Privacy/Security nieuws

Data in de cloud bij meerderheid bedrijven niet veilig

Ondanks het toenemende aantal cyberaanvallen waarbij gegevens worden buitgemaakt, versleutelt de overgrote meerderheid van de bedrijven niet alle gevoelige data die in de cloud worden opgeslagen. Terwijl in het afgelopen jaar maar liefst 44% van de Nederlandse bedrijven te maken heeft gehad met een datalek, lijken bijvoorbeeld klantgegevens min of meer voor het grijpen te liggen. Dat constateren onderzoekers van 451 Research in de Thales Global Cloud Security Study.

Het gebruik van opslag in de cloud is volgens de onderzoekers mede door de coronacrisis versneld toegenomen. Zij vroegen 2.600 zakelijke besluitvormers uit 16 landen, verantwoordelijk voor IT- en informatiebeveiliging, naar de stand van zaken op dit gebied.

Een meerderheid (57%) van de respondenten wereldwijd zegt gebruik te maken van twee of meer cloudproviders. Bijna een kwart (24%) zegt dat ze het overgrote deel van hun workloads en data in de cloud hebben ondergebracht. Dat betekent dat de cloud niet louter wordt gebruikt voor gegevensopslag, maar ook voor dataverwerking bij transacties en de ondersteuning van de dagelijkse bedrijfsvoering. Helaas is het met de beveiliging van die data en processen niet best gesteld.

Van alle bedrijven heeft 40% het afgelopen jaar te maken gehad met een datalek. In Nederland ging het zelfs om 44%. Als oplossing voor het beveiligen van data noemt 50% van de respondenten multi-factor authenticatie (MFA), waarbij voor toegang tot gegevens meer wordt gevraagd dan een gebruikersnaam en wachtwoord. Het onderzoek toont echter aan dat slechts 17% van de respondenten meer dan de helft van de data in de cloud werkelijk heeft versleuteld. Van de Nederlandse bedrijven is dit nog minder (14%). Dat terwijl voor 21% van de bedrijven geldt dat het merendeel van alle data die in de cloud worden opgeslagen, gevoelige data is.

Clouddiensten te ingewikkeld

Wanneer bedrijven hun data met encryptie beveiligen, laat 34% het beheer van de sleutels over aan dienstverleners in plaats van zelf de regie in handen te houden. Hoewel externe toegangspunten een risico kunnen vormen voor datalekken, geeft bijna de helft van de respondenten toe dat hun organisatie geen zero trust-strategie hanteert. Een kwart overweegt dit niet eens.

Een veel gegeven reden voor het uitbesteden van databeheer in de cloud is de toenemende complexiteit van clouddiensten. Bijna de helft (46%) van alle respondenten geeft aan dat het beheer van de privacy en gegevensbescherming in de cloud complexer is dan in omgevingen op locatie. Voor Nederlandse bedrijven geldt dat nog sterker (56%).

Betere beveiliging is noodzaak

Sebastien Cano, senior vice president Cloud Protection & Licensing Activities bij Thales: “Overal ter wereld worstelen organisaties met de groeiende complexiteit die gepaard gaat met het toenemende gebruik van cloudoplossingen. Een robuuste security-strategie is van essentieel belang om data en bedrijfsprocessen veilig te houden. Tegenwoordig is bijna elk bedrijf tot op zekere hoogte afhankelijk van de cloud. Daarom is het van cruciaal belang dat security-teams in staat zijn om alle data in kaart te brengen, te beschermen en er grip op te houden.”

© Customer Talk

Drie argumenten om vandaag nog met risicomanagement te beginnen

Ik hoor het nog steeds regelmatig: ‘Een risico-inventarisatie? Waarom moet dat? We implementeren gewoon de vereiste maatregelen en dan zijn we klaar, toch?’. 

Als informatiemanager heb ik geleerd altijd te zoeken naar de vraag achter de vraag. Welk probleem ga ik nou voor je oplossen als ik dit voor je organiseer en is dat ook het probleem waar je mee zit? Als ik kijk naar Informatiebeveiliging & Privacy is een risico-inventarisatie het zoeken naar de echte problemen.

Drie argumenten om vandaag nog te beginnen

Ik geef drie belangrijke argumenten waarom je vandaag nog met risicomanagement moet beginnen. 

1. Risicomanagement brengt focus aan

Zonder focus is Informatiebeveiliging & Privacy een gigantisch onderwerp. Als we de normen en wetgeving bekijken zijn er heel veel maatregelen waar je als organisatie mee aan de slag kan. Alles in één keer implementeren en vervolgens beheren kan je hele organisatie platleggen. Door te inventariseren waar je grootste risico’s zitten, kun je prioriteren en faseren. En dit is nodig, je beschikt namelijk niet over een oneindige capaciteit. Start met de grootste risico’s en eventueel laaghangend fruit (bijvoorbeeld risico’s waarvoor de maatregelen al zo goed als gereed zijn). Daarnaast kun je na een risico-inventarisatie en een goed gedefinieerde risk-appetite ook de keuze maken om op bepaalde risico’s helemaal geen actie te ondernemen. 

2. Risicomanagement maakt Informatiebeveiliging & Privacy herkenbaar

Het insteken van Informatiebeveiliging & Privacy vanuit maatregelperspectief mist de aansluiting op (een groot deel van) de werkvloer. De werkvloer heeft nog geen gevoel welk probleem het op gaat lossen. Een risico-gebaseerde aanpak gaat juist uit van de dagelijkse praktijk en de realistische, concrete zorgen van de medewerkers. Door aan te sluiten op hun beleving wordt het een onderwerp waar medewerkers niet alleen iets mee moeten, maar waar ze vooral ook iets mee willen. Daarnaast zorgt betrokkenheid bij het risicomanagement vanuit de werkvloer op eenvoudige wijze voor verhoogde bewustwording op dit onderwerp. 

3. Risicomanagement houdt je scherp

De wereld verandert, de risico’s waar je als organisatie mee te maken hebt/krijgt ook. Door structureel aandacht te hebben voor risicomanagement wordt en blijft duidelijk waarom je niet ‘klaar’ bent met Informatiebeveiliging & Privacy. Je hebt een managementsysteem nodig om mee te bewegen met de wereld en te zorgen dat de maatregelen die je treft aansluiten op de risico’s die je wil mitigeren.

Het begint met een eerste stap

Tenslotte geef ik nog graag de tip mee om ook dit niet groter te maken dan past bij je organisatie.  Met een kleine inspanning kan je al heel veel inzicht verkrijgen. Zo helpen wij vanuit M&I/Partners regelmatig klanten met een eerste stap door een aantal workshops te organiseren. Hiermee brengen we in een aantal dagdelen snel de hoogste risico’s in kaart en kan de organisatie zelf aan de slag om het vervolg in lijn met de uitkomsten op te pakken.

© Binnenlands Bestuur

Endpointbeveiliging: detectie is niet genoeg, preventie is essentieel

Door de steeds grotere impact van cyberaanvallen, met name ransomware, is cybersecurity terecht aan de orde van de dag. Waar het jarenlang door management als bijzaak of ‘een IT-ding’ werd beschouwd, maken de gevolgen van een ransomware-aanval de hele organisatie bewust van het belang van sterke beveiligingsmaatregelen. Maar juist omdat security momenteel zo’n sterke focus is, laten bedrijven zich vaak teveel leiden door markttrends – ten koste van hun daadwerkelijke beveiligingsniveau.

Een van de technologieën die meer dan ooit in opkomst is, is EDR – Endpoint Detection and Response. Maar wat is het, waarom is het belangrijk – en waarom is het niet de heilige graal waar organisaties deze technologie momenteel voor aanzien?

Wat is EDR?

Lees hier verder. © Dutch IT Channel

Wat is tweestapsverificatie?

Door het instellen van tweestapsverificatie voeg je een extra beveiligingslaag toe aan je whatsapp, e-mailaccount of internetaccount waar je gebruik van maakt. Er zijn verschillende vormen van tweestapsverificatie, ook wel security key, dubbele beveiliging of authenticatie genoemd. Een daarvan is een toegangscode die naar een vertrouwd apparaat van jou wordt gestuurd om in te kunnen loggen. Hackers hebben dan aan je gebruikersnaam en wachtwoord alleen niet meer genoeg om toegang tot je account te krijgen. 

Wil je weten hoe je dat moet doen? Hoe stel ik tweestapsverificatie in op mijn whatsapp?

E-mailproviders, internetdiensten en sociale media die deze tweestapsverificatie aanbieden
Een toegangscode kun je instellen bij de volgende diensten:

Lees hier verder. © Vellig Internetten

Google lijkt te zijn begonnen met verplichting van tweetrapsauthenticatie

Google lijkt te zijn begonnen met het verplicht stellen van tweetrapsauthenticatie voor sommige gebruikers. Het bedrijf zei vorige maand al 2fa voor iedereen standaard in te schakelen en lijkt dat nu te gaan doen.

Volgens AndroidPolice zijn er verschillende gebruikers op Reddit die inmiddels aangeven dat Google tweetrapsverificatie heeft aangezet bij gebruikers die dat niet hadden. Het lijkt te gaan om gebruikers die 2fa in het verleden ooit uit hebben gezet of eerder hebben aangegeven dat niet te willen, om uiteenlopende redenen. Het bedrijf heeft gebruikers eerder al gewaarschuwd via e-mail dat 2fa automatisch zou worden ingeschakeld.

Gebruikers die worden overgezet moeten een van hun apparaten opgeven om 2fa in te schakelen. Op dat apparaat komt dan een prompt binnen waarmee ze kunnen bevestigen dat ze inloggen. Google verwijst daarnaast naar alternatieven zoals sms of een totp-app zoals Google Authenticator.

Google liet vorige maand al weten dat het voor het einde van het jaar tweetrapsverificatie zou instellen voor 150 miljoen accounts. Dat zijn accounts van gebruikers die relatief makkelijk naar 2fa over te zetten zijn, omdat ze bijvoorbeeld al een herstelmogelijkheid hebben ingesteld voor als gebruikers hun telefoon kwijtraken.

Lees hier verder. © Tweakers.net

© MeT-Groep