Opdracht: Risicoanalyse IT-omgeving
Klant: Beheerder van een uitgebreid portfolio aan vastgoedinvesteringen.

Kennis is macht. Kennis van anderen is meer macht. Bedrijfsspionage is van alle tijden. Informatie is kostbaar en is waardevolle handelswaar voor criminelen en sinds het internettijdperk ook overal beschikbaar. Jouw informatie ook. Dat wist ook onze klant met een uitgebreid portfolio aan vastgoedinvesteringen. VoiceByte is gevraagd om de risico’s van hun IT organisatie omtrent deze informatie in kaart te brengen en te analyseren op zwakheden.

Stap 1: Hoe wordt personeel geïnstrueerd?

De beste beveiliging zit hem vaak in het juist instrueren van personeel. Zij vormen vaak het grootste risico en zijn het meest onvoorspelbare element van de organisatie.

Stap 2: Controle van toegang. Zowel fysiek als virtueel.

Niet alleen personen hebben toegang tot gegevens. Ook apparaten beschikken over toegang. Een computer houdt vaak ongemerkt lokale kopieën bij van je email. Jouw bestanden staan, afhankelijk van de toepassingen, vaak her en der verspreid en zo is een thuiscomputer waar op wordt gewerkt ook een toegangspunt. Zelfs bij de beste gegevens-warehousing producten is het vaak mogelijk om bestanden te downloaden en andere apparaten te gebruiken.

Pas wanneer een organisatie voor 100% inzichtelijk kan maken hoe toegangen tot stand komen, kun je beginnen met het beveiligen ervan.

Stap 3: Gegevens-lifecycle in kaart brengen

Informatie komt ergens tot stand, vindt dan zijn weg naar jullie organisatie, gaat over enkele schijven en vindt uiteindelijk zijn weg naar een plek waar ze worden opgeslagen totdat ze weer nodig zijn. Dit is de fase waarin bedrijven erachter komen dat ze niet de volledige controle over hun gegevens kunnen behouden.

Veel van de informatie die bedrijven delen is reeds in het publieke domein geweest. Zij het via email, dan wel via een partner die de informatie heeft aangeleverd. Desondanks zijn er veel oplossingen om deze lifecycle van gegevens veel beter te beschermen tegen kwaadwillenden.

De oplossingen

Zoals geldt voor elk IT-systeem snijdt het aanbrengen van security vaak direct in de functionaliteit van de oplossing. Zo worden extra controles om toegang te verkrijgen al gauw irritant gevonden. Daar zit dan ook altijd voor ons de uitdaging. Uiteindelijk zijn we tot de volgende oplossingen gekomen:

1. Controle op toegang
Onze klant had geïnvesteerd in het beperken van toegang, maar wanneer de toegang eenmaal was verleend werd onduidelijk welke personen wat de informatie deden. Onze aanpassing was simpel. Een korter te gebruiken wachtwoord en rapportage aan de manager van de afdeling met welke gebruikers accounts en machines er wekelijks toegang was verkregen tot de informatie. Hierdoor onstond een situatie waarbij afdelingsmanagers zich meer betrokken voelden bij het vraagstuk en rare situaties eerder meldden bij hun IT.

2. IT in eigen beheer
Voor onze klant was dit onderdeel het meest tijdrovend en complex. We kwamen er al snel achter dat onze klant veel zaken en dienstverlening aan derden had uitbesteed. Dit was direct een securityhiaat, omdat men geen regie heeft op de veiligheid van andermans systemen.

Daar waar de inventarisatie tijdrovend was, was de oplossing uiterst simpel. Door twee kleine elementen van de IT-organisatie weer in eigen beheer te nemen, kon het security niveau flink omhoog worden geschroefd.

Benieuwd om welke IT-onderdelen dit ging? Of zelf een risicoanalyse laten uitvoeren door onze experts? Neem vrijblijvend contact op met een van onze security experts via 088-2326666 of schrijf een mail naar support@voicebyte.nl.

> Lees meer over bedrijfsnetwerk beveiliging
> Bekijk alle blogs & cases