Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Maakt ICT het te moeilijk om security te begrijpen?

Dit artikel delen:

Computable Expert

Andre Salomons
ICT-directeur/cio. Expert van Computable voor de topics Cloud Computing en Loopbaan.

Die vraag kwam bij mij op toen ik mijn collega spreker gepassioneerd en met een enorme kennis over cybersecurity hoorde spreken op '15 Shapes of Finance'. Natuurlijk wist hij zijn publiek bestaande uit cfo’s en accountants enorm te boeien.

Maar voor jou en mij in de rol van softwaregebruiker is het misschien te moeilijk om te snappen wat ict'ers bedoelen als ze het over cybersecurity hebben. Dat zou de verklaring kunnen zijn waarom veel organisaties niet voortvarend genoeg cybersecurity oppakken, terwijl ze dit echt zouden moeten doen. Laten we daarom de uitleg eens dichter bij huis zoeken en laten we ons ict-jargon achterwege.

Cybersecurity dicht bij huis

Ik bedoel letterlijk dicht bij huis. Iedereen die een pc, laptop of tablet heeft, verkeert in de gelukkige omstandigheid dat hij of zij in een flat, appartement of huis woont. Cybersecurity is feitelijk niets anders dan het beveiligen van je waardevolle bezit dat zich in huis bevindt. Ieder woonverblijf heeft een deur, er bevinden zich waardevolle zaken in en je zou voor geen goud je waardevolle zaken kwijt willen.

We doen dus moeite om als een goede huisvader (juridische term) te voorkomen dat onbevoegden deze zaken meenemen. We beveiligen ons huis met één of meerdere sloten van matige tot zeer goede kwaliteit. Er bestaat het SKG-keurmerk met één tot drie sterren die aangeven wat de kwaliteit van een slot is, zodat je kunt zien hoe jij je huis beveiligd hebt. Als we ons huis verlaten, sluiten we het huis af en gaan met een gerust hart op pad. En soms vergeten we een bovenluikje te sluiten. Op dat moment geven we een dief de gelegenheid om bij ons in te breken!

Dat is simpel, dat weten we allemaal. Er zijn filmpjes, folders en de overheid waarschuwt ons.

Waarom is ICT zo moeilijk?

Ik ben ervan overtuigd dat als iedereen cybersecurity begrijpt, veel meer mensen hun computers tegen cybercrime zouden beveiligen. Laten we het daarom simpel houden en de vergelijking tussen de beveiliging van ons huis en beveiliging van onze hardware en de bestanden en folders maken.

Als we starten om informatie te verwerken, zetten we de voordeur open om informatie binnen te laten. Wij vertrouwen erop dat de informatie van een bekende gast komt. We hebben immers via onze beveiliging van de provider ingelogd en als we inloggen op een Office365, AWS, Google account enzovoort dan vertrouwen wij erop dat de provider alles aan zijn beveiliging heeft gedaan dat in zijn vermogen ligt. Hetzelfde vertrouwen hebben wij in een de politie waar een mol ruime tijd zijn gang kon gaan….

We laten de gast in onze pc of laptop (huis) en als de gast even elders moet zijn dan laten we deze zijn gang gaan. We hebben er geen zicht op als hij de kamer verlaat en of naar de gang, naar het toilet of naar de andere kamers gaat om rond te neuzen. In dit geval kan de kwaadwillende in jouw computer door alle kamers(folders) neuzen en met slimme software dingen vinden waarvan jij dacht dat ze goed verborgen en beveiligd waren. Dus als onze computergast malware meeneemt zonder dat wij een goede beveiliging hebben, kan deze malware zaken ernstig verstoren.

Onze juwelen en andere kostbaarheden hebben we niet zomaar in het huis rondslingeren. Die hebben we verborgen. In onze hardware zijn onze juwelen zoals bestanden, foto’s en andere zaken direct vindbaar door gebruik van allerlei malware.

Cybersecurity-termen

Ik heb een tabelletje gemaakt om termen uit het huis met cybersecurity-termen te vergelijken:

Huis term

Cybersecurity term

Voordeur

Backdoor

Een mogelijkheid om binnen te komen in hardware

Slot

Firewall

De beveiliging om derden de toegang te belemmeren

Kamer

Folder

Compartimentering van de informatie vergelijkbaar met kamers in een huis. Sommige kamers heb je voorzien van een slot, andere niet. De folders kun je bijvoorbeeld apart beveiligen of encrypten

Wijkteam

Security bij de provider

Rijdt er regelmatig politie rond, of hebben jullie een buurtwacht versus:

Staat de hardware van de provider als Microsoft, AWS, Google in streng bewaakte datacenters of staat jouw data bij de accountant op de server?

Keurmerk van sloten

Certificaten die door de provider zijn aangevraagd

Het SKG keurmerk voor sloten geeft de kwaliteit van de sloten aan. Dat zouden ze eigenlijk ook moeten doen om de security levels van provider s aan te geven ☺

ISAE3402, ISO 27001 en andere certificaten zijn het bewijs dat de security van die provider regelmatig wordt getoetst door derden.

Dievenklauwen, veiligheidssloten etc.

Anti virus software

Heb je het bovenluikje beveiligd zodat het niet verder open kan, dievenklauwen etc. versus de antivirussoftware die regelmatig bijgewerkt moet worden

Sleutel

Password, 2 way authentication, tokens, irisscan etc.

In jouw huis heb je hopelijk een slot met 3 sterren en een robuuste sleutel.

De sterkte van het wachtwoord bepaalt je beveiliging. Verander het regelmatig en maak er een wachtwoord van minimaal 10 tekens van , dat eenvoudig is te onthouden. Aanvulling met andere beveiliging zoals met tokens of 2way authentication wordt aanbevolen.

Vertrouwen

Trust

In het dagelijks leven herken je de mensen waar je mee omgaat. In de ICT is dat lastiger. Hoe weet je dat je sites kan vertrouwen?

Voor sites kun je letten op een certificaat dat door derden is uitgegeven en getoetst, het zogenaamde https staat dan voor de url in plaats van http.

Post

Email

Los van de geringe kans dat je een bombrief of poederbrief zou kunnen ontvangen, is de gewone post goed te vertrouwen. Met email moet je alles wat je niet kent in principe wantrouwen.

Ga in dat geval met je muis over het email adres van de verzender en kijk of jij het logisch vindt. Mail van kwaadwillenden heeft over het algemeen een zeer raar emailadres, dat je kunt zien in de url als je over het emailadres hovert. Gooi die mail direct weg.

Aanval door meerdere belagers

Ddos

Dit hebben buurtbewoners van een voetbalclub enkele jaren geleden meegemaakt toen hooligans hun huizen belaagden. Je kunt dan nergens heen en bent van anderen afhankelijk om je probleem op te lossen. Bij een ddos aanval wordt een website van allerlei kanten aangevallen en gaat dan plat, ook hier moeten derden het oplossen.

Sleutel onder de bloempot

Password onder het toetsenbord

Toevallig zag ik daarvan deze week weer een voorbeeld in een niet nader te noemen computer winkelketen. Collega was weg, de medewerker die mij hielp moest het wachtwoord hebben en keek onder het toetsenbord, las het password en logde in.

Bedrijven moeten hier professioneler zijn  en medewerkers een token of andere beveiliging geven.

Conclusies

De lijst kan nog veel langer zijn. Cybercrime wordt steeds omvangrijker en iedereen zou zich beter moeten beveiligen. Begrip en sense of urgency zijn de eerste stappen naar betere beveiliging. Ben je al een keer gehackt of hebben ze je in gijzeling genomen? Dan zal je echt wel iets aan cybersecurity gaan doen.

De kern van mijn betoog is dat ict dezelfde woorden gebruikt maar een andere taal spreekt dan degene waarvan zij terecht vinden dat die zich zouden moeten beveiligen. Neem de taak op je om cybersecurity simpel uit te leggen dan kan ook cybersecurity op een bredere adoptie rekenen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2016-06-28T13:57:00.000Z Andre Salomons


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.