VOOR PROFESSIONALS IN INFORMATIEVOORZIENING EN -BEVEILIGING
MAGAZINE
Nr. 01 – voorjaar 2014
Visie op Risk Management
Risicomanagement raakt ieder
aspect van de organisatie
> P. 6
Motiv Cloud- en datacentersecuritydiensten
Maximaal profiteren van de
voordelen van cloudcomputing
> P. 18
Piet Woudt van
de gemeente Houten
'mSafe is onze Houtense cloud'
> P. 26
EN VERDER
Motiv biedt snelle en veilige
bestandsuitwisseling met mSafe
Direct
Security als een kwaliteitsattribuut van software
> P. 12
Bas Lierens van Reviva
'Beveiliging werkt
voor ons als een
marketinginstrument'
MAGAZINE
Nr. 01 - voorjaar 2014
Coverbeeld: Bas Lierens van Reviva, geportretteerd door Ruud Jonkers Fotografie.
Motivator Magazine
is een uitgave van
Motiv ICT Security
VOORWOORD
IN DIT NUMMER
6Visie:
Risicomanagement raakt ieder
aspect van de organisatie
12Bas Lierens van Reviva:
‘Beveiliging werkt voor ons als
een marketinginstrument’
18Motiv Cloud- en datacentersecuritydiensten:
Maximaal profiteren van de voordelen van cloudcomputing
26Piet Woudt van de gemeente Houten:
‘mSafe is onze Houtense cloud’
46Visie:
‘Beschouw security als een
kwaliteitsattribuut van software’
EN VERDER
4
Motiv Nieuws:
Risico’s van onveilig gebruik van Wifi-netwerken
5 Motiv Nieuws: De 'kill chain' in zeven fasen
11 Column: Kop in het zand
16 F5 laat applicaties optimaal profiteren van SDN
20 Breng data bewust naar de cloud
24 Arthur van Uden van Check Point: 'De markt is
rijp voor Software-Defined Protection'
30 Motiv Nieuws: Motiv biedt snelle en veilige
bestandsuitwisseling met mSafe Direct
32 Carl Leonard van Websense: 'Middelen genoeg om
een geavanceerde aanval te onderscheppen'
34 Sander Bierens van Credit Europe Bank:
'Beveiliging moet toegevoegde waarde leveren'
36 Controle over persoonlijke gegevens
met Qiy Scheme
38
40
43
44
48
50
Maarten Louman van Qiy:
'We moeten het vertrouwen herstellen'
Ramon Driessen en Renzo Zitman van
Dinkgreve Solutions: 'We zijn van een Fiat Panda
naar een Jaguar gegaan'
Column: Kan ik mijn cloudprovider vertrouwen?
SVP Art Gilliland van HP Enterprise Security:
'Bescherm alleen de belangrijkste zaken'
Impressie opening nieuwe kantoor Motiv
Motiv Nieuws: Motiv vergroot gebruiksgemak
'Sterke Authenticatie' met nieuwe portals
Sommige risico’s zijn
gewoonweg niet voorzien
Het beheersen van cyberrisico’s is een lastige klus. En toch moet
dit gebeuren. Tot 7 april had niemand rekening gehouden met de
‘Heartbleed’-kwetsbaarheid in OpenSSL. Dankzij Heartbleed bleek
een bijzonder groot percentage van de servers op internet ineens
kwetsbaar voor afluisteren. In zo’n geval is een snelle en grondige
incident/response essentieel. Maar risico’s voorkomen en verminderen
is nog altijd beter dan corrigeren. In deze Motivator een uitgebreide
beschouwing rondom risicomanagement in relatie tot cyberaanvallen.
Helaas blijkt het beheren van de genoemde risico’s geen exacte wetenschap. Het model van het Amerikaanse National Institute of Standards
and Technology (NIST) biedt u een interessant model voor het
beheersen van risico’s.
Verder een uitgebreide update rondom de Motiv-propositie Cloud- en
datacenter-securitydiensten. En uitgebreid aandacht voor de ICTomgeving van Reviva Groep – e-commerce-expert met een fullserviceconcept van shop-to-drop inclusief unieke fraudepreventie – die
continu door Motiv wordt beschermd tegen aanvallen vanuit internet.
Verder casussen rondom het voorkomen van datalekken bij de Credit
Europe Bank, veilige bestandsuitwisseling bij de gemeente Houten
en de visie van Dinkgreve op het creëren van high-traffic, highperformance en vooral ook veilige applicaties.
Motiv heeft meer dan vijftien jaar expertise op het gebied van de beveiliging van netwerken, data en applicaties. Dankzij de ervaring op deze
drie gebieden heeft Motiv een oplossing voor veilige apps gebouwd.
De nieuwe SecureApp-proxy van Motiv biedt de mogelijkheid om snel
en veilig apps voor smartphones te ontwikkelen die een beveiligde
verbinding hebben met de bestaande databases in uw datacenter. Op deze manier kunt
u profiteren van de toegevoegde waarde van
smartphones en tablets met de zekerheid
van gedegen bescherming tegen misbruik.
Voor nu wens ik u veel leesplezier en ik
hoop dat dit magazine u kan inspireren om
te werken aan een weloverwogen, risicogebaseerde aanpak voor ICT Security.
Bastiaan Bakker, Directeur Business
Development bij Motiv
3 H E A D L I N E s D y n a m i s c h e v e i l i g h e i d v o o r e e n d y n a m i s c h e IT - o m g e v i n g • R i s i c o ' s v a n o n v e i l i g g e b r u i k v a n w i f i - n e t w e r k e n
motiv nieuws
motiv nieuws
Dynamische veiligheid voor een dynamische
IT-omgeving
De ‘kill chain’ in
zeven fasen
Enterprise IT-netwerken ontwikkelen zich
van eenvoudige en statische systemen naar
dynamische infrastructuren die zich uitbreiden tot private en publieke clouds, mobiele
gebruikers en flexibele werkplekken.
Het is essentieel om te weten dat aanvallers
gebruikmaken van geavanceerde technieken
om verdedigingen te omzeilen tijdens welke
fase dan ook. Besef ook dat hoe verder een
aanval gevorderd is in deze levenscyclus, des
te groter het risico op datadiefstal is.
Hoe groter de complexiteit van deze netwerken,
hoe geraffineerder het aantal en soort bedreigingen waar uw netwerk mee te maken krijgt.
Werden er eerst beveiligingsproducten geïnstalleerd voor elk nieuw toegangspunt, binnen de
moderne IT-omgeving is dit veel te complex en
biedt het niet langer de juiste bescherming tegen
nieuwe bedreigingen.
Daarom heeft Check Point Software-Defined
Protection (SDP) ontwikkeld. SDP is een modulair, flexibel en veilig ontwerp effectief tegen huidige en toekomstige dreigingen. Het systeem
bestaat uit een beveiligingsarchitectuur met drie
afzonderlijke lagen om je IT-omgeving van de
beste bescherming te voorzien.
afspraken en -documenten., en visualisatie;
voor een actueel overzicht van de beveiligingsstatus van het bedrijf.
De eerste laag is een handhavingslaag waar
het verkeer het netwerk binnengaat, wordt gescreend en van het juiste beveiligingsprofiel
wordt voorzien. De tweede laag zorgt voor de
juiste controle. Deze controlelaag maakt per type
gebruiker, data en device een apart beveiligingsbeleid aan. Het biedt bescherming bovenop de
grote hoeveelheid informatie die wordt verkregen uit veilige bronnen, om zowel bekende als
nieuwe bedreigingen het hoofd te bieden.
Tot slot richt de beheerlaag zich op drie onderdelen; modulatie; om de beveiliging zo flexibel
mogelijk en naar eigen voorkeur in te richten,
automatisering; om de integratie met systemen
van derden mogelijk te maken voor agenda-
Check Point Software Technologies presenteert Summer Security Event.
De zomer nadert en als strategische partner van
Check Point Software Technologies kijken wij
uit naar het jaarlijks Summer Security Event van
Check Point. Dat zal plaatsvinden op 19 juni in De
Fabrique in Utrecht. Check Point zal dan onder
andere verder toelichten wat Software-Defined
Protection (SDP) kan betekenen binnen uw
IT-omgeving.
Reserveer 19 juni alvast in uw agenda.
meer inf o rmatie :
w w w. mo t i v. n l
Risico's van onveilig gebruik van Wifi-netwerken
In eerdere publicaties van het NCSC zijn adviezen
te vinden voor het verstandig internetten op
mobiele apparaten en via draadloze netwerken.
Speciaal voor tablets en smartphones heeft het
NCSC een beveiligingsadvies in de factsheet Veilig
gebruik van smartphones en tablets opgesteld.
4 H E A D L I N E s D e ‘ k i l l c h a i n ’ i n z e v e n fa s e n • N at i o n a a l R e s p o n s N e t w e r k va n s ta r t
agenda afspraken en documenten. Dit brengt
beveiligingsrisico's met zich mee.
Factsheet veilig gebruik van smartphones
en tablets
In de factsheet op www.ncsc.nl leest u wat belangrijke beveiligingsrisico’s zijn van het gebruik
van een smartphone en/of tablet en hoe u op
een verstandige manier met deze beveiligingsrisico’s om kunt gaan en mogelijke schade kan
voorkomen of beperken.
Naast bellen en sms’en kan men met een smartphone of tablet internetten, e-mailen en applicaties (zogenaamde apps) downloaden en gebruiken. Smartphones en tablets zijn populair en
worden gebruikt voor zowel privé- als zakelijke
doeleinden. Hierdoor kunnen deze apparaten
toegang bieden tot vertrouwelijke of persoonlijke data. Veel apps verwerken vertrouwelijke
en/of persoonlijke informatie. Deze apps kunnen uw informatie vrijgeven aan derde partijen.
Denk hierbij aan uw contacten, locatie, e-mails,
Motiv adviseert organisaties deze factsheets
zeker als informatiebron te beschouwen. Tevens
ontvangt Motiv dagelijks vraagstukken hoe om
te gaan met Wifi-netwerken. We hebben gekozen
voor een interactieve beantwoording van deze
vragen. Op 3 juli zal Motiv in samenwerking met
de gemeente Houten een interactieve middagsessie verzorgen voor diverse gemeenten. Indien
u geïnteresseerd bent in enige vorm van deelname, dan kunt u met ons contact opnemen.
MM 01 | voorjaar 2014
B innen k o rt meer o p :
w w w. mo t i v. n l
Het Threat Report 2014 van Websense licht het
bedreigingenlandschap toe met behulp van dit
zevenstappenmodel. Het helpt u:
• inzicht te krijgen in de levenscyclus van een
aanval, de huidige organisatie en technieken
achter cyberaanvallen en de motivatie van aan vallers. Dit is de basis voor inzicht in de risico’s
en het herzien van uw beveiligingsstatus;
• diepgaand inzicht te krijgen in elke fase van de
levenscyclus van aanvallen. Ze leveren essen tiële aanwijzingen op, zodat u begrijpt hoe
cybercriminelen hun aanvallen uitvoeren, ze aan passen en geleidelijk en voortdurend proberen
dichter bij uw kritische data te komen;
• te erkennen dat langdurige bescherming tegen
nieuwe bedreigingen – van de eenvoudigste
tot de meest complexe – draait om het herken nen en voorkomen van live aanvallen tijdens
alle zeven fasen. Zo onderbreekt u effectief de
aanvalsorganisatie van een crimineel voor zowel
huidige als toekomstige pogingen om uw data
te stelen.
Websense maakte dit rapport met data die de
onderzoekers verzamelden met de Websense
ThreatSeeker® Intelligence Cloud - een wereldwijd
netwerk dat klanten, partners en meer dan
900 miljoen endpoints samenbrengt. Samen
bieden ze inzicht in drie tot vijf miljard
aanvragen per dag, via Windows-, Mac-, Linuxen mobiele systemen.
meer inf o rmatie :
w w w . w e b s e n s e . c o m / 2 0 1 4 T h r e at R e p o r t
Nationaal Respons Netwerk van start
Met de oprichting van het Nationaal Respons
Netwerk (NRN) is de digitale weerbaarheid van
Nederland weer vergroot. De Belastingdienst,
SURFnet, Defensie CERT (DefCERT), de Informatiebeveiligingsdienst voor gemeenten (IBD) en
het NCSC hebben zich als eerste partijen aan
het NRN gecommitteerd. Dat betekent dat er
bij toekomstige grootschalige cybersecurity-incidenten snel en effectief kan worden gereageerd
door kennis en capaciteiten van de verschillende
publiek en private partners te bundelen. Het NRN
zal de komende periode worden uitgebreid met
andere publieke en private partners.
Cyberincidenten zijn lastig te voorspellen. Onze
samenleving en economie zijn kwetsbaar door de
toenemende afhankelijkheid van ICT. De vraag is
dan ook niet of, maar wanneer het volgende grote
incident zich aandient. Cyberincidenten los je niet
alleen op. Om adequaat te reageren en de schade te beperken, is het essentieel dat overheid en
bedrijfsleven elkaar goed weten te vinden. Pas als
len het Nationaal Cyber Security Centrum en ICTresponsorganisaties uit publieke en private sectoren hun ervaring, kennis en capaciteit op het
gebied van Incident Respons. Door gezamenlijke
werkafspraken te maken, informatie te delen en te
investeren in opleidingen, oefeningen, stages en
productontwikkeling, bouwen ze aan een krachtig
netwerk dat er staat als het onverhoopt mis gaat.
deze partijen goed op elkaar zijn ingespeeld en
samen de handen uit de mouwen steken, kunnen
zij Nederland digitaal weerbaarder maken. Juist
omdat online veiligheid in Nederland geen zaak
is van één partij is het van belang dat overheid en
bedrijfsleven slim samenwerken om van Nederland de meest open en veilige online samenleving te maken.
Het Nationaal Respons Netwerk is een actiegericht
netwerk van organisaties die geloven in het belang
van deze samenwerking en die hierin willen investeren. In het Nationaal Respons Netwerk bunde-
Het NCSC vervult hierbij de rol van coalitievormer
en facilitator van de samenwerking tussen de verschillende organisaties in het netwerk. Binnen het
NRN worden organisaties op die manier gestimuleerd om kennis en ervaringen met elkaar te delen
om zo ook de eigen responscapaciteiten te verbeteren. Het NRN richt zich daarbij zowel op het
organiseren van bestaande responscapaciteit als het
stimuleren van nieuwe sectorale responscapaciteit.
M eer inf o rmatie o v er het
N ati o naal R esp o ns N et w er k :
w w w. n c s c . n l
5 H E A D L I N E R i s icom a n a g ement r a a k t ieder a s pect v a n de or g a ni s a tie
R ISK M ANAGE M ENT | C O M PONENTEN | F R A M E W O R K | V ISIE | M OTI V
R ISK M ANAGE M ENT | C O M PONENTEN | F R A M E W O R K | V ISIE | M OTI V
Visie o p R is k M ana g ement
door Bastiaan Schoonhoven,
marketing manager bij Motiv
Risicomanagement
raakt ieder aspect
van de organisatie
Zoals banken tijdens een ‘stresstest’
moeten aantonen dat ze een massale
bankrun kunnen opvangen' moeten
bijvoorbeeld CEO’s of CIO’s kunnen
aantonen dat het bedrijf bestand is
tegen de toenemende druk die wordt
uitgeoefend door cybercriminelen. Het
risico dat gerichte cyberaanvallen de
bedrijfscontinuïteit in gevaar brengen'
moet tot een minimum worden beperkt.
Van de geaccepteerde risico’s moeten de
gevolgen duidelijk zijn voor als het toch
misgaat. Pas dan ben je 'in control’.
Helaas is het beheren van de genoemde
risico’s geen exacte wetenschap.
Bedrijven lijken de crisis achter zich te hebben
gelaten en zijn weer bereid om te investeren in
ICT Security. Het gemiddelde budget voor informatiebeveiliging steeg in 2013 wereldwijd met
maar liefst 51 procent, van 2,8 miljoen dollar in
2012 naar 4,3 miljoen dollar in 2013, zo blijkt uit
‘The Global State of Information Security Survey
2014’1 van adviesbureau PwC. Europa wist zich
als enige regio in negatieve zin te onttrekken aan
deze wereldwijde tendens (zie kader).
Ook met het vertrouwen in de getroffen beveiligingsmaatregelen lijkt het wel goed te zitten. Van
de bijna tienduizend directeuren, presidenten en
‘C-level executives’ die in de periode van 1 februari 2013 tot 1 april 2013 via e-mail werden ondervraagd, gaf maar liefst 74 procent aan het volste
vertrouwen te hebben in de effectiviteit van de
eigen security-activiteiten. Onder Chief Executive
Officers (CEO’s) ligt dat percentage zelfs op 84
procent.
Maar kosten cybercrime
stijgen...
Volgens het onderzoek van PwC hebben de
cybercriminelen echter meer reden tot enthousiasme. Het aantal gedetecteerde securityincidenten steeg in 2013 met 25 procent naar
een gemiddeld aantal van 3741. Deze stijging
kan nog positief worden uitgelegd.
“Het aantal incidenten neemt niet alleen toe omdat er meer dreigingen zijn, maar ook omdat bedrijven hebben geïnvesteerd in nieuwe technologieën om die dreigingen beter te detecteren”,
zo stelt ‘PwC Principal’ Mark Lobel in het onderzoeksrapport. “In dat opzicht moet de toename
van het aantal gedetecteerde security-incidenten
als iets positiefs worden gezien.”
PwC constateerde echter niet alleen een toename van het aantal gedetecteerde incidenten;
ook de gemiddelde kosten per incident stegen
en wel met achttien procent. Ook concludeert
het adviesbedrijf dat ‘veel bedrijven nog geen
technologieën hebben geïmplementeerd om
inzicht te krijgen in het ecosysteem van kwetsbaarheden en dreigingen, belangrijke assets te
identificeren en beschermen en dreigingen te
evalueren binnen de context van de eigen zakelijke doelstellingen’. “Simpel gezegd: slechts weinig organisaties slagen erin om de escalerende
risico’s van vandaag de dag bij te houden en nog
minder organisaties zijn klaar voor het beheer
van toekomstige dreigingen.”
De ‘bad guys’ zijn aan de winnende hand, en
misschien wel door een bepaalde mate van zelfoverschatting aan de kant van de bedrijven die
worden aangevallen. >
Europa blijft achter
Bedrijven wereldwijd tasten flink in
de buidel voor het verbeteren van de
informatiebeveiliging, zo blijkt uit de
‘The Global State of Information Security
Survey 2014’ van PwC. De budgetten
voor ICT Security stegen in 2013 met
maar liefst 51 procent (ten opzichte van
2012). Eén regio weet zich echter aan
deze tendens te onttrekken: Europa. De
investeringen in informatiebeveiliging
daalden hier zelfs met drie procent.
46 procent van de bijna tienduizend
ondervraagden gaf aan binnen een
jaar een stijging te verwachten van de
investeringen in security.
Ook blijft ‘het continent achterlopen
met de implementatie van cruciale
beveiligingsmaatregelen’, zo stelt het
adviesbureau. PwC geeft als voorbeelden
van ‘cruciale beveiligingsmaatregelen’
back-up en recovery en security
awareness-trainingen. Europa scoort
ook relatief laag als het gaat om
samenwerking en de aanwezigheid van
een mobile security-policy.
Waar wereldwijd het aantal gedetecteerde
incidenten ten opzichte van 2012 steeg
met 25 procent, daalde dit aantal in
Europa met 22 procent. De financiële
schade die werd geleden als gevolg
security-incidenten steeg met 28
procent, waarmee Europa op dit punt
bovengemiddeld scoort.
1 | http://www.pwc.com/gx/en/consulting-services/information-security-survey/index.jhtml#
6 MM 01 | voorjaar 2014
7 H E A D L I N E R i s icom a n a g ement r a a k t ieder a s pect v a n de or g a ni s a tie
R ISK M ANAGE M ENT | C O M PONENTEN | F R A M E W O R K | V ISIE | M OTI V
R ISK M ANAGE M ENT | C O M PONENTEN | F R A M E W O R K | V ISIE | M OTI V
Visie o p R is k M ana g ement
1 |Frame risk, oftewel het omschrijven van
de ‘kaders’ waarbinnen risico’s worden af gehandeld. Binnen dit component wordt
omschreven hoe de organisatie als geheel
omgaat met de risico’s die de bedrijfs voering in gevaar brengen, zowel gelet
op investeringen als op operationele be slissingen. Het ‘framen’ van de risico’s wordt
gezien als het fundament voor risico management en het slechten van de
obstakels die risicogebaseerde beslissingen
binnen de organisatie in de weg kunnen
staan.
2 | Assess risk, oftewel het inschatten van
de risico’s binnen de context van het ‘risk
frame’ van de organisatie. Doel hier is om
een beeld te krijgen van onder andere de
dreigingen voor de onderneming, de kwets baarheden in kaart te brengen alsmede de
dreigingen die van de onderneming zelf
uitgaan richting andere organisaties. Ook
wordt inzichtelijk gemaakt wat de schade is
die de organisatie oploopt als een dreiging
erin slaagt om een kwetsbaarheid te mis bruiken en hoe waarschijnlijk het is dat de organisatie schade ondervindt.
3 |Respond to risk. Doel hier is om te komen
tot een consistente en organisatiebrede aan
pak van risico’s die in overeenstemming is
met het gestelde ‘frame’. Om deze stap te
ondersteunen, moet een organisatie de
mogelijke reacties omschrijven (zoals het
accepteren, mitigeren of het overdragen
van risico’s) alsmede de tools, technieken
en methodieken die per type reactie wor den ingezet.
4 |Monitor risk, onder andere om te kunnen
vaststellen of geplande maatregelen zijn
geïmplementeerd en het gewenste effect
hebben en om te kunnen bepalen of
veranderingen binnen de organisatie van
invloed zijn op de genomen maatregelen.
Zo kan een gewaagde marketingcampagne
of de aankondiging van een ontslagronde al
invloed hebben op het risicoprofiel en aan leiding vormen voor een bijstelling van de
maatregelen. Maar ook wijzigingen op het
gebied van bijvoorbeeld wet- en regel geving kunnen de aanleiding zijn om de
genomen maatregelen te herzien.
Risk Management
Dat klinkt echter eenvoudiger dan het is. “Het
beheer van informatiebeveiligingsrisico’s is – net
zoals risicomanagement in het algemeen – geen
exacte wetenschap”, zo stelt het Amerikaanse
National Institute of Standards and Technology
(NIST) dan ook treffend in zijn ‘Special Publication’
over ‘Managing Information Security Risk’2.
8 ASSESS
INFORMATION AND
COMMUNICATIONS FLOWS
< Process volgens het NIST.
INFORMATION AND
COMMUNICATIONS FLOWS
FRAME
MONITOR
In de ‘Guide for Applying the Risk Management
Framework to Federal Information Systems’3
doet het NIST hier nog een schepje bovenop.
“Het beheer van aan informatiesystemen gerelateerde beveiligingsrisico’s is een complexe en
veelzijdige onderneming die de betrokkenheid
van de volledige organisatie vereist. (…) Risicomanagement kan worden gezien als een holistische activiteit die is geïntegreerd in ieder aspect
van de organisatie.” Gelukkig bieden organisaties
zoals het NIST en de International Organization
for Standardization (ISO) wel handreikingen en
raamwerken voor het inrichten van een proces
voor risicomanagement (zie kader hierboven).
MM 01 | voorjaar 2014
2 |http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf
3 |http://csrc.nist.gov/publications/nistpubs/800-37-rev1/
sp800-37-rev1-final.pdf
Dit ‘stappenplan’ komt in grote lijnen overeen
met het ‘Risk management framework’ zoals dat
uiteen wordt gezet in ISO 310004. Deze norm –
RESPOND
waarop geen certificering mogelijk is – biedt
primair een raamwerk voor risicomanagement.
Dit raamwerk biedt het kader dat ervoor moet
zorgen dat risicomanagementprocessen zijn ingebed in de algehele managementstructuur en
de besluitvormingsprocessen van een organisatie. Deze processen moeten worden aangestuurd
'Risicomanagement kan worden gezien
als een holistische activiteit die
is geïntegreerd in ieder aspect
van de organisatie'
vanuit een duidelijke visie op de functie van
risicomanagement voor de organisatie en vanuit
een duidelijk beleid met betrekking tot risicomanagement.
worden aangepakt en de betrokkenen de risico’s
begrijpen en indien nodig accepteren. Risicomanagement pas later in de lifecycle toepassen
leidt tot hogere kosten, zo waarschuwt het NIST.
Risk Management Framework
Om de hierboven beschreven risicomanagementprocessen te integreren binnen de organisatie staat het NIST een meerlaagse benadering
voor die de risico’s adresseert op organisatieniveau, bedrijfsprocesniveau en op het niveau
van de informatiesystemen. Op het hoogste
niveau – het organisatieniveau dat nauw verbonden is met het ‘framen’ van risico’s – worden
een bedrijfsbrede governance-structuur en een
risicomanagementstrategie uitgerold die op de
lagere niveaus verder worden uitgewerkt. Daarnaast adviseert het NIST om risicomanagement al
vroeg in de lifecycle van een informatiesysteem
op te pakken, zodat risico’s op een continue basis
Met het ‘Risk Management Framework’ biedt het
NIST naar eigen zeggen ‘een gedisciplineerd en
gestructureerd proces voor het integreren van
informatiebeveiliging en risicomanagement in
de development lifecycle van een systeem’. Het
framework omschrijft daarvoor zes stappen (zie
ook het kader op pagina 10).
Conclusie
Vrijwel alle organisaties zijn voor de bedrijfsvoering afhankelijk van informatie- en ITsystemen. Door risico’s te ‘framen’, in kaart te
brengen, te monitoren en erop te reageren krijgen organisaties de controle over de risico’s die
de bedrijfsvoering in gevaar kunnen brengen.
Dat komt zeker van pas als compliance moet
worden aangetoond ten opzichte van normen
zoals ISO 27002 en NEN 7510.
Daarmee is het nog niet gezegd dat een organisatie met een adequaat risicomanagementproces ook daadwerkelijk ‘stressbestendig’ is op
het moment dat georganiseerde cybercriminelen besluiten om gericht de aanval te openen.
Want dan pas blijkt of de genomen maatregelen
afdoende waren en of de kosten van een incident juist waren ingeschat. En dan pas blijkt dat
niet alleen het inrichten van een risicomanagementproces een lastig karwei is, maar dat ook het
bepalen van het ‘cyberrisico’ een lastige rekensom is. >
Bij het stappenplan en de eerder aangehaalde
componenten waaruit een risicomanagementproces bestaat, moet volgens het NIST wel een
belangrijke kanttekening worden geplaatst.
“Hoewel het aantrekkelijk is om risicomanagement hiërarchisch aan te pakken, is de
realiteit van dynamische projecten en organi-
principles
framework
a|creates value
b|integral part of
organizational process
c|part of decision making
d|explicitly addresses
uncertainly
e|systematic, structured
and timely
f|based on the best available information
g|tailored
h|takes human and cultural factors into account
i|transparant and inclusive
j|dynamic, iterative and
responsive to change
K|facilitates continual
improvement and enhancement of the organization
mandate and
commitment
design of
framework for
managing risk
continual improvement of the
framework
implementing
risk management
monitoring and
review of the
framework
process
establishing the context
risk assessment
risk identification
risk analysis
risk evaluation
monitoring and review
Risicomanagement
complex proces
Risicomanagement heeft nauwe raakvlakken
met – en is soms ook een voorwaarde binnen
– compliance-vraagstukken. Om de continuïteit van de bedrijfsprocessen te waarborgen,
is het noodzakelijk dat automatisering voldoet
aan intern en extern opgelegde richtlijnen. Dit
geldt ook voor beheer en beveiliging. Denk aan
normen zoals ISO 27002 en NEN 7510. Risicomanagement is het toetsen van het geheel van
processen en risico’s ten aanzien van de normen.
De impact of kans behorende bij risico’s kunnen
worden verminderd, verplaatst, overgedragen of
geaccepteerd.
Componenten risicomanagement
Volgens het NIST zijn binnen een risicomanagementproces vier stappen te onderscheiden:
saties vaak veel complexer.” Onder andere de
‘managementstijl’ binnen een organisatie kan de
hiërarchie al doorbreken. “De organisatie moet
een consistente en effectieve benadering hebben
van risicomanagement wil risicomanagement
binnen alle lagen van de organisatie aanslaan.”
communication and consultation
> De schijnbare tegenstelling tussen het overwegende enthousiasme onder de ondervraagden
enerzijds en de stijgende kosten van securityincidenten anderzijds maakt in ieder geval één
ding duidelijk: in de praktijk ontbreekt vaak een
helder beeld van het eigen risicoprofiel. Wat
zijn de interne en externe dreigingen voor de
bedrijfscontinuïteit, wat is de impact van een
incident en welke maatregelen horen daarbij?
En zijn de getroffen maatregelen (nog steeds)
afdoende? En welke risico’s ben ik bereid om te
accepteren? Vragen die cruciaal zijn binnen een
risicomanagementproces en nu klaarblijkelijk
onvoldoende worden gesteld, of niet afdoende
worden beantwoord.
risk treatment
De principes, het framework en het proces voor risicomanagement zoals vastgelegd in ISO 31000:2009.
4 | http://www.iso.org/iso/home/standards/iso31000.htm
9 H E A D L I N E R i s icom a n a g ement r a a k t ieder a s pect v a n de or g a ni s a tie
H E A D L I N E Kop in het z a nd
'Door risico’s te 'framen' in kaart
'
te brengen te monitoren en erop
'
te reageren krijgen organisaties de
controle over de risico’s'
Risk Management Framework
Het framework omschrijft zes stappen:
Stap 1 | Categoriseer het informatiesysteem
en de informatie die wordt verwerkt, opgeslagen en verstuurd door het systeem op basis
van een impactanalyse.
Stap 2 | Selecteer op basis van de categorisering een set basis security-controls voor het
informatiesysteem, en breidt deze ‘baseline’ op
basis van een risk-assessment en interne eisen
verder uit.
Stap 3 | Implementeer de security-controls
en beschrijf hoe de controls zijn uitgerold.
Stap 4 | Beoordeel of de controls op de juiste
manier zijn geïmplementeerd, naar verwachting werken en het juiste resultaat opleveren.
Stap 5 | Ken de juiste autorisaties toe op basis van de vastgestelde risico’s.
Stap 6 | Monitor de security-controls en kijk
daarbij onder andere naar de effectiviteit van
de controls en veranderingen in de documentatie van het systeem of in de omgeving, voer
impactanalyses uit op de veranderingen en
rapporteer de ‘gezondheid’ van het systeem
aan de aangewezen ‘officials’.
architecture description
ORGANIZATIONAL INPUTS
process
overview
repeat as necessary
STAP 6
Monitor
STAP 5
autorisEER
Starting point
STAP 1
CATEGORISEER
RISK MANAGEMENT
FRAMEWORK
STAP 4
Beoordeel
Het Risk Management Framework van het NIST
10 MM 01 | voorjaar 2014
STAP 2
Selecteer
STAP 3
Implementeer
E - m a i l - , w e b - e n d a t a s e c u r i t y | APT ’ s | W e b s e n s e
R ISK M ANAGE M ENT | C O M PONENTEN | F R A M E W O R K | V ISIE | M OTI V
c o l u mn J o ash H erbrin k , S E mana g er B enel u x , C entral E u r o pe & N o rdics bij Websense
Berekenen cyberrisico
Honderd procent veilig bestaat niet. Voor
ieder geïdentificeerd risico moet worden
bepaald wat het ‘gepaste’ niveau van
beveiliging is waarna er een geaccepteerd
risico overblijft. Maar hoe weet je nu
zeker dat je voor de juiste risicodekking
hebt gekozen, zodat je na een incident niet
alsnog voor een (financiële) verrassing komt
te staan? Die zekerheid krijg je alleen als je
een nauwkeurige inschatting weet te maken
van de hoogte van het ‘cyberrisico’.
In risicomanagementmethodieken staat
het risico gelijk aan de impact van een
event (de schade) vermenigvuldigd met
de waarschijnlijkheid dat een event zich
voordoet. Dit is voor IT geen eenvoudige
rekensom. Het voorspellen van de schade is
aan de hand van richtlijnen – bijvoorbeeld
van het NIST – nog wel redelijk te doen.
Daarbij helpt het als er een actueel beeld
is van de netwerktopologie zodat duidelijk
is waar de ‘assets’ zich bevinden. Lastiger
is het bepalen van de waarschijnlijkheid
van een aanval. Daarvoor moet
worden gekeken naar de potentiële
dreigingen, de zwakheden van alle
systemen in het netwerk en de getroffen
beveiligingsmaatregelen. Alle mogelijke
combinaties van deze factoren moeten tegen
de netwerktopologie worden aangehouden.
Modellen en simulatietools kunnen helpen
bij een nauwkeurige bepaling van de
waarschijnlijkheid een aanval, zoals die ook
worden gebruikt voor het voorspellen van
het weer of het trainen van piloten. In de
context van cybersecurity kan een model
helpen bij het verkrijgen van een duidelijk
beeld van de ‘cybersecurity-situatie’. Een
dergelijk model brengt alle informatie
over bijvoorbeeld de netwerkarchitectuur,
de kwetsbaarheden en de dreigingen
samen. Een volgende stap is het grafisch
presenteren van de gegevens zodat er
een ‘beeld’ ontstaat van de cybersecuritysituatie.
door Joash Herbrink, SE manager Benelux,
Central Europe & Nordics bij Websense
Kop in het zand
Begin dit jaar kwam de Amerikaanse winkelketen Target
pijnlijk in het nieuws. Criminelen waren erin geslaagd
om de gegevens van 40 miljoen credit- en debetcards en de
persoonsgegevens van 70 miljoen klanten te ontvreemden.
chain’ te doorbreken, is een nieuwe manier van beveiliging nodig die
de traditionele aanpak uitbreidt met zaken als ‘inline sandboxing’,
malware-isolatie en educatie van de eindgebruikers over bijvoorbeeld
de gevaren van phishing.
De stappen die de dieven namen om aan de creditcardgegevens te
komen, leest als het perfecte draaiboek voor een Advanced Persistent Threat (APT). Met gestolen inloggegevens slaagden de hackers
erin om toegang te krijgen tot een systeem binnen in het interne
Target-netwerk. Vanaf dit punt wisten de hackers vervolgens de
kassasystemen te infecteren met ‘memory scraping’-malware waarna
de gekopieerde gegevens met een Windows-domain account werden
verstuurd naar een centrale opslagplaats binnen in het netwerk van
Target. Vanaf daar werden de data via een FTP-verbinding verstuurd
naar een externe server.
Nog belangrijker is misschien wel het inzien van het gevaar van
APT’s zodat de tekenen van een APT ook op waarde worden geschat. Hoewel APT’s momenteel nog met name zijn gericht op grote
(financiële) organisaties moeten alle organisaties met waardevolle
data zich ervan bewust zijn dat ze een potentieel doelwit vormen.
En als de ‘grote jongens’ succesvoller worden in het afslaan van
APT’s zullen de aanvallers automatisch hun vizier gaan richten op
de ‘middle men’.
Een belangrijk kenmerk van een APT is dat de aanvaller gebruikmaakt van verschillende aanvalsmiddelen, waaronder malware,
phishing en Trojans. Het doelwit van deze gereedschappen is vaak
een zero-day exploit waarvoor nog geen bescherming beschikbaar
is, of zelfs kwetsbaarheden die nog niet bekend zijn. Op die manier
kan de aanvaller ongestoord zijn werk doen. Een ander belangrijk
kenmerk van een APT is dat de aanvaller altijd uit is op waardevolle
data, en er veel geld en tijd voor over heeft om bij die data te komen.
Door dit ‘persistente karakter’ en het gebruik van aanvalstechnieken die onder
de radar blijven van inbraakdetectie- en
-preventiesystemen, is het lastig om een
APT tijdig te ontdekken en onschadelijk
te maken. Organisaties die vertrouwen op
losse security-oplossingen die zijn gericht
op slechts enkele onderdelen uit het stappenplan van de aanvaller (de ‘kill chain’)
gaan daar zeker niet in slagen. Om de ‘kill
De tijd van de kop in het zand steken is definitief voorbij. Tot dat
inzicht moet ook Target zijn gekomen. Een half jaar voordat de criminelen toesloegen, had Target nog een 1,6 miljoen dollar kostend
detectiesysteem geïnstalleerd. Enkele weken na het bekend worden van de diefstal lekte echter uit dat het securityteam van
Target in Minneapolis meerdere waarschuwingen van het detectiesysteem in de wind had geslagen. En zelfs toen collega’s in
Bangalore – die verantwoordelijk waren voor de monitoring –
melding maakten van ongeregeldheden bleef het stil in Minneapolis.
Met als trieste resultaat dat de kosten van de inbraak op 1 februari
van dit jaar al waren opgelopen tot 61 miljoen dollar.
Alle organisaties met waardevolle data
zijn een potentieel doelwit
11 H E A D L I N E B eveili g in g wer k t voor on s a l s een m a r k etin g in s trument
Fotografie: Ruud Jonkers
Als ‘e-commerce integrator’ heeft Reviva een zware
verantwoordelijkheid op het gebied van beveiliging.
Reviva handelt namens haar klanten e-commerce-orders
af met vertrouwelijke gegevens en bijbehorende goederen.
“In onze dienstverlening is optimale veiligheid een must
en in de manier waarop we die bieden werkt het als
een marketinginstrument naar onze klanten”, zegt Bas
Lierens, Manager IT & Process Management bij Reviva.
'Beveiliging
werkt voor ons als
een marketinginstrument'
12 MM 01 | voorjaar 2014
C LOUD - EN DATA C ENTE R SE C U R ITY | DAS H BOA R DING | R E V I V A
C LOUD - EN DATA C ENTE R SE a C U R ITY | DAS H BOA R DING | R E V I V A
inter v ie w B as L ierens , M ana g er I T & P r o cess M ana g ement bij R e v i v a
Reviva startte in 1995 als ‘Belmobiel’, een bedrijf
met naar eigen zeggen als belangrijkste doel
‘het via een postordercatalogussysteem verkopen van mobiele telefoons en bijbehorende
abonnementen aan consumenten en bedrijven’.
In 1999, ten tijde van de opmars van het internet
en de bijbehorende webwinkels, werd de catalogus online gezet. “Toen ontstond eigenlijk de
eerste website die niet alleen iets verkocht, maar
de bestelling ook inclusief abonnement en geactiveerde simkaart afleverde”, aldus Bas Lierens.
Vijftien jaar later is het bedrijf uitgegroeid tot een
‘full-service provider’ die complete e-commercetrajecten ontwikkelt, beheert en uitvoert voor
onder andere Vodafone, KPN en Tele2. “Wat wij
voor deze partners mogen doen, is heel erg divers”, vertelt Lierens. “Dat begint bij het beheer
van de content op de websites – het beheren
van ‘plaatje, praatje, prijs’ – tot aan het stroomlijnen van de processen van de klant. Alles wat
de klant achter de koopknop stopt – en waar
de klant veel marketingeuro’s aan besteedt
– mogen wij beheren. De contentmanagers en
de procesmanagers zorgen er samen met de
klant voor dat de conversie optimaal is.”
“Een bestelling komt bij ons binnen via koppelingen met de ERP-systemen van de klant”,
legt Lierens uit. “Dat proces is de core van ons
bedrijf. Daarvoor hebben we dan ook ruim 45
IT’ers in dienst, waarvan een gedeelte in Manilla;
een aantal dat de afgelopen jaren fors is gegroeid.”
Nadat een order bij Reviva is binnengekomen
en verwerkt, wordt de bestelling per post verstuurd of door het eigen koeriersbedrijf van
Reviva aan de deur afgeleverd.
Voor de afwikkeling aan de deur heeft Reviva
het Paperless Secure Delivery System (PSDS®)
ontwikkeld. “Ondanks dat ‘voor de aankoopknop’
al detectie op fraude plaatsvindt, doen wij dat
na de aankoop nog een keer door te controleren
of ‘Meneer Jansen’ ook daadwerkelijk ‘Meneer
Jansen’ is. Het ID-bewijs wordt aan de voordeur
op echtheid en geldigheid gecontroleerd en
'Wij zijn al heel
lang met
beveiliging bezig'
Bas Lierens, Manager IT &
Process Management bij Reviva
dat is ons onderscheidend vermogen. De koerier
leest het identiteitsbewijs van de consument in
en laat het digitale contract op de tablet ondertekenen en direct per mail naar het postvak van
de consument versturen. Eventueel kan de betaling vervolgens via pin of contant worden voldaan waarna de consument direct kan bellen.
Deze vorm van leveren is óók een belangrijk
onderdeel van wat wij beveiliging noemen
omdat wij op deze manier mogelijke fraude
voorkomen.”
Orderverwerking
De orders worden vanuit een groot magazijn van
Reviva gedistribueerd. Hier worden de toestellen inclusief de contracten met daarop de simen IMEI-nummers en geactiveerde simkaarten
samengevoegd. “Wij zijn al heel lang met beveiliging bezig en zorgen ervoor dat alleen de juiste
mensen binnen kunnen komen”, zegt Lierens.
Deze focus op beveiliging heeft in Den Bosch
onder andere geleid tot een meters hoge ‘power
fence’ om het pand, camerabewaking binnen >
13 C LOUD - EN DATA C ENTE R SE C U R ITY | DAS H BOA R DING | R E V I V A
> en buiten en een ‘vliegtuigpoortje’ dat alarm
slaat als goederen ongeautoriseerd het magazijn verlaten. Gasten krijgen na binnenkomst en
inschrijving een uitgeschreven beveiligingsprotocol overhandigd en mogen zich alleen onder
begeleiding door het pand bewegen.
“De manier waarop wij kijken naar de fysieke beveiliging kan één-op-één worden doorgetrokken
naar de manier waarop wij aankijken tegen ICT
Security”, benadrukt Lierens. “De scheidslijn tussen
fysieke beveiliging en ICT Security is heel erg
dun. Zo willen we met fysieke beveiliging exact
in kaart krijgen wie we binnen hebben en in welke
zones, en dat is ook precies wat we beogen met
onze Next-Generation Firewalls die zijn voorzien
van Intrusion Detection and Prevention.”
Vertrouwelijke informatie
Het belang van ICT Security voor Reviva laat zich
raden. Lierens: “We verwerken vertrouwelijke informatie, zoals contracten, telefoonnummers
en toetsen de echtheid van identiteitsbewijzen.
Onze klanten moeten erop kunnen vertrouwen
dat wij correct omgaan met alle gegevens die wij
binnenkrijgen om orders te kunnen verwerken.
Daar komt veel informatiebeveiliging bij kijken,
en de manier waarop we dat doen moet bijdragen aan de klanttevredenheid. We volgen ISO
27001 als leidraad voor informatiebeveiliging,
maar de norm voor ons Informatiebeveiligingsbeleid wordt vormgegeven door ons streven
naar tevreden klanten.”
Een goed voorbeeld daarvan is de manier waarop
de tablets van de koeriers zijn beveiligd. Lierens:
“Onze tablets zijn voorzien van een aantal maatregelen die ervoor zorgen dat er nimmer informatie in verkeerde handen kan vallen. Onze
klanten krijgen waarvoor ze betalen en hoeven
zich geen zorgen te maken over de beveiliging
van de data en informatie. De beveiliging hebben
wij voor ze geregeld.”
Beveiliging extern getoetst
Reviva heeft er bewust voor gekozen om voor de
ICT Security de hulp van een externe partij in te
schakelen. “Wij zijn goed in ‘solutions en integration’, en het is belangrijk dat juist een externe
partij de beveiliging daarvan toetst en ook helpt
om de security op een hoger niveau te krijgen”,
14 MM 01 | voorjaar 2014
'De norm voor ons Informatiebeveiligings-
beleid wordt bepaald door ons streven
naar tevreden klanten’
aldus Lierens. “Wij houden ons liever bezig met
mooie oplossingen die bijdragen aan maximale
conversie voor onze partners. Het is daarom goed
een partner te hebben die je scherp houdt dat
ook ICT Security op orde is en je bovendien
uitdaagt waar nodig.”
Sinds ruim een jaar is Motiv voor Reviva de externe partner als het gaat om ICT Security. “We
stonden toen op het punt om nieuwe firewalls
aan te schaffen, en we wilden ‘slimme’ apparaten die veel informatie kunnen leveren over wat
er allemaal aan netwerkverkeer passeert. Dan
moet je jezelf wel de vraag stellen: wie gaat dat
allemaal beheren en 24/7 monitoren?” Na een
‘intensieve selectieprocedure’ kwam Motiv naar
voren als een partij met ‘een onderscheidend
vermogen en een mooie middenpropositie’.
“Motiv kon ons niet alleen de gewenste firewalls
leveren, maar biedt ook de dashboarding om
mee te kunnen kijken in onze verkeersstromen.
Dat is een belangrijke toegevoegde waarde.
Motiv kan tijdig ingrijpen in het geval van
calamiteiten. Daarnaast is het ook heel belangrijk
hoe je met elkaar schakelt. We hadden vrij snel
een klik met Motiv.”
Naast de firewalldienstverlening en de monitoring verzorgt Motiv ook alle netwerk- en webscans voor Reviva. Een voorbeeld daarvan zijn de
scans die Motiv uitvoert op de websites en diensten die Reviva bouwt voor haar klanten, om te
controleren of ze niet gevoelig zijn voor bijvoorbeeld SQL-injecties. “Ook daar is het belangrijk
dat, waar wij de websites en diensten voor onze
klanten bouwen, een externe partij de scans uitvoert om te controleren of de beveiliging op het
juiste niveau is en waar verbeteringen mogelijk
zijn”, aldus Lierens. “Dat helpt om de lat keer op
keer hoger te leggen.”
Marketinginstrument
“Met de Next-Generation Firewalls in combinatie
met de monitoring door Motiv hebben we onszelf op het gebied van ICT Security toekomstbestendig gemaakt”, concludeert Lierens. “Voor
ons werken beveiligingsmaatregelen als een
marketinginstrument in onze dienstverlening.
We bieden iets wat de concurrentie niet heeft
en overtreffen daarmee de verwachtingen van
de klant.”
15 De meeste leveranciers die nu Software-Defined Networking (SDN) omarmen, richten
zich in het datacenter op de onderste lagen van het OSI-model. Het beheer van de
SYNT H ESIS - A R C H ITE C TUU R | SDAS | DDOS | F 5 NET W O R KS
SYNT H ESIS - A R C H ITE C TUU R | SDAS | DDOS | F 5 NET W O R KS
F5 laat applicaties
optimaal profiteren
van SDN
'Je haalt de complexiteit uit de
infrastructuur en maakt de levering van applicaties programmeerbaar'
Rene Oskam is bij F5 Director Sales voor de Benelux
n
DDoS Protectio
lagen daarboven gebeurt nog gewoon op de traditionele manier. Zonde van de
inspanningen, zo is de stellige overtuiging van F5. Het wordt namelijk pas echt
interessant als je SDN kunt koppelen aan de hogere lagen, waar de prestatiekracht,
veiligheid en betrouwbaarheid van applicaties worden bepaald.
Als we het hebben over het leveren van applicatieservices dan gaat het over beveiliging, beschikbaarheid, user-authenticatie en toegangscontrole, cloudservices en prestatiebeheer. SDN voegt
daar programmeerbaarheid en uitbreidingsmogelijkheden aan toe. Het is van belang dat deze
voordelen van SDN niet beperkt blijven tot de
onderste lagen van het OSI-model in de datacenterarchitectuur.
Applicaties centraal
F5 is met ‘Software Defined Application Services’
(SDAS) een van de eerste partijen die ook de
bovenliggende infrastructuur aanpakt. Het model
van F5 stelt applicaties centraal en voegt daar
allerlei services aan toe. Daardoor verandert de manier waarop applicatieservices worden geleverd.
F5’s Software Defined Application Services zijn,
ongeacht de status van de onderliggende infrastructuur, gericht op de optimalisatie van applicaties van het datacenter tot aan de eindgebruiker.
Synthesis
SDAS maakt deel uit van F5’s Synthesis-architectuur. Met deze architectuur kunnen bedrijven al
16 MM 01 | voorjaar 2014
hun toepassingen voorzien van dezelfde services
zodat ze de zekerheid hebben dat altijd sprake is
van bijvoorbeeld dezelfde security, prestaties en
beschikbaar, ongeacht of een toepassing in het
eigen datacenter of in de cloud draait en welke
hardware of software wordt gebruikt. Hierdoor
wordt het eenvoudiger om de dienstverlening te
verbeteren en voor toepassingen een kortere timeto-market te realiseren middels geautomatiseerde
provisioning en intelligente service-aansturing.
Synthesis is opgebouwd uit drie
componenten:
- de services-fabric ScaleN. Dit is de technologie
die alle elementen in een netwerkinfrastruc tuur samenbindt;
- de eerder besproken Software Defined Appli cation Services, oftewel de programmeerbare
applicatieservices die op een intelligente ma nier kunnen worden toegepast op elke appli catie binnen de ScaleN-fabric;
- Reference, een verzameling beschrijvende
architecturen bedoeld om gebruikersverwach tingen en de prestaties gelijk te houden,
ongeacht de IT-uitdagingen.
Een voorbeeld van zo’n referentie-architectuur
is het in november geïntroduceerde ‘DDoS Protection’. Met deze referentie-architectuur kunnen bedrijven de beschikbaarheid van hun netwerken en applicaties optimaliseren. Een ander
voorbeeld is Cloud Federation dat beschrijft
hoe bedrijven veilig gebruik kunnen maken van
Software-as-a-Service.
Tijdens de RSA Conference die eind februari
plaatsvond in San Francisco werden twee nieuwe
toevoegingen aan het Synthesis-portfolio bekendgemaakt. In de eerste plaats ging het om
de F5 Secure Web Gateway Services voor het
elimineren van malware die gebruikers mogelijk
binnenhalen bij het bezoeken van webpagina’s
en het gebruik van web- en SaaS-applicaties.
De andere toevoeging betrof de referentiearchitectuur ‘Web Fraud Protection’.
Overkoepelende strategie
“Door ons aanbod security-oplossingen continu uit te breiden, helpt F5 bedrijven bij het
tackelen van uiteenlopende securitydreigingen”,
zegt Rene Oskam, bij F5 Director Sales voor de
Benelux. “Onze focus blijft gericht op het veilig
verbinden van gebruikers, ongeacht het type
device en de applicaties die ze gebruiken. We
geven organisaties de volledige controle over
de policy’s die van toepassingen zijn op die
verbindingen. Of je het nu hebt over ingaande
of uitgaande beveiliging, in onze visie moet het
allemaal deel uitmaken van één overkoepelende
applicatiebeveiligingsstrategie.”
Volgens analist Jeff Wilson van Infonetics Research
is zo’n overkoepelende strategie ook precies waar
klanten behoefte aan hebben. “Klanten zijn op
zoek naar manieren om beveiligingsplatformen
te consolideren, met behoud van de prestaties en
beschermingen die noodzakelijk zijn. Het inte-
Met de referentie-architectuur ‘DDoS Protection’ kunnen bedrijven de beschikbaarheid van hun netwerken en applicaties optimaliseren
greren van verschillende mogelijkheden op een
platform is aantrekkelijk omdat de security-practices
en -praktijken dan beter kunnen worden afgestemd op de behoeften van de gebruiker en van
de business. Ook is het aantrekkelijk om minder
leveranciers te hoeven managen.”
Integratie met SDN
Om de talrijke Software Defined Application
Services vervolgens te kunnen koppelen aan
Software Defined Networking – om zo de
voordelen van SDN optimaal te kunnen benutten – heeft F5 een samenwerking met Cisco
voor zijn Application Centric Infrastructure (ACI).
Door deze samenwerking was consolidatie en
programmeerbaarheid van het hele datacenter
nog niet eerder zo dichtbij.
Cisco biedt met ACI een framework voor service
catalogi dat automatische service injection,
network stitching en aansturing biedt. Integratie
met F5’s SDAS stelt IT-organisaties in staat om
centrale applicatielevering, applicatieservices en
een service-geschikt netwerk te automatiseren.
Op die manier haal je de complexiteit uit de hele
infrastructuur en wordt de levering van applicaties programmeerbaar. Het resultaat zijn betrouwbare, veilige en krachtige applicaties.
17 VO L G E N D E P A G I N A B ren g d a t a bewu s t n a a r de cloud › P . 2 0
H E A D L I N E M otiv l a a t eind g ebrui k er s m a x im a a l pro f iteren v a n de voordelen v a n cloudcomputin g
C LOUD - EN DATA C ENTE R SE C U R ITY | UPDATE C LOUD - EN DATA C ENTE R DIENSTEN | V ISIE | M OTI V
C LOUD - EN DATA C ENTE R SE C U R ITY | UPDATE C LOUD - EN DATA C ENTE R DIENSTEN | V ISIE | M OTI V
Visie v an M o ti v o p C l o u d
op kantoor konden worden afgedwongen. Hierdoor profiteert een eindgebruiker maximaal van
de voordelen van cloudcomputing; overal is
sprake van dezelfde gebruikerservaring.”
Connect’ waarbij Motiv en de klant in onderling
overleg samen het beheer en de monitoring
verzorgen.
On-premise
C LO U D CO M P U T I N G
Motiv laat eindgebruikers
maximaal profiteren
van de voordelen
van cloudcomputing
Na een jaar van ‘heroverweging’ presenteert Motiv een geheel
vernieuwd portfolio ‘Cloud- en datacenter-securitydiensten’.
“Met deze diensten kunnen eindgebruikers volop profiteren
van de kracht van cloudcomputing en altijd en overal
veilig werken”, zo belooft Bastiaan Bakker,
Directeur Business Development van Motiv.
“Het vraagstuk rondom beveiliging gaat veranderen”, zo stelde Vincent Kalkhoven, operationeel
directeur van Motiv, een jaar geleden in Motivator
Magazine. “De afgelopen jaren waren beveiligingsoplossingen heel erg gericht op de gateway tussen het internet en het netwerk van de
klant. Nu komt de nadruk veel meer te liggen op
het veilig ontsluiten van data, applicaties en gebruikers die onder andere door cloudcomputing
18 MM 01 | voorjaar 2014
overal en nergens kunnen zijn. Het veranderende
vraagstuk rondom informatiebeveiliging zorgt
ervoor dat ook wij andere soorten diensten
moeten gaan leveren.”
Deze constatering vormde de opmaat naar een
jaar waarin Motiv ‘een aantal zaken heeft heroverwogen en opnieuw uitgedacht’. “Deze heroverweging heeft geleid tot een geheel vernieuwd
portfolio met dertien ‘Cloud & datacentersecuritydiensten’ die we nu volop uitrollen en
continu vernieuwen”, zo stelt Bastiaan Bakker van
Motiv een jaar later tevreden. “Met deze diensten
kunnen eindgebruikers volop profiteren van de
kracht van cloudcomputing en altijd en overal
veilig werken.”
Filters in de publieke cloud
Voorbeelden van diensten die Motiv voortaan ook via de publieke cloud aanbiedt, zijn
‘E-mail security’ en ‘Web security’. “Waar deze
oplossingen voorheen altijd on-premise werden
geïnstalleerd, leveren we ze nu via de wereldwijde datacenters van onze partner Websense”,
licht Bakker toe. “Dit betekent dat eindgebruikers
altijd en overal – zowel thuis, op kantoor als onderweg – hebben te maken met dezelfde securitypolicy’s en antispamregels die voorheen alleen
Web Application Firewall en DDoS-protectie
zijn andere voorbeelden van diensten waarvoor
Motiv gebruikmaakt van filters in de publieke
cloud van een partner, in deze gevallen de
Incapsula-cloud van Imperva. “Hierdoor kunnen
we websites veel beter beschermen tegen cyberaanvallen zoals DDoS-attacks en SQL-injecties”,
stelt Bakker. “De aanvaller valt immers niet meer
een lokale webserver aan, maar die grote cloud.
En doordat de beschermende maatregelen en
caching in de cloud worden genomen, is een
website beter beschermd en veel sneller beschikbaar voor de eindgebruiker. De beschermende
maatregelen hoeven bovendien niet meer per
website op maat te worden gemaakt, waardoor
de beheerlast enorm afneemt. De maatregelen
worden ook automatisch bijgewerkt om bescherming te bieden tegen de nieuwste dreigingen.”
Full Connect
Andere voordelen van de genoemde clouddiensten zijn volgens Bakker de beschikbaarheid
die ‘extreem hoog’ is en het elastische prijsmodel
waarbij de klant per gebruiker betaalt en niet
vooraf hoeft te investeren in de oplossing. “Motiv
blijft bovendien het aanspreekpunt voor de klant
en houden ook de verantwoording richting de
klant. Wij ‘ontzorgen’ volledig door alles goed te
configureren en te integreren met de bestaande
omgeving van de klant.”
Na deze door Motiv begeleide transitie kan de
klant ervoor kiezen om zelf het beheer, de monitoring en incident-response te doen. Motiv
noemt dit ‘Easy Connect’. Bij ‘Full Connect’ wordt
het beheer en de monitoring volledig overgedragen aan de ICT-organisatie van Motiv. “Wij
houden dan continu de dreigingen in de gaten
die op een klant af komen en zorgen voor het
incident-responseproces op het moment dat
er iets niet in de haak is. We zorgen er dus voor
dat een eventueel brandje direct wordt geblust.
Als de klant ervoor kiest om zelf het beheer en
de monitoring te doen, dan zal de klant zelf een
brandje moeten signaleren. De klant blust de
brand zelf waarbij expertise van Motiv kan worden bijgeschakeld.” Een derde variant is ‘Service
Bij diensten zoals E-mail security, Web security,
Web Application Firewall en DDoS-protectie ligt
het volgens Bakker voor de hand om gebruik te
maken van publieke clouds zoals de Websense
Threatseeker Cloud en Imperva Incapsula. “Door
de schaalgrootte van deze oplossingen dalen de
kosten per gebruiker. Daar staat tegenover dat
de filters constant worden bijgewerkt en een
beschikbaarheid halen die we met een on-premise
oplossing niet kunnen realiseren. Je verstrekt
kortom de beveiliging terwijl je tegelijkertijd een
kostenreductie realiseert.”
'Je verstrekt de beveiliging terwijl
je tegelijkertijd
een kostenreductie
realiseert'
Bastiaan Bakker, Directeur Business Development van Motiv
wordt in beide situaties gebruikgemaakt van
dezelfde software”, vervolgt Bakker. Een andere
‘architectuurkeuze’ is de Motiv Cloud, een optimaal beveiligde cloudomgeving die wordt
gehost in twee datacenters in Nederland en die
wordt beheerd door in Nederland gescreend
personeel. Doordat het een volledig ‘Nederlandse
cloud’ is, spelen compliance-issues rondom bijvoorbeeld safe harbour niet en zal het voor veel
bedrijven eenvoudiger zijn om de stap naar
de cloud te maken. Bij uitbesteding aan Motiv
kan zekerheid middels een ISAE3402-certificaat
worden afgegeven.
“Vanuit dit twin-datacenterconcept bieden wij
een aantal oplossingen die helemaal ‘cloudready’ zijn en dus worden afgerekend op basis
van gebruik”, legt Bakker uit. Een goed voorbeeld
van zo’n cloud-ready oplossing is mSafe, Motiv’s
platform voor het uiterst veilig uitwisselen van
vertrouwelijke documenten. “Daarnaast bieden
we vanuit de Motiv Cloud een Secure Hostingplatform aan klanten die bedrijfskritische webapplicaties naar de cloud willen brengen. Wij
zorgen er dan niet alleen voor dat die applicaties
in de cloud komen te staan, maar ook voor de
security. Om gebruikers veilig op applicaties in te
laten loggen, bieden we vanuit de Motiv Cloud
de aanvullende dienst Sterke Authenticatie. Op
deze manier kan een gesloten groep gebruikers
via publiek internet werken met vertrouwelijke
gegevens.”
Optimale architectuur
Uiteraard blijven er situaties denkbaar waarin
de voorkeur uitgaat naar een implementatie
on-premise. “De firewall staat op de netwerkgrens, dus die zal veelal op klantlocatie worden
geïnstalleerd”, aldus Bakker. De klant kan dan
nog steeds voor Full Connect kiezen en het beheer en de monitoring dus overdragen aan de
securityspecialisten van Motiv. “Vanuit complianceoverwegingen zijn ook ‘hybride oplossingen’ mogelijk, waarbij je bijvoorbeeld voor de scanning
van e-mail wel gebruikmaakt van filters in de
cloud, maar de logging en de e-mailberichten die
worden tegengehouden opslaat op een lokale
appliance.”
Motiv Cloud
“On-premise of in de cloud, uiteindelijk is het
slechts een architectuurkeuze. In veel gevallen
“Door de publieke clouddiensten van onze partners te combineren met de Motiv Cloud en oplossingen on-premise kunnen we komen tot de
architectuur die uiteindelijk voor onze klant het
aantrekkelijkst is”, besluit Bakker. “Als de klant
bijvoorbeeld zelf zijn DMZ niet goed op orde
heeft, is het logisch om deze uit te besteden
in de Motiv Cloud met aanvullende standaard
security-bouwblokken. Maar mocht de klant zelf
zijn bescherming van webapplicaties goed onder
controle hebben, dan is de toegevoegde waarde van uitbesteden richting de cloud beperkt.
Daarom is het ook belangrijk dat er altijd eerst
een goede intake wordt afgenomen, zodat een
probleem zo kosteneffectief en veilig mogelijk
wordt opgelost zodat de klant optimaal profiteert
van de veranderende digitale wereld.”
19 H E A D L I N E B ren g d a t a bewu s t n a a r de cloud
C LOUD - EN DATA C ENTE R SE C U R ITY | OPTI M ALE BES C H IKBAA R H EID | V ISIE | M OTI V
C LOUD - EN DATA C ENTE R SE C U R ITY | OPTI M ALE BES C H IKBAA R H EID | V ISIE | M OTI V
Visie D o o r A nne Karine H af k amp ( B u siness L ine M ana g er S er v ices bij M o ti v )
en P eter S tra v er ( S ec u rit y A rchitect bij M o ti v )
mp
ne Hafka
ri
Anne Ka
Breng data
bewust naar
de cloud
Bij het afnemen van een clouddienst worden er bijna altijd
data ondergebracht binnen de dienstverlening. Daarmee
worden de data als het ware in ‘bewaring’ gegeven bij de
cloudprovider die er op basis van een afsprakenstelsel op
toeziet dat de data veilig en beschikbaar zijn. Voor een
succesvolle uitbesteding van het ‘behoud’ van de data is het
echter wel noodzakelijk dat de eigenaar inzicht heeft in de
data die naar de cloud gaan. Het verkrijgen van dat inzicht
vraagt meer van de organisatie dan van de techniek.
Peter Strave
r
Een cloud kan niet van de tafel vallen. Een server
met harddisks kan dat wel. Het is misschien een
enigszins vreemde vergelijking, maar het geeft
wel exact het grote nadeel van de cloud aan:
het gebrek aan tastbaarheid. Hoewel een cloudhostingdienst exact dezelfde functionaliteit biedt
als een fysieke server, zien we in de cloud ineens
niet meer hoe een product of dienst in elkaar
steekt. Door dit gebrek aan ‘tastbaarheid’ ontstaat
onzekerheid waardoor er verkeerde beslissingen worden genomen en de betrouwbaarheid,
integriteit en vertrouwelijkheid van data gevaar
kunnen lopen.
Om data bewust naar de cloud te kunnen brengen, is het noodzakelijk dat we ook de cloud ‘tastbaar’ maken. Dat kan alleen als er inzicht is in de
data en in de samenhang. Daar is een belangrijke
rol weggelegd voor de eigenaar van de data.
De eigenaar van de data blijft verantwoordelijk
voor de data, ook als deze in bewaring zijn bij een
cloudprovider.
Classificeren en kaders stellen
Voordat het behoud van de data wordt uitbesteed, zal dus eerst de vraag moeten worden
beantwoord wie de eigenaar van de data is.
Deze persoon (de ‘Data Steward’) is de enige
die de data kan classificeren en op basis van de
classificatie kan bepalen welke beveiligingsmaatregelen het best passend zijn. Net zoals we er
thuis voor kiezen om het tuinmeubilair buiten te
laten staan en sieraden in een kluis te leggen, zo
moeten we ook per type data afwegen welke
beveiligingsmaatregelen het best passend zijn.
Dat deden we binnen een traditionele ITinfrastructuur al, en daar verandert in de cloud
niets aan.
Ook zal de eigenaar van de data kaders moeten
stellen voor het gebruik van de data. Daarbij
moeten vragen worden beantwoord als ‘waar
mogen mijn data worden opgeslagen?’, ‘wie
heeft er toegang tot de data?’ en ‘waarmee kunnen gegevens worden benaderd en gemuteerd?’.
In deze fase gaan identiteiten – en het beheer
daarvan – een belangrijke rol spelen.
Voor het benaderen van bepaalde data door
een identiteit is een intermediair nodig: een applicatie. In de visie van Motiv moeten gebruiker,
applicatie en data zich onafhankelijk van elkaar
kunnen bewegen tussen on-premise en de
cloud. Een ‘lock-in’ wordt hierdoor geëlimineerd.
Wanneer je de controle hebt over de identiteiten
en de data ‘bewust’ hebt ondergebracht, kan de
applicatie overal zitten en doet de fysieke locatie
er veel minder toe. >
Voordat het behoud van de data wordt uitbesteed, zal eerst de vraag moeten worden
beantwoord wie de eigenaar van de data is
20 MM 01 | voorjaar 2014
21 H E A D L I N E B ren g d a t a bewu s t n a a r de cloud
C LOUD - EN DATA C ENTE R SE C U R ITY | OPTI M ALE BES C H IKBAA R H EID | V ISIE | M OTI V
Visie
Afsprakenstelsel
Het is kortom van belang om inzicht te krijgen
en samenhang te zien. Als duidelijk is wie de
eigenaar van de data is, de data zijn geclassificeerd en kaders zijn gesteld voor het gebruik
van de data, pas dan is er een goede basis voor
het uitbesteden van het behoud van de data.
De eigenaar en de bewaarder van de data zullen
afspraken maken over hoe de data beschikbaar
worden gesteld en gehouden. Hierbij spelen veelal beschikbaarheidsvraagstukken een rol. Vanuit
een risicoanalyse van bedrijfsprocessen wordt
bepaald welke beschikbaarheid van data (applicaties) benodigd is. Middels deze bepaling worden mogelijke Recovery Time Objective (RTO) en
Recovery Point Objective (RPO) eraan gekoppeld.
Vervolgens worden aanvullende maatregelen genomen om tevens integriteit en vertrouwelijkheid van data te borgen volgens afgesproken
service levels.
niveaus doorgevoerd. Zo maakt Motiv gebruik
van twee datacenters in de regio Amsterdam die
zijn ontworpen conform de kwaliteitseisen van
de Tier 3-norm. Dit wil zeggen dat de drie belangrijkste aspecten in een datacenter gegarandeerd in een hoge beschikbaarheid voorzien:
stroom, temperatuur en luchtvochtigheid. Single
points of failure in de installatie zijn dan ook
uitgesloten.
De omgevingen in beide datacenters zijn volledig gespiegeld waardoor ze elkaars taken in
het geval van een storing direct kunnen overnemen. Als een host met virtuele servers uitvalt,
zal automatisch worden overgeschakeld naar
een host in het secundaire datacenter. Om data
altijd beschikbaar te houden, worden alle data
geback-upt. Daarnaast gaat er nog een replica
naar een tweede locatie.
In de oude situatie maakte Motiv gebruik van
twee datacenters die beide onder NAP staan
en waarbij eenzelfde internetserviceprovider de
connectiviteit levert. Door in Groenekan de
hoogte op te zoeken, krijgt Motiv de beschikking over twee datacenters met twee verschillende providers voor de connectiviteit. De
dienstverlening zal dan geen hinder ondervinden van een storing in een van de internetlijnen. Bijkomend voordeel is dat de nieuwe
ruimte zich dichtbij het kantoor van Motiv
bevindt waardoor medewerkers van Motiv in
het geval van een calamiteit snel ter plaatse zijn.
Getest en getoetst
Motiv neemt in de rol van ‘bewaarder’ ook het
beschikbaarheidsvraagstuk kortom uiterst serieus.
Bij een incident mag de dienstverlening niet
langer dan vier uur worden verstoord.
Motiv als bewaarder
Motiv heeft zijn Cloud- en Datacenter securitydiensten ingericht met een focus op vertrouwelijkheid en integriteit; data moeten te allen
tijde zijn beschermd tegen misbruik, uitlekken en
ongeautoriseerde toegang en mutatie. De gelaagdheid van de architectuur voorziet in het
ter beschikking stellen van integere en vertrouwelijke informatie. Daar ligt ook de kracht van
Motiv. Zo wordt encryptie toegepast op zowel
de data die in beweging zijn als op de opgeslagen data. Ook verlaten gegevens nooit de
omgeving van Motiv. Als data bijvoorbeeld
verhuizen naar een nieuwe disk, wordt de oude
disk met behulp van een stroomstoot volledig
vernietigd.
Redundantie
Om de beschikbaarheid optimaal te houden,
is redundantie in de ‘Motiv Cloud’ op meerdere
22 MM 01 | voorjaar 2014
Het gebrek aan tastbaarheid is het grote nadeel
van de cloud
Optimale connectiviteit
De geschetste set-up ondergaat momenteel een
belangrijke wijziging die de kans op een downtime nog verder terugdringt: de inrichting van
een compleet nieuwe computerruimte. Deze
ruimte bevindt zich in een datacenter van Eurofiber dat is gevestigd in Groenekan. Deze nieuwe
locatie gaat een van de twee datacenters in de
regio Amsterdam uiteindelijk vervangen.
Doordat Motiv is gecertificeerd voor ISO 20000
en ISO 27001 wordt die beschikbaarheid – en
de maatregelen die worden genomen om
die beschikbaarheid zo optimaal mogelijk te
houden – ook getest en getoetst door een externe
auditor.
23 'De markt is rijp voor
Software-Defined
Protection'
'Ook met SDP blijft de afweging:
gaan we het beheer zelf doen,
of besteden we het uit?'
Arthur van Uden, Country Manager Benelux bij Check Point
desktops. Door gebruik te maken van firewallvirtualisatie kan men deze segmentatie bewerkstelligen met minimale inzet van hardware.
Na Software-Defined Networking, Software-Defined Storage en het Software-Defined
Datacenter wordt nu ook security ‘Software-Defined’. Door de controle van alle securitycomponenten onder te brengen op een aparte softwarelaag, ontstaat volgens Check Point
Software Technologies een ‘revolutionaire beveiligingsarchitectuur’. Software-Defined
Protection, zoals Check Point de nieuwe visie heeft gedoopt, zorgt voor een effectieve
bescherming tegen huidige en toekomstige dreigingen, maakt het eenvoudiger om
nieuwe beveiligingstechnologieën te implementeren en verlaagt de beheerlast.
Architectuur Software-Defined Protection
Ondanks alle aandacht voor security, en de implementatie van uiteenlopende securitymaatregelen,
zijn organisaties nog altijd kwetsbaar voor de
nieuwste dreigingen. “Het is niet langer de vraag
of we gehackt worden, maar wanneer. Ook het
management binnen grote bedrijven is zich daar
steeds beter van bewust”, zo stelt Arthur van
Uden, Country Manager Benelux bij Check Point.
“Er komen steeds weer nieuwe dreigingen bij”,
vervolgt Van Uden. “Zo hebben we vorig jaar in
Nederland aan den lijven kunnen ondervinden
wat Distributed Denial of Service-aanvallen aanrichten. Wat we nu in andere landen sterk zien
opkomen, is de ‘interne DDoS-attack’ waarbij bijvoorbeeld gegevens in een database worden gemanipuleerd om zo gebruikers op het verkeerde
been te zetten. Zo’n nieuw type aanval vraagt ook
weer om nieuwe defensiemaatregelen.”
24 MM 01 | voorjaar 2014
Aparte tak van sport
Er worden kortom steeds meer middelen ingezet
om gebruikers, netwerken en gegevens te beschermen tegen de nieuwste dreigingen. Zo worden de
gateways uitgerust met additionele securityfunctionaliteiten zoals Data Leakage Prevention, antivirus
en Intrusion Detection en Prevention. Binnen het
interne netwerk worden allerlei technieken toegepast om bijvoorbeeld te voorkomen dat de logistieke afdeling in de salarisadministratie kan kijken.
“De software die op al die verschillende apparaten
draait, moet continu worden geüpdatet en bijgewerkt om bescherming te kunnen bieden tegen
de nieuwste dreigingen”, aldus Van Uden. “Binnen
bedrijven wordt zelfs op C-level steeds vaker de
vraag gesteld: ‘hoe gaan we dat allemaal doen?’”
En dan worden bedrijven ook nog eens geconfronteerd met de Bring Your Own-apparaten zoals
tablets en smartphones die buiten het bedrijf
komen en niet door de organisatie worden beheerd. “Dan moet je als bedrijf goed duidelijk
maken hoe de mobiele gebruikers om horen te
gaan met security en wat de securitypolicy’s zijn”,
benadrukt Van Uden. “Het inregelen, onderhouden
en beheren van de policy’s blijkt echter vaak een
lastige opgave waar specialistische kennis voor
nodig is. Security is toch een aparte tak van sport.”
Software-Defined Protection
Tegen deze achtergrond van steeds weer nieuwe
dreigingen die we proberen af te vangen met een
defensie die steeds complexer wordt, presenteert
Check Point nu Software-Defined Protection (SDP).
Deze nieuwe beveiligingsarchitectuur beschermt,
zoals het zo mooi heet, ‘tegen de dreigingen
van morgen’ en maakt het eenvoudiger om
nieuwe beveiligingsmaatregelen te adopteren en
C LOUD - EN DATA C ENTE R SE C U R ITY | SDP | M SP | C H E C KPOINT SO F T W A R E TE C H NOLOGIES
C LOUD - EN DATA C ENTE R SE C U R ITY | SDP | M SP | C H E C KPOINT SO F T W A R E TE C H NOLOGIES
Arthur van Uden van Check Point Software Technologies
securitypolicy’s door te voeren. SDP zorgt ervoor
dat de bedreigingsinformatie die afkomstig is uit
diverse bronnen, zoals de Check Point ThreatCloud, in realtime wordt vertaald in updates van
de diverse beveiligingscomponenten binnen het
netwerk.
Om dit te bewerkstelligen, maakt SDP gebruik
van drie lagen die nauw met elkaar zijn verbonden.
De onderste laag is de ‘enforcement layer’ (handhavingslaag). Dit is de laag waar de inspectie van
het netwerkverkeer plaatsvindt en de bescherming wordt afgedwongen. Voor een optimale
beveiliging wordt het netwerk in de visie van
Check Point in zo klein mogelijke segmenten opgedeeld. “Segmentatie is de nieuwe perimeter”,
zo luidt het devies dan ook. Handhaving vindt
vervolgens plaats op de grenzen tussen de segmenten, maar ook op bijvoorbeeld laptops en
Boven de handhavingslaag treffen we de ‘Control
Layer’ aan. Dit is de laag waar de aansturing van de
handhavingspunten plaatsvindt en de beschermingen worden gegenereerd. Beheerders kunnen op deze laag de beveiligingspolicy’s opstellen
voor de controle van de interacties tussen gebruikers, tussen data en tussen applicaties. De policy’s
kunnen vervolgens worden gepusht naar de
handhavingspunten. ‘Threat Protection’ helpt op
deze laag om zowel bekende als onbekende dreigingen op het spoor te komen. Beschermingen
voor nieuwe dreigingen worden automatisch
gegenereerd en naar de handhavingspunten gestuurd. Om een optimale bescherming te bieden,
wordt de ‘intelligentie’ uit zoveel mogelijk bronnen
verzameld.
De derde laag is de ‘Management Layer’. Dit is als
het ware de ‘cockpit’ voor de beheerder. De beheerder krijgt een overzicht van de informatie die
wordt verzameld door de handhavingspunten.
Hierdoor ontstaat een goed beeld van de actuele
staat van de beveiliging. Het beeld dat de beheerder krijgt voorgeschoteld, kan eventueel worden
gebaseerd op zijn of haar rol.
Beheer uitbesteden
Volgens Van Uden is Software-Defined Protection het gepaste antwoord op het fenomeen dat
we de beveiliging steeds verder opvoeren maar
ondertussen wel kwetsbaar blijven voor de dreigingen die we nu nog niet kennen. “Check Point
zet dan ook vol in op Software-Defined Protection.
De markt is er helemaal rijp voor. We moeten nu de
visie uit gaan dragen.”
Ook met SDP blijft echter de afweging: ‘gaan we
het beheer zelf doen, of besteden we het uit?’ Van
Uden: “Securitybeheer is een zeer specialistische
tak van sport waarbij je je af kunt vragen of bijvoorbeeld de netwerkbeheerder binnen je organisatie daar voldoende tijd voor en kennis van heeft.
In veel gevallen is het dat ook raadzaam om het
beheer over te laten aan een van onze Managed
Service Providers. Motiv heeft bijvoorbeeld al vele
jaren aangetoond hier een expert in te zijn. Motiv
implementeert niet alleen de beveiliging, maar
kan ook de montoring 24/7 uitvoeren, het incident-responseproces verzorgen en het beheer volledig overnemen door bijvoorbeeld alle changes
en updates door te voeren. Met onze nieuwe SDParchitectuur kan Motiv deze taken zelfs uitvoeren
zonder een ‘management station’ op klantlocatie
te installeren.”
“Binnen het Managed Service Provider-model is
eigenlijk alles mogelijk”, besluit Van Uden. “De klant
kan er bijvoorbeeld voor kiezen om de apparatuur
zelf aan te schaffen en het beheer aan Motiv over
te laten. Ook is het mogelijk om Motiv de apparatuur aan te laten schaffen. In dat geval berekent
Motiv een maandelijkse vergoeding voor de apparatuur waardoor de aanschafkosten voor de klant
worden gespreid over een langere periode.”
25 H E A D L I N E ‘ mS a f e i s on z e H outen s e cloud ’
V e i l i g e b e s t a n d s u i t w i s s e l i n g | mS a f e | G e m e e n t e H o u t e n k i e s t v o o r mS a f e
V e i l i g e b e s t a n d s u i t w i s s e l i n g | mS a f e | G e m e e n t e H o u t e n k i e s t v o o r mS a f e
I nter v ie w P iet W o u dt , S eni o r ad v ise u r I nf o rmatiemana g ement g emeente H o u ten
'mSafe is onze
Houtense cloud'
'Je moet je er altijd
bewust van zijn dat
je met vertrouwelijke
informatie werkt'
Piet Woudt, Senior adviseur
Informatiemanagement gemeente Houten
Het werken voor een gemeente betekent ook het vertrouwelijk
omgaan met informatie, zoals de gegevens van burgers.
"En daar passen geen toepassingen zoals Dropbox en WeTranfer
bij", vindt Piet Woudt, Senior adviseur Informatiemanagement
bij de gemeente Houten. De gemeente vond voor het uitwisselen
van vertrouwelijke en omvangrijke documenten een alternatief
in Motiv mSafe.
Fotografie: Ruud Jonkers
Op basis van artikel 93 van de Paspoortuitvoeringsregeling Nederland 2001 heeft Piet Woudt
een formele taak als beveiligingsfunctionaris.
“Vanuit die rol heb ik informatiebeveiliging steeds
meer naar me toe getrokken”, vertelt Woudt. “Al
onder de vorige burgemeester hebben we ingezet op het verder verbeteren van de beveiliging.
Inmiddels is dat wel bijna een dagtaak. Informatiesystemen zijn zo cruciaal geworden dat geen
enkele organisatie zonder kan en dat geldt zeker
ook voor een gemeente. We hebben dan ook
een zware verplichting; zo mag de uitgifte van
paspoorten nooit langer dan 24 uur stil komen te
liggen, zelfs niet als het gemeentehuis afbrandt.
Dat is dan ook de reden dat we de IT-omgeving
volledig hebben gespiegeld en daarnaast een
uitwijk hebben geregeld. Onze verantwoordelijkheid op dit punt is heel groot en we gaan dan
ook niet over één nacht ijs.”
26 MM 01 | voorjaar 2014
Vanuit die verantwoordelijkheid heeft Woudt
ook het schrijven van een Informatiebeveiligingsplan en een Uitvoeringsplan informatiebeveiliging
voor de gemeente Houten op zich genomen. “In
het Informatiebeveiligingsplan, dat is gebaseerd
op de code voor informatiebeveiliging, staat het
beleid omschreven terwijl in het Uitvoeringsplan
staat wat we concreet doen”, licht Woudt toe.
Een belangrijk punt van aandacht in beide documenten is het creëren van beveiligingsbewustzijn
onder de medewerkers van de gemeente Houten.
Om de ‘security awareness’ te verhogen verzorgt
Woudt onder andere workshops over de tactieken die social engineers toepassen. “Ook heb ik
een keer een phishingmail naar honderd mensen
gestuurd om te kijken hoeveel daar nu op klikten;
dat bleken er toch nog dertig te zijn. Twee mensen
vertrouwden het niet en belden de helpdesk.”
Veilige plaats
“Het internet is een gevaarlijke plaats en voor
iedereen moet duidelijk zijn wat de risico's zijn”,
vervolgt Woudt. “Als je bijvoorbeeld op een iPad
zit te lezen, moet je er rekening mee houden dat
anderen kunnen meelezen en dat dat dus een
beveiligingsrisico vormt. Je moet je er altijd bewust van zijn dat je met vertrouwelijke informatie
werkt.” Volgens Woudt ligt dit uitgangspunt ook
verankerd in artikel 13 uit de Wet bescherming
persoonsgegevens (Wbp). “Wij zijn verplicht om
gegevens goed te beveiligen, maar wel ‘binnen
de redelijkheid van kosten en inspanning’. Daar
moet je een balans in zien te vinden, en dat is
best wel lastig. Dat doe je door de informatie
te classificeren en op basis van de classificatie
de juiste beveiligingsmaatregelen toe te passen.
Informatie uit de Gemeentelijke Basisadministratie,
personeelsgegevens en misschien zelfs medische
gegevens moeten als ‘vertrouwelijk’ worden gekenmerkt, terwijl er ook heel veel informatie juist
openbaar moet zijn.” >
Gemeente Houten
“Het werk bij een gemeente is heel
erg leuk, maar soms ook heel erg veel
waardoor je fragmentarisch bezig bent”,
vertelt Piet Woudt, Senior adviseur
Informatiemanagement bij de gemeente
Houten. De gemeente in de provincie
Utrecht telt een kleine vijftigduizend
inwoners. Daar staan nog geen driehonderd medewerkers tegenover. “En
dat aantal medewerkers loopt nog terug.
Net zoals iedere andere gemeente moeten
ook wij bezuinigen terwijl het aantal
taken toeneemt. Dat kan alleen maar
met meer techniek. Op het gebied van de
mid-office – het zaakgericht werken –
werken we bovendien samen met Zeist
en Nieuwegein. Op het gebied websites
hebben we een vereniging waar we met
vijftig gemeenten samenwerken.”
27 H E A D L I N E ‘ mS a f e i s on z e H outen s e cloud ’
H E A D L I N E XXX x x x x x
V e i l i g e b e s t a n d s u i t w i s s e l i n g | mS a f e | G e m e e n t e H o u t e n k i e s t v o o r mS a f e
I nter v ie w P iet W o u dt , S eni o r ad v ise u r I nf o rmatiemana g ement g emeente H o u ten
'Zowel onze medewerkers als de raadsleden hebben een eigen
verantwoordelijkheid, en daar moet je op kunnen vertrouwen'
> De informatie voor raadsleden is volgens Woudt
een voorbeeld van informatie die ‘heel erg openbaar’ moet zijn. “Die kunnen we rustig op internet
zetten. Maar raadsleden krijgen zo nu en dan ook
vertrouwelijke informatie, bijvoorbeeld tijdens de
benoemingsprocedure voor een nieuwe burgemeester. Dan wil je ervoor zorgen dat de informatie eenvoudig toegankelijk is voor de raadsleden,
zonder dat gevoelige informatie op straat komt
te liggen. De informatie moet dan op een veilige
plaats komen te staan en toegankelijk zijn voor
alle raadsleden zonder dat ze naar het gemeentehuis hoeven te komen. Maar wel per gebruiker
afzonderlijk beveiligd, zodat we kunnen zien wie
wat heeft gedownload.”
Motiv mSafe
Zo'n ‘veilige plaats’ heeft de gemeente Houten
gevonden in mSafe, de clouddienst van Motiv
die in februari 2013 op de markt kwam. Het platform is speciaal ontwikkeld voor de zakelijke
markt voor het uitwisselen van bijvoorbeeld personeelsdossiers, medische dossiers of financiële
informatie. Uitgangspunten zijn
maximale veiligheid en betrouwbaarheid. Zo zijn sterke
authenticatie, scanning op malware en versleuteling standaard.
Door de dienst continu te bewaken, wordt oneigenlijk gebruik
van het platform voorkomen.
Binnen de gemeente Houten
werd mSafe in eerste instantie
gebruikt door de afdeling die de
vergunningen afgeeft en veel
tekeningen uitwisselt. “Voor het
uitwisselen van tekeningen werd
WeTransfer gebruikt, maar dat vonden we structureel geen goede
oplossing”, licht Woudt toe. “Diensten zoals WeTransfer en Dropbox
zijn sowieso niet geschikt aangezien
een overheid geen gegevens mag
opslaan op buitenlandse servers
en al helemaal niet buiten Europa.
mSafe voldoet aan de eisen die
gelden voor een Nederlandse overheid. De dienst draait op servers
28 MM 01 | voorjaar 2014
Hoe werkt mSafe?
De basis van Motiv mSafe is een werkruimte die een organisatie bijvoorbeeld
per project, klant of contactpersoon aanmaakt. Aan deze virtuele folder koppelt
de beheerder of eigenaar gebruikers die
op de werkruimte inloggen met behulp
van een gebruikersnaam (e-mailadres),
wachtwoord en een eenmalige code.
Zij krijgen deze code via een sms-bericht
binnen. Sterke authenticatie is dus
standaard binnen mSafe.
Gebruikers kunnen vervolgens bestanden uploaden naar de werkruimte. Deze
bestanden komen eerst in een quarantaineomgeving waar Motiv ze scant op
malware. Daarna krijgen de gebruikers
automatisch per e-mail een melding
van de upload. De dienst is volledig
webgebaseerd en vereist geen installatie
van software; alleen bestanden groter
dan 100 MB vereisen een plug-in van
Microsoft Silverlight.
in Nederland en is goed beveiligd. Daar komt
bij dat mSafe eenvoudig is in gebruik en snel
was te realiseren. Na een proef van een maand
hebben we de dienst direct aangevraagd en we
zijn nog altijd erg enthousiast. Wat voor ons nog
wel een wens zou zijn, is dat je documenten
wel kunt lezen maar niet kunt downloaden, want
het liefst wil ik dat documenten nooit op iPads
terechtkomen.”
Houtense cloud
Met de ingebruikname van mSafe zijn diensten als Dropbox en WeTransfer verleden tijd
binnen de gemeente Houten. “Maar daar was
ons Informatiebeveiligingsplan eigenlijk al duidelijk over”, zegt Woudt. “Daarin staat letterlijk:
‘Dropbox en soortgelijke oplossingen zijn niet
toegestaan. Indien daar behoefte aan is, kan
daarvoor een Houtense cloud worden opgezet.’
Nu huren we een soort van Houtense cloud.
We hebben Dropbox overigens niet geblokkeerd. Zowel onze medewerkers als de raadsleden hebben een eigen verantwoordelijkheid,
en daar moet je op kunnen vertrouwen."
29 H E A D L I N E M otiv biedt s nelle en veili g e be s t a nd s uitwi s s elin g met mS a f e D irect
VO L G E N D E P A G I N A ' M i dd e l e n g e n o e g o m e e n g e a v a n c e e rd e a a n v a l t e o n d e r s c h e p p e n ’ › P . 3 2
V EILIGE BESTANDSUIT W ISSELING | M SA F E | M SA F E DI R E C T | M OTI V
V EILIGE BESTANDSUIT W ISSELING | M SA F E | M SA F E DI R E C T | M OTI V
motiv nieuws
Motiv biedt snelle en veilige bestandsuitwisseling met mSafe Direct
Motiv kondigt de beschikbaarheid aan van ‘mSafe Direct’.
Hiermee kunnen documenten snel, veilig en eenvoudig
worden gedeeld met één contactpersoon.
mSafe Direct vormt een belangrijke uitbreiding
van mSafe, Motiv’s platform voor het uiterst veilig uitwisselen van gevoelige documenten. De
basis van Motiv mSafe is een werkruimte die
een organisatie bijvoorbeeld per project, klant of
contactpersoon aanmaakt en die alleen toegankelijk is met een gebruikersnaam, wachtwoord
en een sms-code. Gebruikers kunnen vervolgens
bestanden uploaden naar de werkruimte.
mSafe is uiterst veilig door de sterke
authenticatie op basis van gebruikersnaam,
10GBen eenmalige sms-code,
wachtwoord
de continue bewaking van het platform
en de malwarescanning door Motiv.
10GB
mSafe is een Nederlands product dat
10GB
wordt gehost in Nederlandse datacenters.
10GB
30 MM 01 | voorjaar 2014
mSafe kan volledig op maat en in uw
eigen huisstijl worden geleverd, met een
voor uw gebruikers herkenbare interface.
Met mSafe Direct is het nu ook mogelijk om –
zonder eerst een werkruimte aan te maken – tot
maximaal tien documenten rechtstreeks met één
contactpersoon te delen. Vijf dagen na uploaden
worden de documenten automatisch verwijderd.
De uploaddata worden voortaan getoond in een
aparte kolom in de gebruikersinterface. Daarnaast
heeft Motiv enkele wijzigingen doorgevoerd die
10GB
mSafe is geschikt voor zeer grote
bestanden, tot wel 10 GB.
mSafe is eenvoudig te koppelen
aan uw eigen domeinnaam.
mSafe maakt integratie met uw
intranet of bedrijfsapplicatie mogelijk,
onder de voorwaarde dat er een
VPN-koppeling met de klant is.
het gebruik laagdrempeliger maken. Zo is er een
pagina toegevoegd met Frequently Asked Questions waar de gebruiker antwoorden kan vinden
op de meest gestelde vragen. Als de gebruiker
zijn vraag niet terugvindt, is er een mogelijkheid
om een vraag te stellen vanuit de FAQ-pagina.
mSafe Direct
N ieuw!
+ Sleep max 10 bestanden in
dit vak om deze te uploaden
mSafe Direct
overzicht
0
Continue verbeteringen
Motiv mSafe is speciaal ontwikkeld voor het uitwisselen van zakelijke documenten, zoals personeelsdossiers, medische dossiers of financiële
informatie. Uitgangspunten zijn maximale veiligheid en betrouwbaarheid. Zo zijn sterke authenticatie, scanning op malware en versleuteling standaard. Door de dienst continu te bewaken, wordt
oneigenlijk gebruik van het platform voorkomen.
Sinds de introductie van mSafe in februari 2013
heeft Motiv de functionaliteit van het platform al
op vele punten uitgebreid. Zo is het sinds eind
2013 standaard mogelijk om mSafe te koppelen aan Microsoft Active Directory. Door mSafe
te koppelen aan Active Directory neemt het
gebruiksgemak aanzienlijk toe. Gebruikers die
binnen de directoryservice van Microsoft zijn
geautoriseerd voor gebruik van mSafe, kunnen
snel en eenvoudig toegang krijgen tot mSafewerkruimtes. Gebruikers kunnen zich bij mSafe
aanmelden door bijvoorbeeld te klikken op een
link in Microsoft SharePoint.
Een andere verbetering die Motiv heeft doorgevoerd, is de uitbreiding van mSafe met een
‘dienstwerkruimte’ voor het geautomatiseerd
ontvangen van gebruiksrapportages.
'Bedrijven zijn met mSafe niet alleen
verzekerd van een uiterst veilige bestands uitwisseling via internet, maar blijven ook volledig 'in control' over hun eigen gegevens'
Bastiaan Schoonhoven, marketing manager bij Motiv
Ook is de mogelijkheid toegevoegd om permanente werkruimtes aan te maken. Een dergelijke
ruimte, die alleen kan worden aangemaakt door
een beheerder, heeft zelf geen vervaldatum.
Wel hebben de documenten binnen een permanente werkruimte een vervaldatum die kan
worden aangepast.
Kracht van de cloud
“Motiv mSafe biedt de beheerder van een werkruimte de informatie die nodig is bij het aantonen
van compliance of het overleggen van een auditlog”, zegt Bastiaan Schoonhoven, marketing manager bij Motiv. “Daarmee zijn bedrijven niet alleen
verzekerd van een uiterst veilige bestandsuitwisseling via internet, maar blijven ze ook volledig
‘in control’ over hun eigen gegevens. Die controle ontbreekt bij consumententoepassingen als
Dropbox, Google Drive of WeTransfer.”
Updates die beschikbaar komen, zijn direct en
zonder extra kosten beschikbaar voor alle gebruikers van mSafe. “Hieruit blijkt de kracht van
Motiv’s cloudpropositie”, aldus Schoonhoven.
“Voor de opkomst van cloudcomputing verscheen er misschien één keer per jaar een nieuwe
release van een softwareproduct, en om gebruik
te kunnen maken van de nieuwe features werd
je als gebruiker gedwongen om een nieuwe
licentie aan te schaffen. Met dat model rekenen
we nu genadeloos af.”
Een belangrijke verbetering is de
verdere uitbreiding van de controlemogelijkheden
Zo krijgt de beheerder van een werkruimte nu te zien:
• wie op welk moment een bepaald
document heeft geüpload, gedown-
load of gewijzigd,
• of er een virus is aangetroffen en
• wat het laatste moment van inloggen is geweest.
mSafe kan gedurende dertig
dagen gratis en vrijblijvend
worden uitgeprobeerd.
Kijk voor meer informatie op
www.msafe.nl of www.motiv.nl/
veilige-bestandsuitwisseling.
31 'Middelen genoeg om een
geavanceerde aanval
te onderscheppen’
“Geavanceerde aanvallen zijn de norm geworden.” Tot deze belangrijke conclusie kwam
Carl Leonard, Senior Manager bij Websense Security Labs, bij de presentatie begin april
van het ‘Websense 2014 Threat Report’.
Het ecosysteem waarbinnen geavanceerde aanvallen zich afspelen, wordt steeds complexer.
“Het ecosysteem kent een steeds grotere diversiteit aan spelers die uiteenlopende redenen
hebben om een aanval te openen”, zo lichtte
Carl Leonard toe tijdens een webinar die in het
teken stond van de resultaten uit het nieuwe
onderzoeksrapport van Websense. Hoewel financieel gewin nog altijd de belangrijkste reden
vormt om data te stelen, hebben hackers steeds
vaker ook andere motieven, zoals het verkrijgen van een concurrentievoordeel. “En niet
langer vormen alleen grote organisaties het doelwit, maar bijvoorbeeld ook specifieke sociale
groeperingen en zelfs individuen.”
Volgens Leonard worden de ‘bad guys’ steeds
professioneler. “Er is een wereldwijd crimineel
netwerk ontstaan waar tools voor het uitvoeren van een aanval ‘as-a-service’ worden aangeboden. Criminelen hoeven daardoor niet meer
vanaf nul te beginnen. Wie niet zelf de tools kan
bouwen, kan ze kopen.” Het resultaat is dat het
‘dreigingslandschap’ steeds sneller wijzigt. Zo
identificeert de Threatseeker Intelligence Cloud
van Websense 2,3 ‘state changes’ per seconde.
32 MM 01 | voorjaar 2014
Kill chain
In 2013 – de periode waarop het ‘2014 Threat
Report’ betrekking heeft – werden met de technologie van Websense meer dan 4,1 miljard live
aanvallen voorkomen. “Bij bijna alle aanvallen
werden technieken gebruikt die onder de radar
blijven van de traditionele beveiliging om vervolgens systemen te compromitteren en op het
besmette netwerk jacht te maken op vertrouwelijke data”, zo vermeldt het rapport.
In het rapport laat Websense zien welke zeven
stadia een aanvaller doorloopt om uiteindelijk
bij de gewenste data te komen (de ‘kill chain’),
en wat in 2013 per stap de trends waren:
• Stadium 1: het ‘opsporen’ (Recon) van een
slachtoffer, waarbij alles draait om het verga ren van zoveel mogelijk informatie. “De aanval ler bouwt een beeld op van een mogelijk
slachtoffer, bijvoorbeeld via LinkedIn of Twit ter”, aldus Leonard. De aanvaller gaat hier door gaans nog niet erg gericht te werkt. Een van
de adviezen van Websense op dit punt is om
gebruikers bewust te maken van de moge lijk gevoelige informatie die ze bijvoorbeeld
via sociale media delen.
• Stadium 2: het verleiden (Lure) van het slach toffer, door bijvoorbeeld een gemanipuleerde
webpagina voor te schotelen in de hoop dat
het slachtoffer daar zijn inloggegevens of
andere persoonlijke informatie invoert.
• Stadium 3: slachtoffers ‘redirecten’ van een
webpagina die er betrouwbaar uitziet naar een
site die exploit kits, exploit code of andere
kwaadaardige content bevat. “Zie een redirect
ook als een event”, zo luidde het advies van
Leonard. Uit het onderzoek van Websense
blijkt dat per aanval gemiddeld vier redirects
werden gebruikt.
• Stadium 4: een ‘exploit kit’ scant het systeem
van een gebruiker op bekende en onbekende
gaten in de beveiliging. “Er is een markt voor
exploit kits ontstaan – met namen als Black hole, Redkit en Neutrino – die maar moeilijk is
bij te houden”, aldus Leonard. Actief patchen is
volgens de Senior Manager het beste advies.
• Stadium 5: een ‘dropper file’ wordt gedown load op de machine van het slachtoffer
waarna aanvallers de omgeving kunnen
scannen en de controle over het besmette
systeem kunnen overnemen.
Hoe meer stappen een aanvaller kan
zetten, hoe groter de kans dat de
datadiefstal ook daadwerkelijk slaagt
Carl Leonard, Senior Manager bij Websense Security Labs
• Stadium 6: het besmette systeem ‘calls
home’ en neemt contact op met een Com mand & Control-server voor het downloaden
van additionele programma’s, tools en instruc ties. Leonard: “Daarom is het belangrijk om
ook het uitgaande communicatieverkeer te
scannen en monitoren en SSL/TLS-verkeer te
inspecteren.”
• Stadium 7: de daadwerkelijke datadiefstal.
De data worden – vaak in kleinere ‘data
drips’ – naar buiten gestuurd. Dat kan open
en bloot, via een beveiligde SSL/TLS-ver binding of verpakt in versleutelde files.
Het verkrijgen van inzicht in de zeven stadia is
volgens Websense belangrijk om een aanval zo
snel mogelijk in de kiem te kunnen smoren. Hoe
meer stappen een aanvaller kan zetten, hoe groter
de kans dat de datadiefstal ook daadwerkelijk
slaagt. “Wacht niet tot het allerlaatste moment
maar zorg dat je maatregelen neemt in de eerste
zes stadia”, zo luidde dan ook het belangrijkste
advies van Leonard. “Er zijn genoeg middelen om
een aanval eerder te onderscheppen.”
Realtime defensie
Om datadiefstal te voorkomen, is het volgens
Leonard noodzakelijk dat bedrijven gebruik
maken van een ‘complete en realtime defensie’.
Zo’n bescherming kan onder andere ontwijkingstechnieken zoals encryptie signaleren, afbeeldingen herkennen middels optical character recognition (OCR), alle communicatiekanalen beveiligen,
zowel het ingaande als het uitgaande verkeer
monitoren en inzicht bieden om te kunnen reageren op events en trends met een hoog risico.
Websense biedt met het TRITON-platform een
gecombineerde oplossing voor e-mail- en websecurity en Data Loss Prevention. DLP is bij Websense geen losstaande oplossing maar diep geïntegreerd in de TRITON-architectuur, middels
‘TruEmail DLP’ voor bescherming op de e-mailgateway en ‘TruWeb DLP’ voor bescherming op de
webgateway. Hierdoor zijn organisaties gedurende alle zeven stadia van de ‘kill chain’ beschermd.
Logging en rapportages zijn binnen één gebruikersinterface terug te vinden, evenals de forensische analyses van geconstateerde aanvallen.
Enkele belangrijke data uit het
Websense 2014 Threat Report
Het volledige Websense 2014 Threat Report kan worden gedownload
via www.websense.com/2014ThreatReport
De ‘intelligentie’ van het TRITON-platform wordt
dagelijks bijgewerkt vanuit de Websense ThreatSeeker Intelligence Cloud die meer dan negenhonderd miljoen eindpunten verbindt en die
met de Websense ACE (Advanced Classification
Engine) zo’n drie tot vijf miljard verzoeken per
dag analyseert. Ook wordt TRITON ‘gevoed’ door
de experts van het Websense Security Lab die
onophoudelijk bezig zijn om nieuwe bedreigingen in kaart te brengen.
E - M AIL - , W EB - EN DATASE C U R ITY | T H R EAT R EPO R T | W EBSENSE
E - M AIL - , W EB - EN DATASE C U R ITY | T H R EAT R EPO R T | W EBSENSE
Carl Leonard, Senior Manager bij Websense Security Labs
H E A D L I N E ' B e v e i l i g i n g s m a a t r e g e l e n m o e t e n d e t o e g e v o e g d e w a a rd e l e v e r e n d i e w i j n o o d z a k e l i j k a c h t e n '
E - M AIL - , W EB - EN DATASE C U R ITY | E - M AIL - EN W EB | C R EDIT EU R OPE BANK KIEST V OO R M OTI V
E - M AIL - , W EB - EN DATASE C U R ITY | E - M AIL - EN W EB | C R EDIT EU R OPE BANK KIEST V OO R M OTI V
inter v ie w S ander B ierens v an C redit E u r o pe B an k N . V .
Sander Bierens van Credit Europe Bank N.V.
'Beveiligingsmaatregelen
moeten de toegevoegde waarde leveren die wij noodzakelijk achten'
Het is een ongeschreven regel in de bankenwereld, een ‘gentlemen’s agreement’: op security wordt niet geconcurreerd. “Maar
omdat elke financiële instelling anders is, zijn er op het gebied
van informatiebeveiliging wel degelijk verschillen in de implementaties”, zegt Sander Bierens, Head of Operational Risk
Management and Information Security bij Credit Europe Bank.
Motivator sprak met Bierens over de keuzes die Credit Europe
Bank maakt.
Credit Europe Bank heeft, als algemene bank,
sinds 1994 een volledige banklicentie in Nederland. In de jaren die volgden is de financiële
dienstverlener uitgegroeid tot een wereldwijde
speler die met 6200 werknemers in 11 landen
ruim 4,2 miljoen klanten bedient.
hetzelfde. Bij Credit Europe Bank vinden we security belangrijk omdat we voor onze klanten een
betrouwbare partij moeten zijn. We volgen dan
ook de ‘industry best practices’ op het gebied van
security. Met name de controle- en beheersingsmaatregelen moeten gewoon optimaal op orde
zijn.”
Front-runner
Informatiebeveiliging vormt, als onderdeel van
de kwaliteit van de dienstverlening, een van de
speerpunten van Credit Europe Bank, zo begrijpen we van Sander Bierens. “Binnen de bankenwereld is er een soort ‘gentlemen’s agreement’
dat je niet concurreert op het gebied van security, maar geen enkele financiële instelling is
34 MM 01 | voorjaar 2014
Maar Credit Europe Bank ziet zichzelf ook niet als
een ‘front-runner’ op het gebied van informatiebeveiliging, zo benadrukt Bierens. “Als de markt
op een bepaald onderwerp reageert, is het niet zo
dat wij daar ook direct op duiken. We kijken heel
nauwgezet naar wat bij ons past en wat belangrijk is om te implementeren. Daarvoor hanteren
we een ‘risk-based approach’. Risicomanagement
is breed geïmplementeerd binnen de organisatie
conform ons Risk & Control-framework. Daarbij
hanteren we diverse richtlijnen.”
“We kijken goed naar onze producten en diensten en naar onze risico’s, en aan de hand van
onder andere audits en reviews bepalen we of
we voldoende maatregelen hebben getroffen
om een risico af te dekken en nemen we eventueel additionele maatregelen”, vervolgt Bierens.
“Daarbij is ons uitgangspunt dat we altijd ‘proven
technology’ willen hebben – en niet per se de
goedkoopste – maar die moet dan wel de toegevoegde waarde opleveren die noodzakelijk is.”
E-mail- en websecurity
Op het gebied van informatiebeveiliging onderhoudt Credit Europe Bank een langdurige relatie
met Motiv. Zo heeft Motiv bij Credit Europe Bank
een oplossing geïmplementeerd voor veilig telewerken en sterke authenticatie. “Als verantwoordelijke voor security- en riskmanagement gaat
het mij erom dat ik zaken doe met een betrouwbare partij. Motiv heeft al meerdere malen aangetoond die betrouwbare partij te zijn”, zo licht
Bierens de samenwerking toe.
'Ons uitgangspunt is dat we altijd 'proven
technology' willen hebben'
Sander Bierens van Credit Europe Bank N.V.
Een ‘geïdentificeerd risico dat moest worden aangepakt’ vormde recentelijk de aanleiding voor
een verdere intensivering van de samenwerking.
Deze verdere intensivering leidde tot de implementatie van een geconsolideerde oplossing
van Websense voor e-mail- en websecurity. Deze
oplossing kan in een later stadium nog worden
uitgebreid met functionaliteit voor Data Loss
Prevention (DLP).
“De consolidatie van Web Security, E-mail Security en eventueel ook DLP binnen één oplossing
levert aantrekkelijke voordelen op”, aldus Bierens.
“Met Websense kun je het aantal hardwarecomponenten terugbrengen van drie naar één, waardoor je lagere beheerkosten, een lagere investering in de apparatuur, en last but not least, een
lager energieverbruik hebt. Ook is Websense heel
sterk in het ‘schoon houden’ van de rapportages
en logs zodat dataverkeer niet direct is te koppelen aan een bepaalde medewerker. De privacy
van onze werknemers is daardoor te allen tijde
gewaarborgd.”
Over Credit Europe Bank
Never ending story
“Samen met Motiv gaan we ook nadenken over
de toekomstige situatie. Wat willen we bijvoorbeeld bereiken met DLP? Wat moet er gebeuren
als er een e-mail met een vertrouwelijk document
wordt verstuurd? ”, zo vraagt Bierens zich hardop
af. “Daar ligt de toegevoegde waarde van Motiv:
ons helpen met het identificeren van de vertrouwelijke data en dat koppelen aan een toekomstige DLP-oplossing. Dat is naar mijn mening een
‘never ending story’.”
Credit Europe Bank N.V. heeft zijn
hoofdkantoor in Nederland en was eind
2013 actief met 184 bijkantoren, 957
pinautomaten, 21.870 verkooppunten
en 22.600 ‘point of sale terminals’.
De bank heeft in elf landen ongeveer
6.200 werknemers in dienst. Meer
dan 4,2 miljoen klanten wereldwijd
vertrouwen hun financiële zaken toe
aan Credit Europe Bank.
Credit Europe Bank bedient zakelijke,
mkb- en particuliere klanten met een
breed portfolio aan bancaire diensten.
De bank is aanwezig in: Nederland,
België, China, Duitsland, de Verenigde
Arabische Emiraten, Malta, Oekraïne,
Roemenië, Rusland, Turkije en
Zwitserland.
35 HEADLINE Afsprakenstelsel geeft individu controle over persoonlijke gegevens
'Qiy stelt marktpartijen in staat om
op een veilige en privacyvriendelijke
manier persoonlijke gegevens aan
te bieden aan klanten'
Tal van grote private en publieke organisaties werken samen aan
de ontwikkeling van een onafhankelijk afsprakenstelsel voor het
online delen van persoonlijke gegevens. Dit ‘Qiy-afsprakenstelsel’
biedt individuen de controle over hun persoonlijke gegevens
en de mogelijkheid om gegevens gemakkelijk en toch veilig met
vertrouwde bedrijven en overheden te delen.
Qiyfoundation.org
Met de groei van de digitale economie doen
meer en meer mensen online zaken met bedrijven, overheden en elkaar. Probleem voor de
consument is de steeds groter wordende hoeveelheid gegevens en het gebrek aan controle
en overzicht. Online zijn wordt steeds meer een
‘gedoe’: continu inloggen om persoonlijke gegevens weg te brengen of op te halen. Het resultaat
is dat niemand meer weet waar al die data blijven
en wat ermee gebeurt. De roep om meer privacy
wordt daardoor alleen maar sterker.
36 MM 01 | voorjaar 2014
Samenwerking cruciaal
De huidige versnippering van persoonsgegevens
is een duidelijk geval van een ‘many to many’-probleem. Dit probleem kwam ook in andere markten voor, zoals in de telecommarkt en in de wereld van creditcards en betalingen. Sleutel tot het
oplossen van de problemen in dit soort versnipperde markten is een vorm van samenwerking
tussen concurrerende partijen. De vorm van deze
samenwerking noemt men een ‘scheme’ oftewel
een afsprakenstelsel. Bekende voorbeelden van
afsprakenstelsels zijn gsm voor mobiele telefonie,
Visa en MasterCard voor creditcards, iDEAL voor
online betalingen en ICANN in de internetwereld.
Als het gaat om persoonlijke gegevens is de samenwerking tussen verschillende partijen eveneens cruciaal. Individuen moeten toestemming
kunnen geven voor het delen van hun persoonlijke gegevens op een privacyvriendelijke manier.
De partijen die deze gegevens mogen gebruiken,
moeten in staat zijn om op een veilige, uniforme
en betrouwbare manier toegang tot deze gegevens te krijgen.
DIGITALE IDENTITEIT | Q IY - A F SP R AKENSTELSEL | Q IY F OUNDATION
DIGITALE IDENTITEIT | Q IY - A F SP R AKENSTELSEL | Q IY F OUNDATION
Afsprakenstelsel
geeft individu controle
over persoonlijke gegevens
Qiy-afsprakenstelsel
Als dit soort oplossingen voor samenwerking
op het gebied van gegevensuitwisseling goed
is ontworpen, goed wordt uitgelegd en aantrekkelijk wordt geprijsd, worden ze makkelijk en snel
geaccepteerd door consumenten. Maar bestaat
een dergelijke oplossing? Het antwoord is ‘Qiy’,
een baanbrekende initiatief dat marktpartijen in
staat stelt om op een veilige en privacyvriendelijke manier persoonlijke gegevens aan te bieden
aan hun klanten. Motiv is intensief betrokken bij
dit initiatief.
In de afgelopen zes jaar heeft de Qiy Foundation
gewerkt aan een verbetering van de positie van
het individu voor wat betreft het beheer van de
eigen gegevens. Dat doet Qiy door individuen
een persoonlijk domein te geven waarmee zij
hun digitale gegevens kunnen beheren. Qiy geeft
individuen een veilige toegang tot hun persoonlijke gegevens binnen de overheid, bedrijven en
eigen online opslag. Vervolgens bepalen zij zelf
hoe en wanneer anderen gebruik mogen maken
van hun gegevens.
Het Qiy-afsprakenstelsel gaat live op 5 januari
2015. Om dat voor elkaar te krijgen, wordt een
grote inspanning geleverd door alle betrokken
partijen. Dit gebeurt in de vorm van deelname
aan wekelijkse werkgroepen die de afspraken
vastleggen over tal van onderwerpen. Motiv levert daaraan zijn bijdrage, naast de securitydiensten die Motiv al een aantal jaren levert aan Qiy.
Conclusie
de markt, blijft de fragmentatie van gegevens de
norm en zullen individuen nooit de controle over
hun privégegevens krijgen. De beschikbaarheid
van gevalideerde en dynamische gegevens lost
veel problemen op het gebied van dataverzameling, databeveiliging en privacy en de vaststelling
van de identiteit van het individu op.
Qiy en authenticatie
Uitwisseling van persoonlijke gegevens
heeft een stevige relatie met online
authenticatie, maar is niet hetzelfde.
Identificatie en online authenticatie
zijn voorwaardelijk voor het veilig en
betrouwbaar kunnen gebruiken van een
persoonlijk Qiy-domein. Een afsprakenstelsel als Qiy werkt complementair
aan eID aangezien Qiy zich richt op de
uitwisseling van persoonlijke attributen
(persoonlijke- en persoonsgegevens).
Zonder een goede set aan afspraken en een gecoördineerde regeling tussen de beide zijden van
37 HEADLINE 'We moeten het vertrouwen herstellen'
IDENTITEITS F R AUDE | R ESPE C T P R I V A C Y | ID - C O V E R | Q IY F OUNDATION
IDENTITEITS F R AUDE | R ESPE C T P R I V A C Y | ID - C O V E R | Q IY F OUNDATION
'We moeten het vertrouwen
herstellen'
Fotografie: Ruud Jonkers
I nter v ie w M aarten L o u man , mede - o prichter v an Q i y
ID-cover in campagnetijd
Rozen, pennen en ballonnen zijn ook
zo afgezaagd, moeten ze bij Groen
Liberaal in Almere hebben gedacht.
Deze ‘landelijke lokale partij’ ging
tijdens de campagne voor de
gemeenteraadsverkiezingen 2014
met stapels ‘ID-covers’ de straat op
en vestigde zo de aandacht op de
risico’s van identiteitsdiefstal.
‘Het internet is kapot!’, zo kopte NRC Next op 18 maart. Volgens
Maarten Louman van de Qiy Foundation is het defect onder andere
te wijten aan de onbalans die op internet is ontstaan tussen individuen en grote
organisaties. Dat is de reden dat Qiy al in 2007 begon na te denken over een manier
om mensen meer controle te geven over hun eigen gegevens online.
Qiy en Motiv
Samen met ‘respectvolle’ organisaties
werkt Motiv aan hulpmiddelen die mensen en organisaties verder helpen met
de bescherming van hun gegevens, zowel
op internet als in de echte wereld. Een
goed voorbeeld daarvan is het Respect
Privacy Programma, een initiatief van
de Qiy Foundation. Motiv ondersteunt het
Respect Privacy Programma van harte,
omdat wij ervan overtuigd zijn dat alleen
het respecteren van elkaars privacy en
een zorgvuldige omgang met gegevens
leidt tot vertrouwen.
Als Security- en Technologypartner van
Qiy zet Motiv het onafhankelijke Qiy Trust
Framework in als onderdeel van het totale
portfolio richting klanten. Met Qiy wil
Motiv de digitale identiteit van relaties
kunnen waarborgen. Kijk voor meer
informatie op: www.motiv.nl/qiy.
38 MM 01 | voorjaar 2014
“Het internet is ooit bedacht om een ‘operating
field’ te creëren waar iedereen gelijk is en iedereen
dezelfde mogelijkheden heeft”, schetst Louman.
“Maar het zijn nu vooral de bedrijven en grote
organisaties die profiteren van de schaalvoordelen
van het world wide web. Het is heel erg doorgeslagen.”
Als voorbeeld geeft hij de slimme apparaten die
steeds vaker ongemerkt informatie doorsluizen.
Zo sturen slimme energiemeters gebruiksgegevens door naar de energiemaatschappij en staan
de nieuwste elektrische auto’s voortdurend in
contact met de fabrikant om de automobilist zo
goed mogelijk van dienst te kunnen zijn. “Maar
niet alle data worden alleen voor mij gebruikt”,
stelt Louman, “terwijl ík die auto heb gekocht en
ík in die auto rij. Mag ik dan op z’n minst zien welke
data worden verzameld en wat ermee gebeurt?”
Controle kwijt
Volgens de mede-oprichter van Qiy en de Qiy
Foundation zijn we gaandeweg de controle over
onze eigen data kwijtgeraakt. “Waar vroeger alle
correspondentie via één brievenbus binnenkwam,
staan nu op allerlei websites en portals brieven
zonder envelop op je te wachten zonder dat je
daar zelf voor gekozen hebt. Ondertussen heb je
wel een verplichting om naar bijvoorbeeld ‘MijnKPN’ te gaan en krijg je een herinnering als je te
laat betaalt. Een term als ‘MijnKPN’ is overigens
ook raar, want die omgeving is helemaal niet van
mij, maar van KPN.”
Het resultaat is dat steeds meer partijen privacygevoelige gegevens verzamelen terwijl je als
individueel persoon nauwelijks kunt controleren
of die gegevens op een veilige manier worden
opgeslagen. Volgens Louman wordt identiteitsdiefstal dan ook een steeds groter probleem.
Voor bedrijven is het heel belangrijk een nauwkeurig profiel op te stellen van een (potentiële)
klant. Daarmee kunnen ‘aanbiedingen’ steeds
persoonlijker worden. Data zijn dus waardevol.
Voor bedrijven, maar ook voor klanten. “Wij produceren met z’n allen data, ook wel aangeduid
als het ‘nieuwe goud’, maar de voordelen vallen
vooral aan de kant van de bedrijven”, aldus
Louman.
Gertjan Kloek (rechts) overhandigt namens Groen Liberaal een ID-cover.
ID-covers
Persoonlijk domein
Volgens Louman wordt het tijd om de controle
over de data te heroveren zodat ieder voor zich
de waarde van zijn data kan bepalen en ook kan
bepalen wat daarmee gebeurt. “We moeten het
vertrouwen herstellen.” Qiy doet dat met een
‘Trust Framework’ waarbinnen een individuele
gebruiker een persoonlijk domein heeft, oftewel
‘een eigen veilige plek op het internet. Vanuit
die plek kan de gebruiker een veilige verbinding
leggen met gegevens die over hem of haar gaan.
“Binnen dit domein bepaal je zelf welke organisaties je vertrouwt en deel je alleen de informatie
die een andere organisatie ook echt nodig heeft.
Het is helemaal opgebouwd vanuit de gedachte
‘privacy by design’.” De Qiy Foundation ziet er als
onafhankelijke stichting op toe dat de ‘spelregels
met betrekking tot respect mensen en privacy’
worden nageleefd.
Het persoonlijke domein heeft een grote gelijkenis
met een andere oplossing van de Qiy Foundation: de ID-cover. Met dit hoesje kan de privacygevoelige informatie op een identiteitsbewijs worden afgeschermd (zie ook het kader). “Iedereen
mag een identiteitsbewijs zien, maar slechts weinig instanties hebben het recht om een volledige
kopie te maken”, aldus Louman. De ID-cover zorgt
ervoor dat bijvoorbeeld de foto, het Burgerservicenummer en het documentnummer onzichtbaar
zijn. Dit zijn wel de gegevens die een fraudeur
nodig heeft om een identiteitsbewijs te vervalsen
en op naam van iemand anders huizen te kopen,
bankrekeningen te openen of auto’s te huren.
De covers worden onder andere verstrekt door
de ANWB en een groot aantal gemeenten. “De
Nederlandse Vereniging voor Burgerzaken (NVVB)
doet de verkoop richting de gemeenten”, vertelt
Louman. “Maar ook commerciële bedrijven die
het belangrijk vinden om de privacy van hun
klanten te beschermen, kunnen de ID-covers
uitreiken. Met een eigen logo erop is het nog
een mooi pr-middel ook.”
“Het aantal identiteitsfraudes neemt
sterk toe en de schade is enorm”,
zo stelde Gertjan Kloek, die namens
Groen Liberaal in de race was voor
een zetel in de Almeerse gemeenteraad. “Criminelen worden zich steeds
bewuster van wat ze met een gestolen
en vervalste identiteit kunnen doen.”
Fraudeurs kunnen met een gestolen
identiteit bijvoorbeeld bankrekeningen
openen of betalingen verrichten.
“Daar komt bij dat het risico om te
worden gepakt gering is.”
“Let goed op je eigen gegevens, daar
ben je zelf verantwoordelijk voor”, zo
luidde dan ook het advies in campagnetijd. Volgens Kloek heeft de overheid
wel een taak om de burgers te helpen
bij het beschermen van de privacy
en bewust te maken van de risico’s.
“Iedereen begrijpt waar een slot op de
deur voor dient, maar dat gaat nog niet
op voor de bescherming van de privacy.
Heel veel mensen weten bijvoorbeeld
niet dat alleen overheidsinstellingen
een volledige kopie van een identiteitsbewijs mogen maken. Laat je dus niet
ompraten door bedrijven die een kopie
willen maken, want die mogen het
identiteitsbewijs alleen zien waarna je
bijvoorbeeld de foto mag afdekken. Met
een ID-cover om het identiteitsbewijs
is alleen de noodzakelijke informatie
zichtbaar.”
39 H E A D L I N E ‘ W e z i j n va n e e n F i at Pa n d a n a a r e e n J a g u a r g e g a a n ’
NE X T GENE R ATION SE C U R ITY | NE X T GENE R ATION F I R E W ALL | DINKG R E V E SOLUTIONS
NE X T GENE R ATION SE C U R ITY | NE X T GENE R ATION F I R E W ALL | DINKG R E V E SOLUTIONS
I nter v ie w R am o n D riessen en R enz o Z itman v an D in k g re v e S o l u ti o ns
'We zijn van een
Fiat Panda naar een
Jaguar gegaan'
Fotografie: Ruud Jonkers
Ramon Driessen en Renzo Zitman van Dinkgreve Solutions
“Bij ons is alles groot. Dat geldt niet alleen voor het pand waar we in zitten, maar
ook voor de uitdagingen waar we mee te maken hebben en de stappen die we zetten”,
zegt Renzo Zitman, Managing Director van Dinkgreve Solutions. Om grote stappen te
kunnen zetten, moest er bij Dinkgreve Solutions wel eerst rust komen in de netwerkinfrastructuur. Die rust kwam er met nieuwe core-switches van Juniper Networks
en een Next-Generation Firewall van Check Point Software Technologies.
Renzo Zitman (links) en Ramon Driessen
Per dag twee miljoen unieke bezoekers die samen
dagelijks tweehonderd miljoen unieke hits en een
traffic van tussen de 1,5 en 4 Gigabit per seconde
genereren. “De meeste bedrijven in Nederland
hebben nog nooit een dergelijke traffic en load
gezien of ervan gehoord”, zo weet Managing
Director Renzo Zitman van Dinkgreve Solutions.
De genoemde statistieken zijn afkomstig van Funix, een contentplatform dat in 1998 is gestart
door de huidige eigenaar van Dinkgreve Solutions.
Naast ‘erotisch entertainment’ bestaat veel van
de content die door externe leveranciers op het
platform wordt aangeboden uit foto’s en video’s
van modellen en andere beroemdheden. Voor
de vaste klantenkring is er een ‘bulletin board’
waar bezoekers bijvoorbeeld informatie over
modellen met elkaar kunnen uitwisselen.
40 MM 01 | voorjaar 2014
Gouden ei
Funix wordt gehost, beheerd en technisch verder
ontwikkeld door Dinkgreve Solutions dat deel uitmaakt van dezelfde holding. “Funix is het gouden
ei dat moet worden bewaakt, maar het is wel een
ei van vijftien jaar oud”, stelt Zitman. Om een verdere groei te faciliteren en nieuwe functionaliteiten
te kunnen toevoegen, staat nieuwbouw van het
platform hoog op de agenda. “Dat is een mooie
prikkel om aan de slag te gaan met de nieuwste
technologie die nog net niet in gebruik is.”
“Onze uitdaging is om met het ijzer dat we tot
onze beschikking hebben de meest stabiele, betrouwbare en snelle omgeving te creëren”, zo
schetst Ramon Driessen, Manager Operations van
Dinkgreve Solutions. “En daar zijn wij erg goed
in. Die tweehonderd miljoen unieke hits per dag
verwerken we nu met 180 servers. Vergelijkbare
sites hebben een serverpark dat minimaal vier keer
zo groot is.”
Infrastructuur in code
“Wij hebben de kennis en kunde om er tot diep
in de techniek voor te zorgen dat een website of
platform soepel draait”, stelt Zitman. De Managing
Director haalt in dat verband onder andere de
methodes DevOps en Continuous Integration aan
die ‘het verschil maken’. Bij Continuous Integration
worden wijzigingen direct door de ontwikkelstraat
‘deployed’ waardoor sneller kan worden gestuurd
op de kwaliteit. “DevOps zorgt ervoor dat beheer
en ontwikkeling deel uitmaken van hetzelfde team
waardoor infrastructuur en softwarecode optimaal
op elkaar zijn afgestemd. Technisch ga je de infrastructuur dan als code behandelen.”
“Als je de infrastructuur in code hebt, kun je een
‘receptuur’ schrijven voor het uitrollen van servers
waardoor je een platform heel snel kunt opschalen”, legt Driessen uit. “De volgende stap is dat je de
infrastructuur automatiseert aan de hand van de
performance. Op het moment dat de performance
daalt, worden er automatisch servers uitgerold
op het platform. Dat kan op eigen hardware zijn,
of in de cloud.”
'Onze kracht ligt in het ontwikkelen van 'high-traffic, high-performance en high-
secure' applicaties'
Ramon Driessen, Manager Operations van Dinkgreve Solutions
Nieuwe propositie
De ‘kennis en kunde’ waar Zitman en Driessen het
over hebben, wordt sinds kort ook aangeboden
aan externe klanten buiten de holding. “Wij bieden
consultancy op infrastructuur en code, de twee
takken binnen DevOps en Continuous Integration”, aldus Zitman. Driessen: “Het ontwikkelen van
‘high-traffic en high-performance’ applicaties, daar
ligt onze kracht. Maar ook ‘high-secure’. Met de
opkomst van internet is beveiliging opgeschoven
van de netwerklaag naar de applicatielaag. Dat betekent dat de security staat of valt met de manier
waarop applicaties zijn ontwikkeld. Je bent minder kwetsbaar als ‘security driven development’
deel uitmaakt van je applicatieontwikkeling.” De
nieuwe propositie gericht op externe klanten is
echter nog maar een deel van de herpositionering
waarin Dinkgreve Solutions zich momenteel nog
bevindt. >
41 H E A D L I N E ‘ W e z i j n va n e e n F i at Pa n d a n a a r e e n J a g u a r g e g a a n ’
HEADLINE Kan ik mijn cloudprovider vertrouwen?
> Sinds enkele jaren is Dinkgreve Solutions ook
belast met de ICT-ondersteuning van de andere
bewoners van het monumentale pand in Zeist,
waar de holding met al zijn dochters resideert en
waar ook andere bedrijven als huurder welkom
zijn. “Onze dienstverlening is met kantoorautomatisering, development en hosting heel divers”, vat
Zitman samen. “En vaak willen we veel sneller dan
in werkelijkheid mogelijk is. Iedereen die nieuw
binnenkomt bij Dinkgreve Solutions denkt: ‘wow,
wat gebeurt hier allemaal?’ En dat denken ze drie
maanden later nog steeds.”
Rust
De herpositionering binnen de holding die enige
tijd geleden in gang is gezet, en de nieuwe propositie die is neergezet, hebben ertoe geleid dat
Dinkgreve Solutions in korte tijd ruimschoots is
verdubbeld in omvang. Om een snelle ontwikkeling van het bedrijf mogelijk te maken, was het
volgens Driessen wel noodzakelijk dat er op netwerkniveau ‘rust en stabiliteit’ kwam. “Toen ik ruim
twee jaar geleden in dienst kwam, trof ik een kantoorautomatisering en facilitaire systemen aan die
niet bepaald stabiel waren ingeregeld. We lagen
er iedere week wel twee tot vier uur uit door een
netwerkstoring. Een van mijn eerste doelstellingen
hier was dan ook het onder controle krijgen van
de systemen en dus ook de hardware.”
Motiv kreeg van Driessen de opdracht om de oude
core-switches te vervangen door nieuwe apparaten van Juniper, een vervanging waarvoor de complete netwerkinfrastructuur ‘op de schop’ moest.
C LOUD C O M PUTING | C LOUD C ONT R OLS M AT R I X | OPINIE | M OTI V
NE X T GENE R ATION SE C U R ITY | NE X T GENE R ATION F I R E W ALL | DINKG R E V E SOLUTIONS
c o l u mn d o o r B astiaan S ch o o nh o v en , mar k etin g mana g er bij M o ti v
I nter v ie w R am o n D riessen en R enz o Z itman v an D in k g re v e S o l u ti o ns
'Wij zijn een eigenwijs bedrijf waar
de eisen heel hoog liggen'
Renzo Zitman, Managing Director van Dinkgreve Solutions
“Dat heeft Motiv uiterst kundig gedaan. We zijn
van een Fiat Panda naar een Jaguar gegaan.
Daardoor zijn we nu storingsvrij wat voor veel
rust en stabiliteit zorgt. In plaats van een reactieve
organisatie die vooral druk is met het blussen van
brandjes zijn we nu een proactieve organisatie
die met vertrouwen nieuwe dingen oppakt.”
Een volgende stap in het creëren van rust was
het vervangen van de firewalls – die waren gebaseerd op een open source Linux-distributie – door
een Next-Generation Firewall van Check Point.
“We wilden een uitgebreidere bescherming hebben tegen aanvallen van buitenaf en ook van op
afstand veilig kunnen werken. Daarnaast hadden we behoefte aan uitgebreidere rapportages”,
aldus Driessen.
“We hebben een aantal mogelijke oplossingen tegen het licht gehouden, maar Check Point kwam
als een van de weinigen op alle punten als sterkste
uit de bus. Deze leverancier biedt niet alleen een
gecombineerd product voor een uitgebreide bescherming, maar ook uitgebreide rapportages.”
Renzo Zitman
Dinkgreve Solutions gebruikt in totaal zeven ‘software-blades’ om de standaard firewallfunctionaliteit uit te breiden met zaken als applicatiecontrole,
inbraakpreventie en een veilige remote acces. “Het
mooiste is misschien wel dat de Next Generation
Firewall je actief beschermt tegen de nieuwste
dreigingen. Check Point biedt binnen ‘no time’ bescherming tegen 0-day exploits. Die bescherming
zetten we dan direct in.”
Pico bello op orde
Driessen en Zitman denken inmiddels na over de
volgende stappen die nodig zijn om de infrastructuur nog verder op orde te brengen. “We kijken
nu naar de mogelijkheden voor mobile security,
want mobiele devices die toegang hebben tot
bijvoorbeeld de Exchange-server vind ik toch wel
eng”, aldus Driessen. Ook een vernieuwing van het
draadloze netwerk is in overweging. “Wij zijn een
eigenwijs bedrijf”, concludeert Zitman, “waar de
eisen heel hoog liggen om de zaken ‘pico bello’ op
orde te brengen.”
door Bastiaan Schoonhoven,
marketing manager bij Motiv
Kan ik mijn cloud provider vertrouwen?
Discussies over de risico’s van cloudcomputing blijven vaak
steken bij vragen als ‘waar staan mijn data?’ en ‘geeft de
Patriot Act de Amerikaanse overheid het recht om in mijn
data te kijken?’. Er is echter een veel fundamentelere vraag
die moet worden beantwoord als een bepaalde cloudprovider wordt overwogen: ‘Durf ik het beheer en de beveiliging
van mijn data toe te vertrouwen aan deze provider?’ Om die
vraag te kunnen beantwoorden, moet naar veel meer worden
gekeken dan alleen de locatie van de data.
Clouddiensten zijn complexe systemen die zijn opgebouwd uit verschillende ICT-componenten. Om de betrouwbaarheid en veiligheid
van zo’n clouddienst te kunnen beoordelen, moet dus niet alleen worden
gekeken naar de locatie van de data. Ook moet worden gekeken
naar de maatregelen die een provider treft om data te beschermen
en te voorkomen dat een besmetting zich verder verspreidt naar de
andere gebruikers van de gedeelde cloudomgeving, naar de procedures die worden gevolgd bij het wissen van data (zijn gewiste data
gegarandeerd weg?) en de beveiliging van de interface tussen de
klant en de gebruiker.
De lijst met aandachtspunten is echter nog veel langer. Zo komt
de European Union Agency for Network and Information Security
(ENISA) in zijn document Cloud Computing – Benefits, risks and
recommendations for information security1 al tot een opsomming van
ruim twintig risico’s, en geeft daarbij aan dat de ‘uitgebreide juridische overwegingen’ in een apart document worden behandeld. Tot
de ‘top security risks’ behoren volgens ENISA onder andere de risico’s op het verlies van controle en het risico op een vendor lock-in.
Voor een individuele klant is het onmogelijk om de cloudprovider op
al deze punten te beoordelen. Gelukkig zijn er ‘checklists’ beschikbaar
die kunnen helpen bij het in kaart brengen van de risico’s die de
keuze voor een bepaalde cloudprovider met zich meebrengt. Zo biedt
de Cloud Security Alliance de ‘Cloud Controls Matrix’ waarvan in
september 2013 versie 3.0 verscheen2. In deze lange lijst met
beveiligingsmaatregelen die de provider – en soms de klant – moet
nemen, staat onder andere dat het ontwerpen, bouwen en uitrollen
van applicaties en interfaces de ‘door de industrie geaccepteerde
standaarden’ moet volgen, dat ‘data en objecten die data bevatten
geclassificeerd moeten zijn’ en ‘risk assessments minimaal één keer
per jaar moeten plaatsvinden’.
Deze Cloud Controls Matrix is weer gebaseerd op andere industriestandaarden en raamwerken zoals ISO 27001/2 voor Informatiebeveiliging, de principes van de Payment Card Industry Data Security
Standard (PCI DSS) en het Information Assurance Framework van
ENISA.
Rest wel de vraag wie toeziet op de betrouwbaarheid en volledigheid
van de beschikbare checklists en welke ‘meetlatten’ geschikt zijn om
een provider langs te leggen? Gelukkig heeft ENISA ook een antwoord op deze vraag in de vorm van de Cloud Computing Certification
Schemes List, CCSL3. Met deze lijst biedt ENISA een overzicht van
‘schema’s’ die geschikt zijn voor het beoordelen van de betrouwbaarheid en beveiliging van clouddiensten.
1 |https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloudcomputing-benefits-risks-and-recommendations-for-information-security
2 |https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3/
3 |https://resilience.enisa.europa.eu/cloud-computing-certification
Ramon Driess
en
42 MM 01 | voorjaar 2014
43 'Bescherm alleen
de belangrijkste
zaken'
Het ziet er naar uit dat 2014 een uitdagend jaar gaat worden voor enterprise
beveiliging. Het aantal aanvallen nam in 2013 toe, en de verdedigingskosten stegen.
Criminelen zijn goed georganiseerd en opgeleid. Onze verdedigingslinie is minder
succesvol. Met Art Gilliland, senior vice president en general manager van
HP Enterprise Security, bespraken we hoe we onze data kunnen beschermen – en
welke data het echt waard zijn om te beschermen…
Bedrijven hebben de laatste tijd veel geïnvesteerd in het in stand houden van een sterke
perimeter. Dit lijkt echter een afnemende meeropbrengst op te leveren. Is het nog wel correct
om te investeren in netwerkbeveiliging?
Art Gilliland: “Vooral voor netwerkbeveiliging geldt
dat het niet zozeer minder relevant is geworden;
wat je binnen het netwerk doet en wat je beschermt is wel veranderd. Vanwege het gebruik
van mobiele apparaten zeggen veel mensen bijvoorbeeld dat de gebruiker de nieuwe perimeter
is. Maar al die individuele gebruikers maken nog
steeds verbinding met een netwerksuperstructuur en met services die het bedrijf levert. In plaats
van de traditionele firewall-aanpak, moet er van
worden uitgegaan dat men binnenkomt. Maar
44 MM 01 | voorjaar 2014
houd dan wel toezicht op wat er gebeurt qua
netwerkverkeer, begrijp welke applicaties worden
beïnvloed en tot welke informatie toegang wordt
gezocht. Onze veiligheid dient zich veel meer te
focussen op identiteiten, en het netwerk is een van
de plaatsen om identiteiten te handhaven.”
Moeten we ons vooral richten op individuele
aanvallers in plaats van meer generieke beveiligingsstrategieën?
“De realiteit is dat er altijd nieuwe dreigingen zullen zijn, omdat tegenstanders zich blijven ontwikkelen. Ze volgen niet een enkele methode. Ze
hebben wellicht gedragsnormen, maar zodra die
normen niet werken, zullen ze het proces dat wel
werkt creëren, lenen of van iemand anders kopen.
Dus we zullen hier slim mee moeten blijven omgaan en moeten bestuderen wie de slechterik in
zijn algemeenheid is. We moeten het ecosysteem
van de tegenstander beter begrijpen.”
De slechteriken profiteren van het gebruik van
een ecosysteem of markt. Welke tegenmaatregel
kunnen de goeden treffen?
“Onze industrie is vreselijk slecht in informatieuitwisseling: we helpen elkaar niet. Als we niet van
elkaar leren, delven we het onderspit, omdat de tegenstanders beslist wel van elkaar leren en kennis
van elkaar kopen. Wanneer we informatie delen,
kunnen we sneller actie ondernemen. Informatieuitwisseling is essentieel om ons beter te wapenen
tegen wat er gebeurt.”
Zijn er nog andere soorten beveiligingsmaatregelen die momenteel onvoldoende worden benut?
“Een aantal. De eerste betreft applicatiebeveiliging. Historisch gezien maakt ongeveer
84 procent van de inbrekers misbruik van kwetsbaarheden in een applicatie. Dit is al heel lang een
vaststaand feit voor de sector. Nu, met de explosieve toename van mobiele apps, vanuit de cloud
geleverde apps en zelfs de migratie van bestaande
legacy applicaties naar levering vanuit de cloud
binnen enterprises, krijgen we een nieuwe kans.
We herschrijven de toegang tot back-end toepassingen in mobiele apps. We herschrijven applicaties zodat ze te hosten en te leveren zijn vanuit de
cloud. Tijdens dat proces van herschrijven hebben
we de kans om een groot deel van de kwetsbaarheden die we in de oorspronkelijke apps hadden
gebouwd te evalueren en op te heffen. We hebben dat de eerste keer verknald, maar krijgen nu
een tweede kans: we zouden deze nieuwe toepassingen veiliger kunnen bouwen, en toch doen we
dat niet. In een recent door ons uitgevoerde studie
naar mobiele toepassingen bevatte 9 op de 10
apps tekortkomingen op het gebied van beveiliging. We moeten voor de volgende generatie applicaties betere code schrijven dan voorheen. We
hebben er de tools voor. We moeten er alleen in
gaan geloven dat het belangrijk genoeg is, en vervolgens ons gedrag aanpassen.”
En de tweede maatregel?
“Het tweede gebied betreft de aanpak van inbreuken die op een bepaalde manier misbruik
maken van de gebruiker. Dit betreft ook sociaal
gemanipuleerde aanvallen, en aanvallen waarbij
de beveiliging van gebruikers in het gedrang komt
omdat ze op iets klikten. Gebruikers tegen zichzelf
ENTE R P R ISE SE C U R ITY | ST R ATEGIE | IN F R AST R U C TUU R | H P ENTE R P R ISE SE C U R ITY
ENTE R P R ISE SE C U R ITY | ST R ATEGIE | IN F R AST R U C TUU R | H P ENTE R P R ISE SE C U R ITY
SVP Art Gilliland van HP Enterprise Security
'Over vijf jaar zal
onze infrastructuur radicaal
anders zijn.'
SVP Art Gilliland van HP Enterprise Security
helpen beschermen is iets wat we kunnen doen
met behulp van technologie. Een van de manieren waarop we dat doen, is door middel van tweefactor authenticatie waarbij niet alleen gebruikersnaam en wachtwoord worden gebruikt maar ook
iets dat gebruikers hebben of iets dat ze zijn, zoals
vingerafdrukken, handen of een token.”
De kosten van enterprise beveiliging nemen gestaag toe. Hoe denken CISO’s over de toewijzing
van beveiligingsbegrotingen voor 2014 en verder?
“De truc met beveiliging is het vinden van en heroriënteren op waar we ons geld aan uitgeven, zodat we alleen de belangrijkste zaken beschermen.
Zeventig tot negentig procent van de gegevens
binnen een bedrijf is, als iemand het zou stelen,
niet van belang. Maar bij vijf tot tien procent van
die data zou diefstal wel een probleem zijn. Wie
uitsluitend budget besteedt aan het beschermen
van de cruciale data – in plaats van alles te beveiligen – heeft veel minder budget nodig of kan de
kroonjuwelen veel effectiever beschermen voor
hetzelfde bedrag.”
U pleit dus voor het verwijderen van beveiliging
op niet-essentiële plaatsen. Zal het bedrijfsleven geen ongemakkelijk gevoel krijgen bij de,
over het geheel genomen, afgenomen bescherming?
“Dat is inderdaad het vraagstuk waar we voor
staan. Die overgang moét echter plaatsvinden, en
we moeten mensen helpen begrijpen waarom
het veiliger is dan wat we in het verleden hadden.
We moeten kunnen aantonen dat het beter is, en
dat de gegevens en activa die van belang zijn op
deze manier veiliger zijn.”
In hoeverre zal enterprise beveiliging over vijf
jaar zijn veranderd?
“Over vijf jaar zal onze infrastructuur radicaal anders
zijn. Kijk hoe snel alles de laatste vijf jaar is veranderd: we gingen van nergens mobiele apparaten
naar overal mobiele apparaten, en de veranderingen gaan steeds sneller. Waar en wat we moeten
beschermen gaat drastisch veranderen. Er is nu, en
dat zal alleen maar toenemen, een verwachting
dat we overal gemakkelijke toegang kunnen krijgen tot bedrijfsinformatie. In een dergelijke wereld
zullen we gerichter en flexibeler moeten omgaan
met de manier waarop we onze ondernemingen
beschermen.”
Meer over dit onderwerp leest u op:
www.hp.com/go/discoverperformance
Ga voor meer informatie over het ondernemen van de juiste strategische acties in het beveiligingslandschap van 2014 naar HP Enterprise Security voor onze gratis HP / IDG IT beveiligingsbeoordeling.
45 H E A D L I N E ' B e s c h o u w s e c u r i t y a l s e e n k wa l i t e i t s at t r i b u u t va n s o f t wa r e '
VO L G E N D E P A G I N A impre s s ie openin g motiv › P . 4 8
SE C U R E SO F T W A R E DE V ELOP M ENT | BE V EILIGINGSEISEN | V ISIE | M OTI V
SE C U R E SO F T W A R E DE V ELOP M ENT | BE V EILIGINGSEISEN | V ISIE | M OTI V
v isie
'Beschouw
security als een
kwaliteitsattribuut
van software'
Applicaties vormen de onmisbare intermediair tussen gebruikers en data,
maar juist op deze cruciale schakel gaat het vaak mis. “Het ontwerpen en bouwen
van kwalitatief goede software verlangt dat je goed nadenkt over de robuustheid,
beschikbaarheid, integriteit en vertrouwelijkheid van de software.”
projecten, zodat de leverancier ook weet welke
beveiligingseisen hij kan verwachten. De standaard beveiligingseisen kunnen onder andere
zijn ingegeven door de beveiligingsmaatregelen
die al zijn geïmplementeerd binnen de organisatie. Een voorbeeld hiervan is een BIV (Beschikbaarheid, Integriteit en Vertrouwelijkheid)-classificatie. De BIV-classificatie resulteert per klasse in
een minimale basis die kan worden gesteld aan
de beveiligingseis en de te nemen beveiligingsmaatregelen. Verder vormen normeringen als
NEN 7510 en ISO-standaarden als 27001/27002
al een goed uitgangspunt voor de eisen.
Bovenop deze standaard beveiligingseisen moeten vervolgens de specifieke beveiligingseisen
worden gedefinieerd die gelden voor een bepaalde applicatie of een bepaald project. Risicoanalyse vormt in deze fase een cruciale rol. “Door
het uitvoeren van een risico-analyse weet je hoe
groot de kans is op verstoring van een bepaald
proces”, vult Boer aan. “Als je de risico-analyse
combineert met een Business Impact Analyse
weet je ook hoe hoog de kosten van een incident
zijn. Dan heb je de risico’s meetbaar gemaakt.”
In enkele gevallen kan een risico-analyse ook
worden gecombineerd met een Privacy Impact
Analyse (PIA) in het kader van bijvoorbeeld de
Wet bescherming persoonsgegevens (Wbp).
Selecteren beveiligingsmaatregelen
Het Centrum Informatiebeveiliging en Privacybescherming (CIP) becijferde onlangs dat 75
procent van de beveiligingsincidenten is te wijten
aan softwarefouten. Volgens dit samenwerkingsplatform voor security binnen de overheid stellen opdrachtgevers te weinig eisen aan de door
de software geboden informatiebeveiliging en
privacybescherming. En door het ontbreken van
eisen schenken de leveranciers van de software
vervolgens ‘geen of onvoldoende aandacht’ aan
deze aspecten, zo schrijft het CIP in het begin
dit jaar gepresenteerde document ‘Grip op
Secure Software Development’1 dat als ‘handreiking’ moet dienen voor het ontwikkelen van
veilige en gebruiksvriendelijke applicaties.
Security als kwaliteitsattribuut
“Ook wij merken in de praktijk dat de aandacht
voor de ontwikkeling van veilige applicaties zeer
gering is, ook bij de leveranciers”, zo oordeelt
'Het opstellen van
beveiligingsmaatregelen is
een continu proces'
Rohald Boer, bij Motiv Business Line Manager
Applicatie Ontwikkeling. “En organisaties – die zich
richten op hun eigen business en de kansen die
ICT kan leveren – moeten hierin begeleid worden
door specialisten”, stelt Koen Herms, Software
Architect bij Motiv. “Vragen als ‘welke eisen moet
je stellen?’, ‘wat zijn de risico’s?’ en ‘hoe ga ik de
risico’s classificeren?’ zijn lastig te beantwoorden.”
“Het ontwerpen en bouwen van kwalitatief
goede software verlangt dat je goed nadenkt
over de robuustheid, beschikbaarheid, integriteit
en vertrouwelijkheid van de software”, vervolgt
Boer. “Je moet de security van software als een
kwaliteitsattribuut beschouwen. Dan pak je
informatiebeveiliging binnen software-ontwikkeling aan over de ‘as van kwaliteit’. Daarbij is
het belangrijk dat beveiliging op elk niveau van
de applicatieontwikkeling terugkomt; van het
functioneel, technisch ontwerp en ontwikkeling
tot en met het testen, accepteren en uitrollen.”
Opstellen beveiligingseisen
Een mogelijk startpunt voor de ontwikkeling van
veilige software – zoals dat ook wordt geschetst in
het document ‘Grip op Secure Software Development’ van het CIP – is het opstellen van standaard
beveiligingseisen door de opdrachtgever. Deze
basis beveiligingseisen gelden dan voor alle typen
Aan de hand van de specifieke beveiligingseisen
kunnen vervolgens de maatregelen worden ingevuld. “Maar webapplicaties vergen weer andere
maatregelen dan on-premise en mobiele applicaties”, aldus Boer. “Waar wij voor pleiten, is dat
je per type applicatie een basis aan beveiligingsmaatregelen definieert.”
Om ervoor te zorgen dat de maatregelen in
lijn zijn met de risico’s, maakt Motiv een onderscheid in:
• Publieke applicaties. In dit geval zijn de risico’s
laag en kan worden volstaan met ‘minimale’
beveiligingsmaatregelen.
Versleuteling van het verkeer is zo’n minimale
maatregel die altijd aanwezig moet zijn.
beelden van aanvullende maatregelen zijn
auditlogging, database-encryptie, een Web
Application Firewall en het valideren van de
applicatie voorafgaand aan iedere sessie.
• High secure applicaties. Op dit niveau kan er
in het geval van bijvoorbeeld mobiele applica ties voor worden gekozen om data-encryptie
op het toestel verplicht te stellen voor alle
lokaal opgeslagen gegevens, zo min mogelijk
data lokaal op te slaan, updates van de
mobiele applicatie te forceren en een
applicatie controleerbaar te maken vanuit een
MDM-oplossing.
'Motiv heeft zowel het ontwikkelproces
als het toegepaste niveau van informatie-
beveiliging aantoonbaar onder controle’
Rohald Boer, Business Line Manager Applicatie Ontwikkeling bij Motiv
Ook moet worden nagedacht over het identi ficatie- en verificatieproces en op regelmatige
basis moet worden gecontroleerd of de
applicatie nog correct functioneert.
• Confidentiële applicaties. Als een applicatie
bijvoorbeeld wordt gebruikt om transactiesys temen te raadplegen, zijn aanvullende beveiligingsmaatregelen noodzakelijk om de
confidentiële informatie te beschermen. Voor-
Continu verbeteren
“Maar het vaststellen van de beveiligingsmaatregelen is wel een continu proces”, zo benadrukt
Boer. “De wereld verandert. Maatregelen die in het
verleden zijn genomen, zijn misschien niet meer
afdoende voor de realiteit van nu.” Om ervoor te
zorgen dat de beveiliging van een applicatie in
de pas blijft lopen, behoort een proces voor veilige applicaties te voorzien in zaken zoals periodieke penetratietesten, codereviews en risicoacceptatie als is gebleken dat aan één of meer
beveiligingseisen niet meer kan worden voldaan.
“Dat zijn verantwoordelijkheden die je misschien
liever overlaat aan een specialist. Als je softwareontwikkeling als een SaaS-dienst afneemt, is de
uitvoerder verantwoordelijk voor de continue
verbetering van de applicatie .”
“Motiv is zowel ISO 20000, ISO 9001 als ISO 27001
gecertificeerd”, besluit Boer. “Daarmee bewijst
Motiv zowel het ontwikkelproces als het toegepaste niveau van informatiebeveiliging aantoonbaar onder controle te hebben. Onze
ontwikkelaars hebben security dan ook als
specialisatie en kijken naar zowel de functionaliteit als de veiligheid van de applicatie.”
1 | http://www.cip-overheid.nl/wp-content/uploads/2014/03/20140312_Grip-op-SSD-Het-proces-v1-02.pdf
46 MM 01 | voorjaar 2014
47 H E A D L I N E E en s pect a cul a ire openin g
48 MM 01 | voorjaar 2014
Een
spectaculaire
opening
UCCF
Vorig jaar namen de Motivaren hun intrek in een nieuw gebouw, op
steenworp afstand van de Poortdijk in IJsselstein waar het allemaal
begonnen is. Op 11 oktober 2013 werd met een spectaculaire show
het nieuwe pand officieel geopend: het was fantastisch!
ICT Security
De feestelijke opening van het nieuwe pand –
die geheel in het teken stond van het thema
‘ICT Security’ – viel samen met het 15-jarige
jubileum van Motiv. Ton Mooren, algemeen
directeur van Motiv: “In vijftien jaar tijd is Motiv
uitgegroeid tot een bedrijf met 90 medewer-
kers dat ondanks de snel veranderende digitale wereld altijd vooraan is blijven lopen op
het gebied van informatievoorziening en informatiebeveiliging. Het nieuwe pand zorgt voor
nieuwe mogelijkheden. De uitbreiding van de
dienstverlening met een eigen Security Operations Center is daar een goed voorbeeld van.”
Namens UCCF wil Motiv graag iedereen
bedanken die door een gift aan de Uganda
Child Care Foundation (UCCF) kinderen en
leerkrachten in Kakuuto ondersteunen.
Motiv is trots dat tijdens de opening
van ons nieuwe pand 4825 euro is
opgehaald, een fantastisch bedrag!
Het geld is direct ingezet voor de bouw van
een slaapzaal.
UCCF blijft op zoek naar donateurs die
kinderen gedurende hun gehele schooltijd
willen bijstaan met een relatief kleine
financiële donatie. Meer informatie is ook
te vinden op de website: www.uccf.nl.
49 H E A D L I N E Mo t i v v e r g r o o t g e bru i k sg e mak ' St e r k e Au t h en t i c at i e ' me t n i euw e p or ta l s
H E A D L I N E s M o t i vat o r o p t i m a a l v o o r u • M o t i v C a f é • i M o t i vat o r
B e a t the C y bercrimin a l a t T op s hel f O pen 2 0 1 4
motiv nieuws
Motiv vergroot gebruiksgemak
'Sterke Authenticatie'
met nieuwe portals
Motiv breidt de dienst ‘Sterke Authenticatie’ uit met nieuwe portals voor
eindgebruikers en helpdesks. Via de ‘Self Service Portal’ kan een eindgebruiker
zelf aangeven of hij gebruik wenst te maken van sms-authenticatie of van
authenticatie met behulp van een app op de smartphone. Via de ‘Helpdesk Portal’
kan de helpdesk van een bedrijf zelf het gebruikersbeheer verzorgen en
ondersteuning bieden bij hulpverzoeken die betrekking hebben op de dienst.
Motiv ‘Sterke Authenticatie’ is een cloudgebaseerde dienst voor het
inloggen op een telewerkvoorziening of (web-) applicatie. Voor
het inloggen moet de gebruiker niet alleen een gebruikersnaam
en wachtwoord invoeren, maar ook een code die per sms naar de
gebruiker wordt gestuurd of wordt gegenereerd door een app (het
‘soft token’) op de mobiele telefoon.
In de nu toegevoegde ‘Self Service Portal’ kunnen gebruikers zelf –
en op ieder gewenst moment – aangeven of de voorkeur uitgaat
naar sms-authenticatie of naar authenticatie met behulp het ‘soft
token’. Zo kan de gebruiker ervoor kiezen om in Nederland gebruik
te maken van sms-authenticatie, terwijl tijdens een verblijf in het
buitenland wordt overgeschakeld op het soft token. Dit token werkt
ook offline waardoor inlogcodes gegarandeerd direct beschikbaar
zijn. Voor de ondersteuning van gebruikers zonder smartphone is
het bovendien niet meer noodzakelijk om sms-authenticatie voor
alle gebruikers binnen de organisatie af te dwingen. De gebruikers
die wel over een smartphone beschikken, kunnen op individuele
basis zelf kiezen voor authenticatie via de app.
Een andere vernieuwing is de ‘Password Reset Portal’ die tegen
meerprijs beschikbaar is. Hiermee kunnen gebruikers die hun Windows-wachtwoord kwijt zijn zelf via sterke authenticatie online
hun Windows-wachtwoord opnieuw instellen. Inlogproblemen
behoren daarmee tot het verleden.
Gemak voor de helpdesk
Voor de helpdesk van de klant heeft Motiv de ‘Helpdesk Portal’ ontwikkeld. De helpdesk-medewerkers kunnen zelf het gebruik van
een afdeling of gebruiker inzien en zij kunnen de eindgebruikers
50 MM 01 | voorjaar 2014
Colofon
Motivator Magazine, voor
professionals in informatievoorziening en -beveiliging
optimaal voor u!
Motivator is voor mensen met een professionele interesse in
IT ook als online magazine te downloaden via www.motiv.nl.
Wij hopen dat wij u met Motivator van vakinhoudelijke en
functionele informatie voorzien.
U kunt online Motivator downloaden via www.motiv.nl en uw
profielgegevens e-mailen. Vermeld in de e-mail de volgende
gegevens:
Wilt u dat ons informatieaanbod nog relevanter wordt voor u?
Update dan nu uw profielgegevens en geef aan wat uw interessegebieden zijn. De juiste profiel- en interessegegevens stellen
ons namelijk in staat u nog beter van de juiste informatie te
kunnen voorzien.
Naam:
Functie:
Bedrijf:
Bedrijfsgrootte:
Aantal geautomatiseerde werkplekken:
MOtIV CAFé
Motiv biedt helpdesks
flexibiliteit en gebruiksgemak rondom het
afhandelen van calls
De Motiv-borrels in de Uitspanning op Poortdijk
13 in IJsselstein zijn inmiddels een begrip in
ICT-securityland. Tijdens deze informele netwerkbijeenkomsten ontmoeten medewerkers, klanten
en fabrikanten elkaar onder het genot van een
drankje en een hapje. De komende borrels staan
gepland voor vrijdag 13 juni en vrijdag 11 juli.
zelf ondersteunen bij problemen rondom inloggen. Bij een verzoek
om hulp van een eindgebruiker kan de helpdesk-medewerker zelf
inzien waarom de eindgebruiker niet correct inlogt. Op deze manier
biedt Motiv de helpdesk – zonder tussenkomst van Motiv – flexibiliteit en gebruiksgemak rondom het afhandelen van calls.
“Op het moment dat bijvoorbeeld een gebruiker niet kon inloggen,
moest een helpdesk voorheen Motiv bellen om de oorzaak uit te
laten zoeken”, zegt Bastiaan Schoonhoven, marketing manager
bij Motiv. “Nu kan een helpdeskmedewerker met behulp van een
gebruikersnaam, wachtwoord en code zelf inloggen op de helpdeskinterface waar direct is te zien waarom een gebruiker niet kan
inloggen.”
Via de Motiv Cloud
“Sterke Authenticatie is geplaatst in een hoog-beschikbare cloudoplossing van Motiv, de ‘Motiv Cloud’. Daardoor wordt de oplossing
standaard beschermd door een geavanceerde web application firewall en continu bewaakt door de security-experts van Motiv”, aldus
Schoonhoven. “Sterke Authenticatie is een integraal onderdeel van
ME E R I N FOR MAT I E ?
iMotivator
Motiv publiceert naast Mo
tivator de tweemaandelijkse
iMotivator. Deze digitale nie
uwsbrief verzorgt updates ove
r
de laatste ontwikkelingen op
het gebied van informatiebeveiliging en informatievoor
ziening, het laatste nieuws
en informatie over Motiv,
klantcases en evenementen.
Daarnaast besteden we aandac
ht aan securitytips en maatwerkoplossingen.
Schrijf u nu in op:
www.motiv.nl/nieuwsbri
ef/inschrijving-imotivat
or
en ontvang de nieuwe iMo
tivator!
w w w. mo t i v. n l / mo t i v/ e v en e men t en
het portfolio ‘Cloud- en datacenter-securitydiensten’ waarmee
Motiv een volledig pakket aan innovatieve beveiligingsmaatregelen biedt om de bestaande netwerk- en hostingdiensten te
beschermen tegen de alsmaar toenemende risico’s op het gebied
van hacking en misbruik op internet.”
De dienst Sterke Authenticatie maakt gebruik van standaard protocollen zoals LDAP en Radius waardoor de authenticatiedienst
geschikt is voor vrijwel alle telewerkoplossingen (Juniper Networks, Cisco, Citrix, Microsoft) en webapplicaties zoals intranet. De
administratie van gebruikersgegevens (mobiel telefoonnummer,
gebruikersnaam, wachtwoord en groepenbeheer) vindt plaats in
de bestaande Active Directory van de klant. Dit betekent voor de
klant geen dubbele administratie waardoor de oplossing zeer snel
inzetbaar is en geen extra beheerlast oplevert.
Beat the Cybercriminal at Topshelf Open 2014
Datum: 21 juni, 11.00 uur
In samenwerking met Websense organiseert Motiv een boeiende en inspirerende dag met een
sportieve inslag: Treed binnen in 'the office of
the CSO' tijdens de 25ste editie van het Topshelf
Open grastennistoernooi in Rosmalen.
Maak kennis met de zeven-stappen ‘kill chain’
van geavanceerde bedreigingen en hoe cybercriminelen deze gebruiken in hun aanvallen.
Het buiten houden van geavanceerde APT’s,
gerichte Zero-Day- en hardnekkige webdreigingen is een tijdrovende en zeer gespecialiseerde
tak van sport geworden. Beat the Cybercriminal
en discussieer over effectieve strategieën om uw
organisatie optimaal te beschermen.
Jaargang 4, nummer 1,
voorjaar 2014.
Contactgegevens
Motiv
Utrechtseweg 34E,
3402 PL IJsselstein
T +31 (0)30 - 68 77 007
F +31 (0)30 - 68 77 006
www.motiv.nl
[email protected]
Redactie
Bastiaan Bakker (Motiv)
Bastiaan Schoonhoven (Motiv)
Julia P.C. van Brink (Motiv)
Ferry Waterkamp
Concept & vormgeving
Studio Incognito buro voor de vorm, IJsselstein
Fotografie
Ruud Jonkers (Ruud Jonkers Fotografie)
iStockphoto
Druk
Drukkerij van Midden, Benschop
Advertentie-index
2 Juniper Networks
15Websense
23 Check Point
29F5
52RSA
Marketing
[email protected]
T +31 (0)30 - 68 77 007
Motivator Magazine is een uitgave
van Motiv ICT Security, IJsselstein
en verschijnt twee keer per jaar,
in een oplage van 3200 exemplaren.
© 2014 Motiv.

Productsheet CMSaaS

Flyer uitnodiging paasdienst 05.04.2015( 21×9.8)

Download onze folder!

Beveiligingsbewustzijn in de nutssector

Zomer 2014 - dejong

U wilt dat uw medewerkers altijd en overal kunnen

Voorbeeld van een installatie voor

Torenspits Nr.12 26 maart 2015