Security verandert mee met IT-infrastructuur
Blog
Een voortdurend veranderend IT-landschap
Het IT-landschap is de laatste 10 jaar net zo veel veranderd als misschien wel de 50 jaar ervoor. Cloud, mobiliteit, het hybride werken; het heeft ervoor gezorgd dat we te maken hebben met een voortdurend veranderend IT-landschap. Als organisatie moet je ervoor zorgen dat het securitybeleid meebeweegt met deze veranderingen. Wees niet bang om hierbij zero trust te omarmen en nu eindelijk eens afscheid te nemen van het wachtwoord.
Vroeger was alles beter. Je had een kantoor of bedrijfspand, waar mensen een vaste pc of laptop hadden. Iedereen was verbonden via een bedrijfsnetwerk, dat aan het publieke internet vastzat. Om in de nodige rekenkracht te kunnen voorzien, had je een private datacenter met servers op je eigen locatie. Dit was een overzichtelijk technologische infrastructuur, die relatief eenvoudig was te beveiligen. Met de opkomst van mobiele devices en breedband draadloos internet, zagen we al een verschuiving optreden, weg van het traditionele kantoor. We konden onderweg ons werk doen, vooral ook omdat steeds meer applicaties cloud-based zijn. Verbinding met internet betekent toegang tot je bedrijfsapplicaties. Dat we zo massaal bezig waren om naar de cloud te migreren, was een geluk bij een ongeluk, toen COVID-19 opdook. Onderweg of thuiswerken was niet weggelegd voor de happy few, maar was noodzakelijk voor haast alle medewerkers.
Securitymaatregelen zijn steeds minder effectief
Natuurlijk was het werken op afstand opnieuw een impuls voor het Software as a Service model. Daarnaast zien we dat organisaties steeds vaker ook hun serverpark verhuizen naar de cloud, mede door de interessant klinkende proposities van hyperscalers zoals AWS, Google Cloud Platform of Microsoft Azure. Zo langzamerhand moet je concluderen dat een groot, en ook vaker essentieel, deel van de infrastructuur naar de cloud is gemigreerd. Dit heeft aanzienlijke gevolgen voor de inrichting van de cybersecurity. Het kantoor als werkplek wordt steeds minder relevant en de securitymaatregelen daar zijn dan ook steeds minder effectief. De transitie van vast kantoor naar een werkplek op afstand is erg snel gegaan, evenals de migratie naar de cloud. Het is dan ook de vraag of je als organisatie de tijd hebt gehad om securitybeleid en tooling in deze richting door te ontwikkelen.
Security is eigen verantwoordelijkheid
We kunnen in ieder geval stellen dat de traditionele manier van het beveiligen van je infrastructuur niet meer voldoet. Je hebt uiteraard nog altijd de bekende tools nodig, omdat je niet compleet afziet van een kantoor met werkplekken en Wifi. Je blijft de firewalls, DNS, endpoint bescherming, vulnerability tools en mobile device management nodig hebben. Maar je moet deze middelen op een andere manier gaan inzetten, wil je over gehele reikwijde van je infrastructuur inclusief cloud effectief en veilig zijn. Een firewall staat dus niet meer op kantoor, maar moet je situeren tussen de eindgebruiker en de cloud. Denk namelijk niet dat het werken met SaaS-applicaties altijd veilig is. De leverancier zorgt weliswaar voor veilige data en processen binnen de applicatie, maar de verbinding ernaartoe en het toegangsbeheer zijn je eigen verantwoordelijkheid als organisatie.
Zero trust
Een beveiligingsmethodiek die in opkomst is en die aansluit bij deze geschetste uitdaging noemen we zero trust. In feite vertrouwen we geen enkele gebruiker, verbinding of device dat zich op een netwerk of applicatie aanmeldt. Dit vereist een aanpak waarin we heel goed moeten definiëren wat de toegangsrechten zijn die horen bij een bepaalde gebruiker of een zeker device. Zo ontstaat een min of meer geautomatiseerd systeem, dat het toegangsbeheer beheert zonder dat de eindgebruiker er last van heeft. Wat je namelijk wil voorkomen, is dat medewerkers voortdurend worden beperkt in hun werkzaamheden wanneer zij te maken krijgen met securitymaatregelen.
Wachtwoordloos
En om het voor de gebruiker helemaal een stuk eenvoudiger te maken kun je overwegen om security wachtwoordloos te maken. Er zijn inmiddels voldoende volwassen alternatieven beschikbaar, zoals authenticatie-apps of biometrische tools. Daarmee ben je in één klap van de zwakste schakel af in de complete securityketen. Zero trust in combinatie met two-factor authenticatie en wachtwoordloos is daarmee een passend antwoord op de securityuitdagingen die horen bij het sterk veranderende IT-landschap.
Wil je graag meer informatie omtrent cybersecurity? Neem contact op met onze cybersecurity specialist Jeroen Hentschke via onderstaand formulier.