Achtergrondartikel


600Minutes Cyber Security Strategies

'Ook ransomware moet je altijd melden’

Op 6 september vond in het Spant! in Bussum het evenement 600Minutes Cyber Security Strategies plaats. Bart Verhaar was namens SecurityVandaag aanwezig om verslag te doen van dit ‘discussiebal voor C-level management’.

Door Bart Verhaar

600Minutes Cyber Security Strategies heeft met een goed dagprogramma, interessante 1-op-1-gesprekken en rondetafelachtige settings zeker een ‘have-to-be-theregehalte’. Zo ook de 2016-editie.

Dagvoorzitter Bas Gaal, Director Information Security, Compliance and Governance van Océ Technologies, opende het evenement met een interessante kijk op het securitylandschap en deelde hoe security binnen Océ wordt beleefd. Met name het verschil in cultuur binnen een internationale organisatie als Océ, met een directieve ‘dagelijkse Japanse besturing’, wekte de interesse en aandacht van meerdere aanwezigen.

Als je het boek ‘Cultural and Organizations' van Geert Hofstede of zijn ‘Cultural Dimensions Theory’ ooit doorgenomen hebt, dan sluit dit naadloos aan op de beleving binnen een organisatie als Océ. Gaal gaf aan dat westerlingen veel bezig zijn met awareness en processen rondom security, waar in het Oosten alles wordt dichtgetimmerd met techniek.

Kamer van Koophandel
Vanuit de Japanse cultuur binnen Océ ging het stokje over naar een puur Nederlandse organisatie waar we veel over horen en veel van weten: de Kamer van Koophandel. Dit keer was Eric van Arragon, Security Officer bij de KvK, naar voren geschoven. Van Arragon presenteerde een inside-outverhaal over hoe hij vanuit zijn rol als security-officer bij de KvK een Identity en Access Management-project had aangepakt.

Met veel praktische tips en trics hielp hij veel aanwezigen aan het kapstok voor de toekomst om vanuit de business en vanuit businessprocessen een organisatiebreed en overkoepelend project als IAM aan te vliegen. De centrale boodschap was: techniek komt later, processing first. Met name de casuïstiek omtrent identity stores binnen de KvK biedt interessante verhaallijnen. De KvK heeft big-data-identiteiten en dat is vaak meer dan alleen big data! En al deze big-data-identiteiten zijn ‘kroonjuwelen’ waar cybercriminelen op uit zijn.

Actionable Network Intelligence
Een persoonlijk gesprek met de securityspecialisten van Infoblox over DNS gaf mij nieuwe inzichten en ideeën. Ja, het beveiligen van DNS is zeker een technisch ‘dingetje’. Maar hackers en protocollen raken de business zodanig dat het eigenlijk ook op het bordje van de IT-manager en zelfs de CIO hoort te liggen. Een ’zwakke’ DNS beveiliging is immers een makkelijke invalshoek voor hackers. Vaak zijn echter beveiligingsmaatregelen op het gebied van DNS, DHCP en IPAM onbekend, met name bij het C-level management.

Om de ‘board of directors’ tegemoet te komen, is er een nieuwe vakterm bedacht. We spreken tegenwoordig niet over DNS-beveiliging alleen, maar over Actionable Network Intelligence, oftewel ANI. En ANI is niet alleen innovatief, het is bijna ‘uitdagend’. ANI is als een politiehond. Het kan verdacht verkeer opsporen! Een ‘must have’ voor een security-aware organisatie.

Meldplicht datalekken
Het slotstuk was een toespraak van het Hoofd Toezicht Private Sector van Autoriteit Persoonsgegevens, Udo Oelen. De afgelopen maanden heb ik meer dan honderd definities van een datalek gehoord, en wat de Autoriteit Persoonsgegevens nu vindt van een datalek. Maar toch, nu kwam het weer eens uit de hoek van de Autoriteit zelf. Nu gaat het niet om de definitie maar meer om wat we ermee doen en de status van de meldplicht.

Bijzonder om te zien dat de meeste meldingen uit de sector gezondheidszorg en welzijn komen, en op nummer twee de financiële dienstverlening en ex aequo het openbaar bestuur. En anno 2016 is ransomware een hot topic dus ook hier zorgde ransomware voor traffic en rumoer bij de aanwezigen. De uitspraak ‘ook ransomware moet je altijd melden’ was als een rode lap op eens stier. Wel melden, niet melden… Ik ben benieuwd wat de securityprofessionals zelf als antwoord geven.

Beter voorkomen dan genezen
Als securityprofessional houd ik me graag bezig met het voorkomen van datalekken, en beroep me graag op de plicht om een datalek te melden bij de privacy of data privacy officers. Want wel of niet melden, het is voer voor juristen en advocaten, de legal experts en tegenwoordig legal security-experts als je het mij vraagt!

Mijn vraagt blijft: wat ga je doen als er zich een lek voordoet? En wat wordt er gedaan om een lek te voorkomen? Is de oplossing nu alleen ‘Actionable Network Intelligence’?


Lees meer over