Security = kans x impact
Security-risico’s inschatten is een kwestie van kans ten opzichte van impact. Het komt erop aan te ‘berekenen’ wat je zou verliezen als er iets gebeurt. Hoe kunnen bedrijven op basis daarvan beslissen welke maatregelen nodig zijn?
Cruciaal is dat alle beslissingen starten vanuit de business. De beste manier om tot een goede beslissing te komen is via een risico-analyse. Die start best bij de key stakeholders in het bedrijf (b.v. de Raad van Bestuur) die een missie inzake security definiëren en kijken naar de risicocultuur van het bedrijf. Op basis daarvan kan men doelstellingen definiëren en kan een analyse gemaakt worden van de risk gap tussen de situatie as-is en hoe het zou moeten zijn. Per risico kan men dan beslissen om ze te mitigeren door securitymaatregelen te nemen, te vermijden door b.v. een verzekering te nemen, of te aanvaarden. Het enige wat men niet mag doen is erkende risico’s negeren.
Jeroen Demets
Technical Expert
Tools vs mensen
Anno 2017 is duidelijk dat de klassieke security-drievuldigheid (firewall, antivirus, identity) niet meer voldoende is. Hoe kunnen bedrijven vandaag mee evolueren met de groeiende dreiging?
Met een firewall of antivirus alleen kom je er inderdaad niet meer. Bedrijven moeten vandaag echt een strategie opstellen over hoe ze zichzelf willen beveiligen en hoe ver ze hierin willen gaan. Een multilagenaanpak waarbij verschillende securitycomponenten samenwerken en waarbij naast hardware en software ook de nodige in-house training voor medewerkers wordt voorzien, is vandaag onontbeerlijk.
Benoit Claus
Accountmanager
De zwakste schakel in security blijkt inderdaad vaak de mens. Hoe kan je als IT-dienst je medewerkers bewustmaken van de gevaren en de juiste attitude rond security aanbrengen in het bedrijf?
Het creëren van een open communicatiecultuur is hierin cruciaal. Al te vaak immers wordt een cyberaanval te laat opgemerkt omdat niet op tijd werd gemeld dat er iets verdachts is gebeurd. Het is belangrijk dat collega’s durven zeggen dat ze iets potentieel gevaarlijks gedaan hebben, zoals klikken op een onbekende link. Als ze dit durven melden zonder vrees om ervoor gestraft te worden, kan een uitbreiding van malware misschien voorkomen worden.
Jeroen Demets
Technical Expert
Databeveiliging
De deadline voor het voldoen aan de nieuwe Europese privacyregelgeving GDPR nadert snel. Welke impact zal deze wetgeving hebben op bedrijven?
De nieuwe regelgeving is een uitdaging, maar kan ook een opportuniteit betekenen. Bedrijven zullen moeten in kaart brengen waar welke persoonsgegevens worden verzameld, waar ze zijn opgeslagen en wat ermee gedaan wordt. Dan is het een kwestie van deze gegevens correct te beschermen door het invoeren van de juiste technische maatregelen (zoals versleuteling, toegangscontrole,…). Nu men toch verplicht is om deze oefening te maken voor persoonsgegevens, is het een goed moment om dat breder te trekken en alle bedrijfsgegevens in kaart te brengen. Dit geeft een duidelijk en volledig beeld van alle data, waardoor men slimmer kan kiezen welke data waar moet opgeslagen worden, hoe lang die moet bewaard blijven, hoe lang back-ups moeten bijgehouden worden, enzovoort. Door alle bedrijfsgegevens op die manier in kaart te brengen, kunnen bedrijven efficiënter met opslag omgaan, en dat kan een mooie besparing opleveren.
Stijn Boussemaere
Product Manager & Information Security Officer
Een blik op de evoluties
Er zijn vandaag tal van security-oplossingen op de markt. Hoe kunnen bedrijven hier het bos door de bomen blijven zien?
Er is vandaag een overvloed aan security vendors, elk met hun veelheid aan producten en klemtonen. Voor bedrijven is het een haast onbegonnen opdracht om dat allemaal op te volgen en te weten te komen welke producten het best geschikt zijn voor de behoeften. Als IT-professional besteden wij veel aandacht aan het samenstellen van een harmonieuze verzameling van producten, zodat het budget evenredig kan verdeeld worden onder de verschillende onderwerpen binnen security die aandacht verdienen.
Stijn Boussemaere
Product Manager & Information Security Officer