“Als organisatie ben je nooit 100% veilig.” 

Cyber Security is hot. Om je klanten te garanderen dat financiële en persoonsgegevens veiliggesteld zijn, en om bijkomende reputatieschade te voorkomen, is het essentieel dat je organisatie zich kan verdedigen tegen cyberaanvallen. Onder developers en IT-architecten is Cybersecurity inmiddels een welbekend onderwerp bij het proces van product- en softwareontwikkeling. Maar de integratie van security in bestaande processen is misschien nog wel belangrijker. Sanne Kuijpers, Security DevOps specialist bij Capgemini: “Een volledig waterdichte organisatie is een utopie. Maar bouw security in vanuit de basis en je komt een heel eind.” 

Security is niet zichtbaar

Veel organisaties vinden security behoorlijk ingewikkeld. Kuijpers: “Organisaties weten vaak niet hoe veilig een applicatie is. Soms hebben ze een incident meegemaakt, soms hebben ze een penetration test laten doen om te zien waar de zwakheden zitten. Maar over het algemeen zien ze te laat dat de security niet up to date was. Men heeft vaak de illusie dat security iets heel ingewikkelds is. Daarbij komt: security zie je niet. Het is daarom makkelijk om achterwege te laten.”

Gevolgen van hacks zijn moeilijk te overzien. Een ransomware-aanval kan de doodsteek zijn voor bedrijven met privacygevoelige informatie. Ook malware, DDoS-aanvallen en steeds realistischere phishing e-mails kunnen catastrofale gevolgen hebben voor gebruikers, zowel voor het bedrijf zelf als voor diens klanten. Kuijpers: “Security kun je vanuit drie invalshoeken benaderen: beschikbaarheid, integriteit en vertrouwelijkheid (BIV). Een organisatie wil dat een applicatie beschikbaar blijft, dat de informatie klopt en dat de gegenereerde informatie vertrouwelijk blijft. Een retailer heeft bijvoorbeeld belang bij een applicatie die continu beschikbaar is want anders loopt hij omzet mis. Een bank wil dat de informatie altijd vertrouwelijk is. Zodra je het grootste risico voor een organisatie hebt vastgesteld, kun je beginnen met ‘risk based testen’. We werken dan eigenlijk van achteren naar voren. Wat wil je als bedrijf voorkomen? Vervolgens zorgen we dat de grootste gevaren dichtgetimmerd worden.”
 

DevOps

Kuijpers: “In de sprints van DevOps-teams zijn er verschillende momenten waarop security ingebouwd kan worden. Maar vaak vindt men dat wel ingewikkeld. Het lijkt daarom makkelijker om dit aspect te negeren, totdat het mis gaat. Dan loop je meteen achter de feiten aan. Alsof je eerst een huis bouwt en achteraf nog de riolering moet aanleggen. Waar wij op aansturen, is om security bij iedere stap te testen. Vraag jezelf aan het begin af wat je niet wilt dat er gebeurt in de werking van de software of applicatie. Bijvoorbeeld als deze gevoelige gegevens over en weer stuurt. Hoe neem je dit mee in je oplossing? Vervolgens gebruik je o.a. security tools om code review te doen. Aan het einde ga je nog handmatig en geautomatiseerd testen. Dan pas is je cirkel rond.”

Kan een organisatie volledige security garanderen? Kuijpers: “Je bent nooit 100% veilig. Maar als je de richtlijnen volgt, voorkom je de meest voorkomende kwetsbaarheden waarnaar hackers op zoek zijn. Hackers maken gebruik van die voor de hand liggende kwetsbaarheden om data buit te maken. Wij trainen mensen om volgens een framework te werken dat zegt; ‘als je deze stappen volgt, voorkom je het binnenkomen volgens de ingangen die in de top 10 staan van de meest voorkomende kwetsbaarheden (OWASP top10)’. Als een hacker aanvalt en de eerste paar stappen werken niet, heb je kans dat hij het na een paar uur zat is en de volgende probeert te hacken.”

People, Process, Technology

Je kunt organisaties het beste trainen vanuit drie aspecten: people, process en technology. Kuijpers: “Dat is de basis voor een optimale security. Allereerst people: het is van belang om bij iedere medewerker bewustwording te creëren. Teams krijgen vaak richtlijnen maar hebben geen idee waarom ze moeten doen wat ze doen. Leg ze daarom uit waar het voor is en hoe ze er mee om moeten gaan. Laat zien wat voor de development teams de toegevoegde waarde is. Op het gebied van process is een duidelijk protocol nodig voor als het misgaat. Wie is er verantwoordelijk om het op te lossen? Hoe zorgen we dat er zo snel mogelijk ingegrepen wordt? Wat doen we om de schade te beperken? Als laatste technology: hierbij zorgen we dat security een vast onderdeel wordt van de manier van werken. Dan hebben we het over die bewustwording bij werknemers, maar ook over tools die je standaard kunt opnemen in de geautomatiseerde CI/CD pipeline. Security kun je (helaas) nooit volledig automatiseren. Je hebt mensen nodig om te interpreteren of iets wel of geen dreiging is. Maar tools kunnen wel degelijk helpen om routinehandelingen te controleren en automatische processen veiliger te maken zonder grote impact op je time to market. Maak hiervan ook gebruik.” 

Welke trainingen kun je volgen?

Voor iedereen die werkzaam is in de IT-dienstverlening biedt Capgemini Academy meerdere Security trainingen aan. Maar ook projectmanagers, beheerders, administrators en engineers in de organisatie krijgen dagelijks te maken met security gerelateerde onderwerpen. De Cyber Security training , gegeven door Kuijpers, maakt deelnemers bewust van de ontwikkelingen, uitdagingen en behoeften rondom cybersecurity. Deelnemers krijgen inzicht in welke aspecten van cybersecurity relevant zijn voor hun afdeling. Na afloop heeft de deelnemer begrip van waarom, waar en wanneer securitymaatregelen genomen worden. Een andere training is Systems Security Certified Practitioner (SSCP); een security training die deelnemers inzicht biedt in wat te beschermen en wat proportionele acties zijn bij welke dreigingen. Onderwerpen als access controls, cryptography, malware en analyse en monitoring komen uitgebreid aan de orde.

Kuijpers: “Je weet nooit wie de aanvaller is. Het kan een jongetje van veertien zijn dat vanuit zijn zolderkamer kijkt wat hij allemaal kan in een omgeving. Het kan ook een terroristische organisatie zijn. Zorg dat je op beide voorbereid bent.”

Benieuwd hoe veilig jouw organisatie is en hoe je de security kunt verbeteren? Wij geven diverse trainingen op het gebied van Cyber Security. Neem direct contact met ons op!