die wordt opgedaan tijdens deze interactie neemt men dan weer mee terug de eigen organisatie in.

We merken dat er, ook na afronding van de opleiding, vaak contact blijft tussen de cursisten. Er wordt informatie uitgewisseld en soms aan een blijvend netwerk gebouwd. Dat proberen de docenten, die stuk voor stuk ervaren zijn en veel praktijkcasussen inbrengen, ook tijdens de opleiding zelf al te stimuleren. Mensen die niet deelnemen aan deze opleiding missen een interactieve studie die de mogelijkheid geeft om van de trainer én elkaar te leren. Je houdt er je kennis en kunde mee op peil’, aldus Huibert.

Spanningsveld tussen digitalisering en informatie-uitwisseling

‘Het vak van security professionals is vandaag de dag ook een behoorlijk uitdagend vak. Men ervaart over het algemeen een spanningsveld tussen de in dit tijdperk noodzakelijke digitalisering en informatie-uitwisseling enerzijds en dit veilig en beheerst doen anderzijds’, vervolgt Huibert. ‘We zijn in de afgelopen periode uiteindelijk toch gedwongen om digitaal te gaan werken, ook de bedrijven die dit normaliter niet deden of zouden doen. En het geeft spanning om dat veilig te laten verlopen.

Hoe je dat doet? Dat doe je door alle lagen van informatiebeveiliging op orde te hebben binnen je bedrijf of organisatie. Dit betekent dat je de juiste maatregelen moet nemen voor zowel het werken thuis als op kantoor. Je zult beleid moeten definiëren over hoe er intern met informatiebeveiliging wordt omgegaan. Ook training is belangrijk. Want je kunt je processen nóg zo strak inregelen, als je je mensen en hun bewustzijn rondom dit onderwerp niet scherp houdt op dit vlak, dan blijf je kwetsbaar.’

Veel én veranderende wet- en regelgeving

‘Waar ook mee geworsteld wordt, is de enorme hoeveelheid wet- en regelgeving waaraan voldaan moet worden. Men mist een totaaloverzicht en dat geeft onrust omdat de betrokken professional daardoor twijfelt of hij op de hoogte is van álle informatie. Tel daar het steeds strakkere optreden van de Autoriteit Persoonsgegevens richting bedrijven die een datalek hebben bij op, en je begrijpt de onrust van deze security professional’, vertelt Huibert.

‘Tot slot heeft het vele thuiswerken, als gevolg van de coronacrisis, ook impact. Bijvoorbeeld op de uitdaging om medewerkers bewust te houden rondom de risico’s die ze lopen en het potentiële doelwit dat zij zelf zijn, maar ook rondom praktische zaken als onbeveiligde (privé) laptops en dito verbindingen. Het gevoel van grip is over de gehele linie toch wel afgenomen in de laatste periode.’

Hackers geprofessionaliseerd

‘En dan is er natuurlijk nog de uitdaging rondom het hacken van organisaties, een activiteit die niet alleen steeds meer voorkomt maar ook breed wordt uitgelicht in de media. Zeker het installeren van ransomware is een fenomeen dat veel voorbij komt’, vervolgt Huibert. ‘Er zijn een aantal redenen voor deze hacking- en ransomware-activiteiten. Ten eerste is het hacken van een bedrijf commercieel heel aantrekkelijk geworden. Waar dit vroeger vanuit een zolderkamertje gebeurde, voor de lol, is het tegenwoordig in toenemende mate steeds meer georganiseerd en geprofessionaliseerd. In onderzoeken worden over 2020 al getallen genoemd van 18 miljard euro dat aan losgeld voor ransomware is betaald. Het is dus een enorm lucratieve business om in te stappen. Naar verluid bedraagt het gemiddeld betaalde bedrag om een ransomware-aanval op te lossen zo’n slordige 300.000 euro’.

Informatiebeveiliging: Start bij de basis

‘En juist die winstgevendheid is een reden om te professionaliseren voor hackers. Omdat het de core activiteit van hackers is, is het moeilijk voor bedrijven om dit vanuit hun kant, waarbij het voorkomen van aanvallen juist geen kernactiviteit is, te beheersen. Binnen grote bedrijven zie je overigens wel degelijk dat de urgentie om dit probleem serieus aan te pakken gevoeld wordt. Bij de wat kleinere bedrijven ook wel, maar wordt deze materie vaak nog als complex ervaren. Terwijl je door het volgen van een paar basisregels al een stuk beter beschermd kan zijn. Zo behandel ik in de opleiding ook voorbeelden uit de praktijk zodat het onderwerp meer gaat leven bij de cursisten en men deze basisregels leert kennen. Al is het maar vanwege herkenbaarheid met mogelijke beveiligingslekken binnen de eigen organisatie en het hierop kunnen acteren.’

Nieuwe security- en technologische ontwikkelingen

‘Uiteraard zijn er ook steeds nieuwe ontwikkelingen op het gebied van security en technologie. Graag noem ik een aantal thema’s waar security professionals rekening mee zouden moeten houden’, aldus Huibert. ‘Zo is bijvoorbeeld het fenomeen MultiFactor Authenticatie een belangrijk topic. Alleen gebruikmaken van een username en wachtwoord is -voor vertrouwelijke informatie- echt te zwak anno nu.

Ook de beveiliging van de werkplekken thuis is een thema dat veel aandacht krijgt. Veel bedrijven vinden het nog een hele kluif om dit goed aan te pakken, zeker ook met de hackende community die geïnteresseerd meekijkt en zo mogelijk direct inspringt op beveiligingslekken bij medewerkers die vanuit huis werken.

Maar ook het snel ontdekken en oplossen van (potentiële) beveiligingslekken is belangrijk. Zo zie je bijvoorbeeld terug in de markt dat bedrijven zich richten op geautomatiseerd scannen op kwetsbaarheden in de infrastructuur en het automatisch updaten daarvan. In het verleden kon zo’n fout in de software veel langer bestaan, waardoor kwaadwillenden meer kans hadden om binnen te komen. Dat soort zwakke plekken oplossen gaat nu allemaal veel sneller en bovendien beter omdat je veel minder afhankelijk bent van menselijk handelen. Uiteindelijk blijft het een wedstrijd tussen de security professionals en hackers.’

‘De opleiding geeft echt een totaalbeeld van de aspecten van informatiebeveiliging’, besluit Huibert.

Meer te weten komen over informatiebeveiliging en het verbeteren ervan in uw eigen organisatie? Volg de zesdaagse praktijkcursus Opleiding Informatiebeveiliging. Speciaal ontwikkeld voor ambitieuze professionals die betrokken zijn bij informatiebeveiliging.