14 maart 2024
Security in de praktijk: voorkomen is beter én goedkoper dan repareren
In onze digitale wereld is security een steeds belangrijker onderdeel. Sterker nog: een goede beveiliging van data en systemen is een noodzaak voor bedrijven. Zeker ook gezien de aangescherpte wet- en regelgeving de afgelopen jaren op het gebied van bescherming persoonsgegevens. Onvoldoende security brengt allerlei risico's met zich mee als cybercrimes en datalekken. Niet voor niets ziet Esri cybersecurity als een fundamenteel onderdeel van de digitale bedrijfsvoering, zowel voor haarzelf als voor haar klanten. Vanuit deze verantwoordelijkheid en haar expertise biedt Esri haar klanten ondersteuning op het gebied van privacy en security ten aanzien van haar software.
Volgens Jeroen van Diesen, information security officer bij Esri, is cybercrime een groeiend probleem. "De impact ervan op organisaties kan enorm zijn. Denk aan privacygevoelige gegevens die op straat kunnen komen te liggen. Of aan reputatieschade voor bedrijven of overheden met grote maatschappelijke betekenis die hun beveiliging onvoldoende op orde blijken te hebben. Dat betekent niet alleen een hoop ellende, maar ook flinke kosten. Bijvoorbeeld door boetes van de Autoriteit Persoonsgegevens die er in het kader van de Algemene Verordening Gegevensbescherming (AVG) op toeziet dat organisaties data zorgvuldig en veilig opslaan. Maar ook: hoe later kwetsbaarheden binnen de IT-beveiliging worden ontdekt binnen de Software Development Life Cycle (SDLC) des te hoger de 'reparatiekosten' zijn."
Security goed in beeld
Zakelijke gegevens en privacygevoelige persoonsgegevens moeten dus op een goede en adequate manier worden beveiligd. Van Diesen: "Uiteraard om te zorgen dat onbevoegden en kwaadwillenden daar niet bij kunnen en om te voldoen aan de wettelijke eisen van de AVG en in 2024 aan de NIS2-wetgeving. Dat brengt uitdagingen en verantwoordelijkheden met zich mee voor je organisatie. Het is daarom verstandig om de security van je organisatie voortdurend goed in beeld te hebben, continu informatie daarover te verzamelen en te weten waar er mogelijke kwetsbaarheden zijn binnen de IT-architectuur. Om die kwetsbaarheden bloot te leggen bij een organisatie hebben we als Esri een quickscan technische checks en de privacy-security review ontwikkeld. Op basis hiervan kan de klant overwegen om aanpassingen in haar IT-architectuur of beheeropzet te maken. Wij kunnen hierbij vanuit Esri ondersteuning bieden."
Betrokkenheid medewerkers
Van Diesen vervolgt: "Specifiek voor de veiligheid van persoonsgegevens en het voldoen aan de wettelijke AVG-eisen hebben we de AVG-bundel ontworpen. Via deze totaaloplossing installeren we twee modules – GeoWeb Module Workflow en Access Control - en richten we deze in op basis van en in afstemming met privacy- en securitywensen van organisaties. Zo biedt de Workflow-module een duidelijk overzicht wat er met informatie gebeurt en kan per medewerker ingesteld worden wie welke informatie te zien krijgt. Via Access Control krijg je inzicht in welke medewerker/gebruiker welke informatie raadpleegt en wanneer en waarom dit gebeurt. Patrick Deelman, cloud engineer bij de afdeling Data Location Services bij Esri vult aan: "Een van de uitdagingen is het tegengaan van menselijke fouten en het betrokken maken en houden van medewerkers bij beveiligingsvraagstukken. Bestaande en zeker ook nieuwe medewerkers moeten bewust zijn van het nut en de noodzaak van security en elkaar erop aan durven spreken als wordt gesignaleerd dat wellicht iemand het niet zo nauw neemt met IT-beveiliging."
Aandachtspunten voor beveiliging
Het is volgens Van Diesen zaak om bij beveiliging te denken aan de hele lifecycle, dus van het ontwerp tot de beëindiging van het product of project. "Met een goed lifecycle management-plan weet je wanneer verouderde hard- en software toe is aan vervanging, voorkom je incidenten, verminder je de beveiligingsrisico's en is er minder uitval en storingen. Zorg ook altijd voor beveiligingsupdates. Die zijn essentieel. Daarnaast vraagt niet alleen de totale beveiliging aandacht. Ook bij een specifiek project is het belangrijk om IT-security een plek te geven. Daartoe hanteren we vanuit Esri het Project Architectuur Document, kortweg PAD. Via interactie met de opdrachtgever (klant) stellen we via PAD vast wat we samen gaan realiseren. Vanuit de principes 'security by default' en 'privacy by default' is het belangrijk om bij aanvang van het project in het PAD aandacht te schenken aan security en privacy, en daar de risico's te benoemen. Dan kun je er makkelijker op anticiperen en geldt bovendien ook hier het voorkomen is beter en goedkoper dan genezen-principe."
Toenemend belang
Deelman: "Kortom, als Esri zelf merken en erkennen we het toenemend belang van security. Dat moet ook. Het is mijn taak dat computers en servers achter de GIS-toepassingen goed en veilig blijven draaien. Niet alleen voor onszelf, maar ook voor onze klanten die gebruikmaken van onze diensten en technologie. Veelzeggend is wellicht dat we in 2012 bij de afdeling content 1 miljoen requests per maand hadden op het gebied van security. In 2023 zijn dat er 1 miljoen per kwartier. Dit om maar aan te geven hoe het beveiligingsverhaal is gegroeid. Met het ISO 27001-certificaat dat in ons bezit is, laten we zien dat het wel goed zit met onze informatiebeveiliging. We voldoen hiermee aan strenge internationale normen. Maar we gaan een stap verder, want ook de technologie die klanten gebruiken moet in orde zijn. Dat is een kwestie van continu goed samenwerken."
Nog wat security take-aways
- Werk aan privacy- en security-by-default
- Werk risicogebaseerd en maak aanpassingen
- Zorg voor een duidelijke architectuurplaat
- Zorg dat de security-paragraaf in het PAD niet leeg is
- Betrek je CISO
- Zorg voor een update-schema
- Voer penetratietesten uit en kijk waar de kwetsbaarheden zitten
- Laat je inspireren door 'best practices’ en pas ze zelf toe
- Stel gerichte vragen aan je leverancier(s). Let op de afstand tussen de CISO en jou als proceseigenaar!
- Hanteer een gedegen en up-to-date wachtwoordbeleid
- Blijf kalm en 'do IT'
Meer weten? Kijk op Privacy & Security | Esri Nederland