Wat zijn beveiligingsmaatregelen?

Beveiligingsmaatregelen vormen de ruggengraat van elke robuuste beveiligingsstrategie. Het zijn de maatregelen die organisaties implementeren om hun assets — mensen, eigendommen of gegevens — te beschermen tegen talloze beveiligingsrisico’s en dreigingen. Deze maatregelen zijn zorgvuldig ontworpen om beveiligingsincidenten met fysieke eigendommen, informatie, computersystemen of andere waardevolle assets te voorkomen, te detecteren, tegen te gaan of de impact ervan te beperken. Door effectieve beveiligingsmaatregelen te begrijpen en te implementeren, kunnen organisaties een versterkte omgeving creëren die de veiligheid en integriteit van hun activiteiten waarborgt.

Bree Fowler, senior writer bij CNET, leidde tijdens de Bitwarden Open Source Security Summit 2024 een paneldiscussie met Schlomo Schapiro, principal engineer bij Tektit Consulting, en Bjoern Sjut, managing director voor productiviteit en IT bij Front Row. Het gesprek ging in op de huidige trends en uitdagingen rond beveiligingsweerbaarheid en acceptatie door medewerkers. Beide experts gaven aanbevelingen om de algehele beveiliging te verbeteren met strategische en doordachte beveiligingsmaatregelen.

Schapiro opende het gesprek door de dreiging van software-as-a-service-technologieën (SaaS) te benadrukken.

“De meeste bedrijven negeren of onderschatten de dreiging van hun huidige SaaS-landschap volledig,” zei Schapiro. “Ze stellen in feite blind vertrouwen in hun SaaS-leveranciers en geven de volledige regie over hun perimeter uit handen. Dat is een van de grootste fouten die bedrijven maken. Ze laten hun perimeter veranderen in een dun hek met veel gaten, gaten die hackers uiteindelijk kunnen misbruiken. Als sector moeten we de realiteit inhalen.”

Sjut benadrukte ook het belang van perimeters en merkte op dat de enorme verschuiving naar cloudapplicaties perimeters ondoorzichtiger heeft gemaakt. Zijn grootste zorg lag echter bij het feit dat mensen veel mobieler zijn. “Als we niet iedereen willen uitrusten met specifieke, toegewezen apparaten, moeten we omgaan met de uitdagingen van een bring your own device-omgeving (BYOD). In combinatie met deze cloudtools betekent dit dat we meer aanvalsvectoren hebben op de apparaten en via applicaties.”

Hoewel BYOD-apparaten beveiligingsrisico’s kunnen opleveren, kunnen organisaties hun verdediging versterken met tools zoals wachtwoordbeheerders. Bitwarden biedt toegang op meerdere platforms voor mobiele, browser- en desktopapplicaties en maakt zo een omgeving met onbeperkt wachtwoorden en apparaten mogelijk.

De meeste organisaties hebben met veel aspecten te maken bij het versterken van hun beveiliging. Om te voorkomen dat belangrijke zaken over het hoofd worden gezien, vindt Shapiro dat “bedrijven ervoor moeten zorgen dat elke applicatie die aan hun stack wordt toegevoegd, federatieve authenticatie gebruikt bij hun primaire identiteitsprovider. Een van de worstcasescenario’s is dat accounts of applicaties niet goed in kaart zijn gebracht en actief blijven nadat een medewerker de organisatie heeft verlaten.”

Sjut benadrukt dat beveiliging niet beperkt moet blijven tot “een enterprisefunctie. Als sector moeten we allemaal pleiten voor ingebouwde beveiliging, zodat we niet in een situatie terechtkomen waarin we gaten moeten dichten met allerlei verschillende maatregelen.”

Beveiligingsprofessionals moeten alle puzzelstukjes samenbrengen en bepalen wat voor hen het beste werkt. Maatregelen zijn essentieel om bedrijfsrisico’s te beperken en beveiliging effectief te waarborgen.

“We willen de juiste balans vinden tussen beveiliging en productiviteit. Ik denk dat veel bedrijven de fout maken een beveiligingsdoel op de agenda te zetten dat mensen belemmert productief te zijn. Daardoor worden ze op de lange termijn minder veilig, omdat medewerkers hun eigen schaduw-IT opbouwen die volledig buiten de kaders van de beveiligingsmaatregelen van het bedrijf valt. Volgens ons draait het om balans, in combinatie met een risicogebaseerde aanpak.” - Bjoern Sjut

Als organisaties willen dat hun beveiligingsafdelingen effectief zijn, moeten ze gebruikers omarmen en in staat stellen hun werk efficiënt te doen.

“Het is altijd belangrijk om als IT-afdeling benaderbaar te zijn. Je wilt een omgeving creëren waarin de weg van de minste weerstand voor de gebruiker je beveiliging niet omzeilt.” - Schlomo Schapiro

Medewerkers die relevante werkbestanden niet kunnen delen met klanten of teamleden, zullen eerder beveiligingsprotocollen omzeilen. De enige manier om je daartegen te beschermen, is ervoor zorgen dat “medewerkers zich ondersteund voelen in hun productiviteit. Het gaat echt om samenwerking en het vinden van de juiste balans tussen productiviteit en beveiliging (Sjut).”

Wachtwoordbeheerders kunnen gebruikers helpen de balans tussen beveiliging en productiviteit te vinden. Ze bieden een snelle en efficiënte manier om wachtwoorden te maken, te beheren en te beveiligen. Betrouwbare wachtwoordbeheerders zoals Bitwarden bevatten ook MFA-tools die gebruikers kunnen inzetten voor een extra beveiligingslaag, zoals de ingebouwde Bitwarden Authenticator of de zelfstandige Bitwarden Authenticator-app.

Mensen hebben van nature de neiging frictie te vermijden, ook frictie die wordt veroorzaakt door beveiligingsbeleid. Fowler vroeg Schapiro en Sjut hoe zij medewerkers het beste motiveren om te voorkomen dat ze aanbevolen beveiligingspraktijken omzeilen.

“Mijn persoonlijke aanbeveling is om je gebruikers te zien als citizen developers. Het is belangrijk om je medewerkers in staat te stellen gebruik te maken van de systemen die je aanbiedt. Het is belangrijk om benaderbaar te zijn, een helpende hand te bieden en gebruikersondersteuning voorop te zetten.” - Schlomo Schapiro

Sjut merkte op dat het in veel bedrijven lastig kan zijn voor gebruikers om te achterhalen hoe ze toegang moeten krijgen tot een tool die ze nodig hebben. Dit komt vooral voor bij middelgrote bedrijven, omdat het bedrijf groot genoeg kan zijn om het overzicht over alle beschikbare tools kwijt te raken, maar niet groot genoeg voor centraal toezicht vanuit de organisatie.

“Naar mijn mening beheren veel bedrijven hun IT verkeerd. Ze beheren die niet als verdediger van de status quo. Ze beheren die meer als een facilitaire beheereenheid om de boel draaiende te houden. Heel weinig IT-organisaties hebben als doel mensen productiever te maken.” - Bjoern Sjut

Schapiro benadrukte hoe belangrijk het is om controle te hebben over SaaS-perimeters en een solide plan te hebben voor het terughalen van back-ups, inclusief routinematige tests om ervoor te zorgen dat iedereen zijn rol begrijpt. Organisaties moeten zich richten op het beschermen en onderhouden van kritieke systemen om inbreuken te voorkomen en ervoor te zorgen dat ze functioneel en beveiligd blijven tegen mogelijke aanvallen.

Sjut zei dat veel bedrijven, naast back-ups, niet echt een robuust begrip hebben van identiteit, ook niet van mensen met wie ze samenwerken, zoals freelancers.

“De hoeveelheid persoonlijke Google-accounts die wordt gebruikt om Google Analytics-gegevens te beheren, is voor mij verbijsterend,” zei Sjut. “De meeste bedrijven moeten aan de slag met digitale identiteiten. Mijn algemene indruk is dat er zelden iemand is die zich verantwoordelijk voelt voor digitale identiteiten binnen de organisatie. Bedrijven moeten hun primaire identiteitsprovider begrijpen, hoe de identiteiten werken en of ze die onder controle hebben. Hoe meer mensen inloggen op cloudapplicaties vanaf een persoonlijk apparaat zonder dat de werkgever zicht heeft op die identiteit, hoe moeilijker het wordt om de schade te beperken.”

Beveiligingsmaatregelen kunnen grofweg worden onderverdeeld in drie hoofdtypen: fysieke, technische en administratieve maatregelen. Elk type speelt een centrale rol bij het creëren van een uitgebreid beveiligingskader. Door deze drie typen maatregelen te combineren, kunnen organisaties een gelaagde verdedigingsstrategie opzetten die verschillende beveiligingsaspecten afdekt.

• Fysieke maatregelen omvatten zaken als toegangscontrolesystemen, bewakingscamera’s en alarmsystemen.

• Technische maatregelen omvatten tools en technologieën zoals wachtwoordbeheerders, firewalls, intrusion-detectionsystemen en versleuteling.

• Administratieve maatregelen omvatten beleid, procedures en trainingsprogramma’s die zijn ontworpen om de algehele beveiligingshouding van een organisatie te beheren en aan te sturen.

Technische beveiligingsmaatregelen zijn cruciaal voor het beschermen van de digitale bedrijfsmiddelen van een organisatie, waaronder computersystemen, netwerken en gegevens. Deze maatregelen omvatten een reeks technologieën en werkwijzen die zijn ontworpen om cyberdreigingen te voorkomen, te detecteren en erop te reageren, waaronder versleuteling, firewalls, toegangscontroles, antivirus en malwaredetectie. Ze zijn onmisbaar voor bescherming tegen cyberdreigingen zoals hacking, malware en ransomware, en voor het waarborgen van de integriteit en vertrouwelijkheid van digitale bedrijfsmiddelen.

Wachtwoordbeheerders zoals Bitwarden bieden rapportages over wachtwoordgezondheid, blootgestelde of hergebruikte wachtwoorden, zwakke wachtwoorden, onbeveiligde websites, inactieve tweestapslogins en bekende datalekken.

Administratieve beveiligingsmaatregelen zijn maatregelen die zijn ontworpen om de beveiligingshouding van een organisatie te beheren en aan te sturen via beleid, procedures en training. Deze maatregelen zijn essentieel om het gedrag van medewerkers te sturen en naleving van beveiligingsnormen te waarborgen. Administratieve beveiligingsmaatregelen zijn cruciaal voor bescherming tegen interne dreigingen, social engineering en complianceproblemen, en voor een integrale aanpak van beveiligingsbeheer.

• Duidelijke richtlijnen voor beveiligingsbeleid en -procedures helpen medewerkers hun rollen en verantwoordelijkheden bij het handhaven van de beveiliging te begrijpen, zodat beveiligingsmaatregelen consistent worden toegepast.

• Medewerkers informeren over best practices op het gebied van beveiliging en mogelijke dreigingen helpt een beveiligingsbewuste cultuur te creëren en vermindert het risico op menselijke fouten.

• Incidentresponsplannen stellen organisaties in staat snel te reageren op beveiligingsincidenten, waardoor schade wordt beperkt en een gecoördineerde reactie wordt gewaarborgd.

• Voldoen aan compliance- en wettelijke vereisten, zoals HIPAA en PCI-DSS, zorgt ervoor dat organisaties hun wettelijke verplichtingen nakomen en gevoelige informatie beschermen.

• Het regelmatig identificeren en beperken van beveiligingsrisico’s helpt organisaties potentiële dreigingen te vermijden en een sterke beveiligingshouding te behouden.

Beveiligingsmaatregelen zijn onmisbaar voor organisaties om hun bedrijfsmiddelen te beschermen tegen een breed scala aan beveiligingsrisico’s en -dreigingen. Inzicht in de verschillende soorten beveiligingsmaatregelen — fysiek, technisch en administratief — en hun functies is cruciaal voor het ontwikkelen van een effectieve beveiligingsstrategie. Ook kan kennis van vaak over het hoofd geziene gebieden, zoals security-awareness-training en fysieke beveiligingsmaatregelen, organisaties helpen mogelijke kwetsbaarheden aan te pakken. Door een integrale aanpak te hanteren die een combinatie van deze maatregelen omvat, kunnen organisaties de vertrouwelijkheid, integriteit en beschikbaarheid van hun informatie en bedrijfsmiddelen waarborgen en zo hun algehele beveiligingsweerbaarheid vergroten.