Motivator voorjaar 2014

MAGAZINEnr. 01 – voorjaar 2014

VOOR PROFESSIONALS IN INFORMATIEVOORZIENING EN -BEVEILIGING

VISIE OP RISK MANAGEMENT

> P. 6

Risicomanagement raakt ieder aspect van de organisatie

MOTIV CLOUD- EN DATACENTER-SECURITYDIENSTEN

> P. 18

Maximaal profiteren van de voordelen van cloudcomputing

PIET WOUDT VAN DE GEMEENTE HOUTEN

> P. 26

'msafe is onze Houtense cloud'

en veRdeR

MOtiv BieDt SNeLLe eN veiLige BeStaNDSuitWiSSeLiNg Met MSaFe DireCt

SeCuritY aLS eeN KWaLiteitS-attriBuut vaN SOFtWare

'BeveiLigiNg WerKt vOOr ONS aLS eeN

MarKetiNgiNStruMeNt'

> P. 12 Bas Lierens van Reviva

sommige risico’s zijn gewoonweg niet voorzienHet beheersen van cyberrisico’s is een lastige klus. En toch moet

dit gebeuren. Tot 7 april had niemand rekening gehouden met de

‘Heartbleed’-kwetsbaarheid in OpenSSL. Dankzij Heartbleed bleek

een bijzonder groot percentage van de servers op internet ineens

kwetsbaar voor afluisteren. In zo’n geval is een snelle en grondige

incident/response essentieel. Maar risico’s voorkomen en verminderen

is nog altijd beter dan corrigeren. In deze Motivator een uitgebreide

beschouwing rondom risicomanagement in relatie tot cyberaanvallen.

Helaas blijkt het beheren van de genoemde risico’s geen exacte weten-

schap. Het model van het Amerikaanse National Institute of Standards

and Technology (NIST) biedt u een interessant model voor het

beheersen van risico’s.

Verder een uitgebreide update rondom de Motiv-propositie Cloud- en

datacenter-securitydiensten. En uitgebreid aandacht voor de ICT-

omgeving van Reviva Groep – e-commerce-expert met een full-

serviceconcept van shop-to-drop inclusief unieke fraudepreventie – die

continu door Motiv wordt beschermd tegen aanvallen vanuit internet.

Verder casussen rondom het voorkomen van datalekken bij de Credit

Europe Bank, veilige bestandsuitwisseling bij de gemeente Houten

en de visie van Dinkgreve op het creëren van high-traffic, high-

performance en vooral ook veilige applicaties.

Motiv heeft meer dan vijftien jaar expertise op het gebied van de bevei-

liging van netwerken, data en applicaties. Dankzij de ervaring op deze

drie gebieden heeft Motiv een oplossing voor veilige apps gebouwd.

De nieuwe SecureApp-proxy van Motiv biedt de mogelijkheid om snel

en veilig apps voor smartphones te ontwikkelen die een beveiligde

verbinding hebben met de bestaande data-

bases in uw datacenter. Op deze manier kunt

u profiteren van de toegevoegde waarde van

smartphones en tablets met de zekerheid

van gedegen bescherming tegen misbruik.

Voor nu wens ik u veel leesplezier en ik

hoop dat dit magazine u kan inspireren om

te werken aan een weloverwogen, risico-

gebaseerde aanpak voor ICT Security.

Bastiaan Bakker, Directeur Business

Development bij Motiv

vooRwooRdMAGAZINE

nr. 01 - voorjaar 2014 Coverbeeld: Bas Lierens van Reviva, geportretteerd door Ruud Jonkers Fotografi e.

Motivator Magazine is een uitgave vanMotiv ICT Security

Motiv Nieuws:

Risico’s van onveilig gebruik van Wifi-netwerken

Motiv Nieuws: De 'kill chain' in zeven fasen

Column: Kop in het zand

F5 laat applicaties optimaal profiteren van SDN

Breng data bewust naar de cloud

Arthur van Uden van Check Point: 'De markt is

rijp voor Software-Defined Protection'

Motiv Nieuws: Motiv biedt snelle en veilige

bestandsuitwisseling met mSafe Direct

Carl Leonard van Websense: 'Middelen genoeg om

een geavanceerde aanval te onderscheppen'

Sander Bierens van Credit Europe Bank:

'Beveiliging moet toegevoegde waarde leveren'

Controle over persoonlijke gegevens

met Qiy Scheme

Maarten Louman van Qiy:

'We moeten het vertrouwen herstellen'

Ramon Driessen en Renzo Zitman van

Dinkgreve Solutions: 'We zijn van een Fiat Panda

naar een Jaguar gegaan'

Column: Kan ik mijn cloudprovider vertrouwen?

SVP Art Gilliland van HP Enterprise Security:

'Bescherm alleen de belangrijkste zaken'

Impressie opening nieuwe kantoor Motiv

Motiv Nieuws: Motiv vergroot gebruiksgemak

'Sterke Authenticatie' met nieuwe portals

en veRdeR

In dIT nuMMeR

3

verbinding hebben met de bestaande data-

bases in uw datacenter. Op deze manier kunt

u profiteren van de toegevoegde waarde van

smartphones en tablets met de zekerheid

van gedegen bescherming tegen misbruik.

Voor nu wens ik u veel leesplezier en ik

hoop dat dit magazine u kan inspireren om

te werken aan een weloverwogen, risico-

4

5

11

16

20

24

30

32

34

36

38

40

43

44

48

50

6 visie: Risicomanagement raakt ieder aspect van de organisatie

12 Bas Lierens van Reviva: ‘ Beveiliging werkt voor ons als een marketinginstrument’

18 Motiv cloud- en datacenter- securitydiensten: Maximaal profiteren van de voordelen van cloudcomputing

26 Piet woudt van de gemeente Houten: ‘ msafe is onze Houtense cloud’

46 visie: ‘ Beschouw security als een kwaliteitsattribuut van software’

4 MM 01 | voorjaar 2014

H E A D L I N E s d y n a m i s c H e v e i l i g H e i d v o o R e e n d y n a m i s c H e i t - o m g e v i n g • R i s i c o ' s va n o n v e i l i g g e B R u i k va n w i f i - n e t w e R k e n

MOTIV NIEUWS

Enterprise IT-netwerken ontwikkelen zich van eenvoudige en statische systemen naar dynamische infrastructuren die zich uitbrei-den tot private en publieke clouds, mobiele gebruikers en flexibele werkplekken.

Hoe groter de complexiteit van deze netwerken, hoe geraffineerder het aantal en soort bedrei-gingen waar uw netwerk mee te maken krijgt. Werden er eerst beveiligingsproducten geïnstal-leerd voor elk nieuw toegangspunt, binnen de moderne IT-omgeving is dit veel te complex en biedt het niet langer de juiste bescherming tegen nieuwe bedreigingen. Daarom heeft Check Point Software-Defined Protection (SDP) ontwikkeld. SDP is een modu-lair, flexibel en veilig ontwerp effectief tegen hui-dige en toekomstige dreigingen. Het systeem

dynamische veiligheid voor een dynamische IT-omgeving

In eerdere publicaties van het NCSC zijn adviezente vinden voor het verstandig internetten op mobiele apparaten en via draadloze netwerken. Speciaal voor tablets en smartphones heeft het NCSC een beveiligingsadvies in de factsheet Veiliggebruik van smartphones en tablets opgesteld.

Factsheet veilig gebruik van smartphones en tabletsNaast bellen en sms’en kan men met een smart-phone of tablet internetten, e-mailen en appli-caties (zogenaamde apps) downloaden en ge-bruiken. Smartphones en tablets zijn populair en worden gebruikt voor zowel privé- als zakelijke doeleinden. Hierdoor kunnen deze apparaten toegang bieden tot vertrouwelijke of persoon-lijke data. Veel apps verwerken vertrouwelijke en/of persoonlijke informatie. Deze apps kun-nen uw informatie vrijgeven aan derde partijen. Denk hierbij aan uw contacten, locatie, e-mails,

Risico's van onveilig gebruik van wifi-netwerken

bestaat uit een beveiligingsarchitectuur met drie afzonderlijke lagen om je IT-omgeving van de beste bescherming te voorzien. De eerste laag is een handhavingslaag waar het verkeer het netwerk binnengaat, wordt ge-screend en van het juiste beveiligingsprofiel wordt voorzien. De tweede laag zorgt voor de juiste controle. Deze controlelaag maakt per type gebruiker, data en device een apart beveiligings-beleid aan. Het biedt bescherming bovenop de grote hoeveelheid informatie die wordt verkre-gen uit veilige bronnen, om zowel bekende als nieuwe bedreigingen het hoofd te bieden.Tot slot richt de beheerlaag zich op drie onder-delen; modulatie; om de beveiliging zo flexibel mogelijk en naar eigen voorkeur in te richten, automatisering; om de integratie met systemen van derden mogelijk te maken voor agenda-

afspraken en -documenten., en visualisatie; voor een actueel overzicht van de beveiligings-status van het bedrijf.

check point software technologies presen-teert summer security Event.De zomer nadert en als strategische partner van Check Point Software Technologies kijken wij uit naar het jaarlijks Summer Security Event van Check Point. Dat zal plaatsvinden op 19 juni in De Fabrique in Utrecht. Check Point zal dan onder andere verder toelichten wat Software-Defined Protection (SDP) kan betekenen binnen uw IT-omgeving.

Reserveer 19 juni alvast in uw agenda.

B I N N E N k o R t M E E R o p :

W W W . M O T I V . N L

M E E R I N F o R M A t I E :


agenda afspraken en documenten. Dit brengt beveiligingsrisico's met zich mee.

In de factsheet op www.ncsc.nl leest u wat be-langrijke beveiligingsrisico’s zijn van het gebruik van een smartphone en/of tablet en hoe u op een verstandige manier met deze beveiligings-risico’s om kunt gaan en mogelijke schade kan voorkomen of beperken. Motiv adviseert organisaties deze factsheets zeker als informatiebron te beschouwen. Tevens ontvangt Motiv dagelijks vraagstukken hoe om te gaan met Wifi-netwerken. We hebben gekozen voor een interactieve beantwoording van deze vragen. Op 3 juli zal Motiv in samenwerking met de gemeente Houten een interactieve middag-sessie verzorgen voor diverse gemeenten. Indien u geïnteresseerd bent in enige vorm van deel-name, dan kunt u met ons contact opnemen.

5

H E A D L I N E s d e ‘ k i l l c H a i n ’ i n z e v e n f a s e n • n a t i o n a a l R e s p o n s n e t w e R k va n s t a R t

MOTIV NIEUWS

Het Threat Report 2014 van Websense licht het bedreigingenlandschap toe met behulp van dit zevenstappenmodel. Het helpt u:

• inzicht te krijgen in de levenscyclus van een aanval, de huidige organisatie en technieken achter cyberaanvallen en de motivatie van aanvallers. Dit is de basis voor inzicht in de risico’s en het herzien van uw beveiligingsstatus;• diepgaand inzicht te krijgen in elke fase van de levenscyclus van aanvallen. Ze leveren essen- tiële aanwijzingen op, zodat u begrijpt hoe

cybercriminelen hun aanvallen uitvoeren, ze aanpassen en geleidelijk en voortdurend proberen dichter bij uw kritische data te komen;• te erkennen dat langdurige bescherming tegen nieuwe bedreigingen – van de eenvoudigste tot de meest complexe – draait om het herkennen en voorkomen van live aanvallen tijdens alle zeven fasen. Zo onderbreekt u effectief de aanvalsorganisatie van een crimineel voor zowel huidige als toekomstige pogingen om uw data te stelen.

Websense maakte dit rapport met data die de onderzoekers verzamelden met de Websense ThreatSeeker® Intelligence Cloud - een wereldwijd netwerk dat klanten, partners en meer dan 900 miljoen endpoints samenbrengt. Samen bieden ze inzicht in drie tot vijf miljard aanvragen per dag, via Windows-, Mac-, Linux- en mobiele systemen.


M E E R I N F o R M A t I E :

W W W.W E B S E N S E . C O M / 2 0 1 4 T H R E AT R E P O R T

De ‘kill chain’ in

zeven fasen

Met de oprichting van het Nationaal Respons Netwerk (NRN) is de digitale weerbaarheid van Nederland weer vergroot. De Belastingdienst, SURFnet, Defensie CERT (DefCERT), de Informatie-beveiligingsdienst voor gemeenten (IBD) en het NCSC hebben zich als eerste partijen aan het NRN gecommitteerd. Dat betekent dat er bij toekomstige grootschalige cybersecurity-inci-denten snel en effectief kan worden gereageerd door kennis en capaciteiten van de verschillende publiek en private partners te bundelen. Het NRN zal de komende periode worden uitgebreid met andere publieke en private partners. Cyberincidenten zijn lastig te voorspellen. Onzesamenleving en economie zijn kwetsbaar door detoenemende afhankelijkheid van ICT. De vraag isdan ook niet of, maar wanneer het volgende grote incident zich aandient. Cyberincidenten los je niet alleen op. Om adequaat te reageren en de scha-de te beperken, is het essentieel dat overheid en bedrijfsleven elkaar goed weten te vinden. Pas als

deze partijen goed op elkaar zijn ingespeeld en samen de handen uit de mouwen steken, kunnen zij Nederland digitaal weerbaarder maken. Juist omdat online veiligheid in Nederland geen zaak is van één partij is het van belang dat overheid en bedrijfsleven slim samenwerken om van Neder-land de meest open en veilige online samen-leving te maken.

Het Nationaal Respons Netwerk is een actiegerichtnetwerk van organisaties die geloven in het belangvan deze samenwerking en die hierin willen inves-teren. In het Nationaal Respons Netwerk bunde-

len het Nationaal Cyber Security Centrum en ICT-responsorganisaties uit publieke en private sec-toren hun ervaring, kennis en capaciteit op het gebied van Incident Respons. Door gezamenlijke werkafspraken te maken, informatie te delen en te investeren in opleidingen, oefeningen, stages en productontwikkeling, bouwen ze aan een krachtig netwerk dat er staat als het onverhoopt mis gaat.

Het NCSC vervult hierbij de rol van coalitievormer en facilitator van de samenwerking tussen de ver-schillende organisaties in het netwerk. Binnen hetNRN worden organisaties op die manier gestimu-leerd om kennis en ervaringen met elkaar te delenom zo ook de eigen responscapaciteiten te ver-beteren. Het NRN richt zich daarbij zowel op hetorganiseren van bestaande responscapaciteit als hetstimuleren van nieuwe sectorale responscapaciteit.

Het is essentieel om te weten dat aanvallers gebruikmaken van geavanceerde techniekenom verdedigingen te omzeilen tijdens welke fase dan ook. Besef ook dat hoe verder een aanval gevorderd is in deze levenscyclus, des te groter het risico op datadiefstal is.

nationaal Respons netwerk van start

M E E R I N F o R M A t I E o V E R H E t N A t I o N A A L R E s p o N s N E t w E R k :

W W W . N C S C . N L

RISK

MA

NA

GEM

ENT | CO

MP

ON

ENTEN

| FRA

MEW

OR

K | V

ISIE | MO

TIV

RISICOMANAGEMENT raakt ieder aspect van de organisatie


door Bastiaan Schoonhoven, marketing manager bij Motiv

7

RISK

MA

NA

GEM

ENT | CO

MP

ON

ENTEN

| FRA

MEW

OR

K | V

ISIE | MO

TIV

Zoals banken tijdens een ‘stresstest’

moeten aantonen dat ze een massale

bankrun kunnen opvangen' moeten

bijvoorbeeld CEO’s of CIO’s kunnen

aantonen dat het bedrijf bestand is

tegen de toenemende druk die wordt

uitgeoefend door cybercriminelen. Het

risico dat gerichte cyberaanvallen de

bedrijfscontinuïteit in gevaar brengen'

moet tot een minimum worden beperkt.

Van de geaccepteerde risico’s moeten de

gevolgen duidelijk zijn voor als het toch

misgaat. Pas dan ben je 'in control’.

Helaas is het beheren van de genoemde

risico’s geen exacte wetenschap.

Bedrijven lijken de crisis achter zich te hebben gelaten en zijn weer bereid om te investeren in ICT Security. Het gemiddelde budget voor infor-matiebeveiliging steeg in 2013 wereldwijd met maar liefst 51 procent, van 2,8 miljoen dollar in 2012 naar 4,3 miljoen dollar in 2013, zo blijkt uit ‘The Global State of Information Security Survey 2014’1 van adviesbureau PwC. Europa wist zich als enige regio in negatieve zin te onttrekken aan deze wereldwijde tendens (zie kader).

Ook met het vertrouwen in de getroffen beveili-gingsmaatregelen lijkt het wel goed te zitten. Van de bijna tienduizend directeuren, presidenten en ‘C-level executives’ die in de periode van 1 febru-ari 2013 tot 1 april 2013 via e-mail werden onder-vraagd, gaf maar liefst 74 procent aan het volste vertrouwen te hebben in de effectiviteit van de eigen security-activiteiten. Onder Chief Executive Officers (CEO’s) ligt dat percentage zelfs op 84 procent.

Maar kosten cybercrime

stijgen...

Volgens het onderzoek van PwC hebben de cybercriminelen echter meer reden tot enthou-siasme. Het aantal gedetecteerde security-incidenten steeg in 2013 met 25 procent naar een gemiddeld aantal van 3741. Deze stijging kan nog positief worden uitgelegd.

“Het aantal incidenten neemt niet alleen toe om-dat er meer dreigingen zijn, maar ook omdat be-drijven hebben geïnvesteerd in nieuwe techno-logieën om die dreigingen beter te detecteren”, zo stelt ‘PwC Principal’ Mark Lobel in het onder-zoeksrapport. “In dat opzicht moet de toename van het aantal gedetecteerde security-incidenten als iets positiefs worden gezien.”

PwC constateerde echter niet alleen een toe-name van het aantal gedetecteerde incidenten; ook de gemiddelde kosten per incident stegen en wel met achttien procent. Ook concludeert het adviesbedrijf dat ‘veel bedrijven nog geen technologieën hebben geïmplementeerd om inzicht te krijgen in het ecosysteem van kwets-baarheden en dreigingen, belangrijke assets te identificeren en beschermen en dreigingen te evalueren binnen de context van de eigen zake-lijke doelstellingen’. “Simpel gezegd: slechts wei-nig organisaties slagen erin om de escalerende risico’s van vandaag de dag bij te houden en nog minder organisaties zijn klaar voor het beheer van toekomstige dreigingen.”

De ‘bad guys’ zijn aan de winnende hand, en misschien wel door een bepaalde mate van zelf-overschatting aan de kant van de bedrijven die worden aangevallen. >

RISICOMANAGEMENT raakt ieder aspect van de organisatie

Europa blijft achter

Bedrijven wereldwijd tasten flink in de buidel voor het verbeteren van de informatiebeveiliging, zo blijkt uit de ‘The Global State of Information Security Survey 2014’ van PwC. De budgetten voor ICT Security stegen in 2013 met maar liefst 51 procent (ten opzichte van 2012). Eén regio weet zich echter aan deze tendens te onttrekken: Europa. De investeringen in informatiebeveiliging daalden hier zelfs met drie procent. 46 procent van de bijna tienduizend ondervraagden gaf aan binnen een jaar een stijging te verwachten van de investeringen in security.

Ook blijft ‘het continent achterlopen met de implementatie van cruciale beveiligingsmaatregelen’, zo stelt het adviesbureau. PwC geeft als voorbeelden van ‘cruciale beveiligingsmaatregelen’ back-up en recovery en security awareness-trainingen. Europa scoort ook relatief laag als het gaat om samenwerking en de aanwezigheid van een mobile security-policy.

Waar wereldwijd het aantal gedetecteerde incidenten ten opzichte van 2012 steeg met 25 procent, daalde dit aantal in Europa met 22 procent. De financiële schade die werd geleden als gevolg security-incidenten steeg met 28 procent, waarmee Europa op dit punt bovengemiddeld scoort.

H E A D L I N E R i s i c o m a n a g e m e n t R a a k t i e d e R a s p e c t va n d e o R g a n i s a t i e

V I s I E o p R I s k M A N A g E M E N t

1 | http://www.pwc.com/gx/en/consulting-services/information-security-survey/index.jhtml#



RISK

MA

NA

GEM

ENT | CO

MP

ON

ENTEN

| FRA

MEW

OR

K | V

ISIE | MO

TIV

V I s I E o p R I s k M A N A g E M E N t

Componenten risicomanagement

1 | Frame risk, oftewel het omschrijven van de ‘kaders’ waarbinnen risico’s worden af- gehandeld. Binnen dit component wordt omschreven hoe de organisatie als geheel omgaat met de risico’s die de bedrijfsvoering in gevaar brengen, zowel gelet op investeringen als op operationele beslissingen. Het ‘framen’ van de risico’s wordt gezien als het fundament voor risicomanagement en het slechten van de obstakels die risicogebaseerde beslissingen binnen de organisatie in de weg kunnen staan.2 | Assess risk, oftewel het inschatten van de risico’s binnen de context van het ‘risk frame’ van de organisatie. Doel hier is om een beeld te krijgen van onder andere de dreigingen voor de onderneming, de kwetsbaarheden in kaart te brengen alsmede de dreigingen die van de onderneming zelf uitgaan richting andere organisaties. Ook wordt inzichtelijk gemaakt wat de schade is die de organisatie oploopt als een dreiging erin slaagt om een kwetsbaarheid te mis- bruiken en hoe waarschijnlijk het is dat de organisatie schade ondervindt.

3 | Respond to risk. Doel hier is om te komen tot een consistente en organisatiebrede aan pak van risico’s die in overeenstemming is met het gestelde ‘frame’. Om deze stap te ondersteunen, moet een organisatie de mogelijke reacties omschrijven (zoals het accepteren, mitigeren of het overdragen van risico’s) alsmede de tools, technieken en methodieken die per type reactie worden ingezet.4 | Monitor risk, onder andere om te kunnen vaststellen of geplande maatregelen zijn geïmplementeerd en het gewenste effect hebben en om te kunnen bepalen of veranderingen binnen de organisatie van invloed zijn op de genomen maatregelen. Zo kan een gewaagde marketingcampagne of de aankondiging van een ontslagronde al invloed hebben op het risicoprofiel en aanleiding vormen voor een bijstelling van de maatregelen. Maar ook wijzigingen op het gebied van bijvoorbeeld weten regel- geving kunnen de aanleiding zijn om de genomen maatregelen te herzien.

Volgens het NIST zijn binnen een risicomanagementproces vier stappen te onderscheiden:

ASSESS

MONITOR RESPOND

FRAME

INFORMATION AND

COMMUNICATIONS FLOWS

INFORMATION AND

COMMUNICATIONS FLOWS

Risk Management

< Process volgens het NIST.

> De schijnbare tegenstelling tussen het overwe-gende enthousiasme onder de ondervraagden enerzijds en de stijgende kosten van security- incidenten anderzijds maakt in ieder geval één ding duidelijk: in de praktijk ontbreekt vaak een helder beeld van het eigen risicoprofiel. Wat zijn de interne en externe dreigingen voor de bedrijfscontinuïteit, wat is de impact van een incident en welke maatregelen horen daarbij? En zijn de getroffen maatregelen (nog steeds) afdoende? En welke risico’s ben ik bereid om te accepteren? Vragen die cruciaal zijn binnen een risicomanagementproces en nu klaarblijkelijk onvoldoende worden gesteld, of niet afdoende worden beantwoord.

Risicomanagement

complex proces

Risicomanagement heeft nauwe raakvlakken met – en is soms ook een voorwaarde binnen – compliance-vraagstukken. Om de continu-iteit van de bedrijfsprocessen te waarborgen, is het noodzakelijk dat automatisering voldoet aan intern en extern opgelegde richtlijnen. Dit geldt ook voor beheer en beveiliging. Denk aan normen zoals ISO 27002 en NEN 7510. Risico-management is het toetsen van het geheel van processen en risico’s ten aanzien van de normen. De impact of kans behorende bij risico’s kunnen worden verminderd, verplaatst, overgedragen of geaccepteerd.

Dat klinkt echter eenvoudiger dan het is. “Het beheer van informatiebeveiligingsrisico’s is – net zoals risicomanagement in het algemeen – geen exacte wetenschap”, zo stelt het Amerikaanse National Institute of Standards and Technology (NIST) dan ook treffend in zijn ‘Special Publication’ over ‘Managing Information Security Risk’2.

In de ‘Guide for Applying the Risk Management Framework to Federal Information Systems’3

doet het NIST hier nog een schepje bovenop. “Het beheer van aan informatiesystemen gere-lateerde beveiligingsrisico’s is een complexe en veelzijdige onderneming die de betrokkenheid van de volledige organisatie vereist. (…) Risico-management kan worden gezien als een holis-tische activiteit die is geïntegreerd in ieder aspect van de organisatie.” Gelukkig bieden organisaties zoals het NIST en de International Organization

for Standardization (ISO) wel handreikingen en raamwerken voor het inrichten van een proces voor risicomanagement (zie kader hierboven).

Dit ‘stappenplan’ komt in grote lijnen overeen met het ‘Risk management framework’ zoals dat uiteen wordt gezet in ISO 310004. Deze norm –

waarop geen certificering mogelijk is – biedt primair een raamwerk voor risicomanagement. Dit raamwerk biedt het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn in-gebed in de algehele managementstructuur en de besluitvormingsprocessen van een organisa-tie. Deze processen moeten worden aangestuurd

2 | http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf3 | http://csrc.nist.gov/publications/nistpubs/800-37-rev1/ sp800-37-rev1-final.pdf

4 | http://www.iso.org/iso/home/standards/iso31000.htm

9

RISK

MA

NA

GEM

ENT | CO

MP

ON

ENTEN

| FRA

MEW

OR

K | V

ISIE | MO

TIV

vanuit een duidelijke visie op de functie van risicomanagement voor de organisatie en vanuit een duidelijk beleid met betrekking tot risico-management.

Risk Management Framework

Om de hierboven beschreven risicomanage-mentprocessen te integreren binnen de organi-satie staat het NIST een meerlaagse benadering voor die de risico’s adresseert op organisatie-niveau, bedrijfsprocesniveau en op het niveau van de informatiesystemen. Op het hoogste niveau – het organisatieniveau dat nauw ver-bonden is met het ‘framen’ van risico’s – worden een bedrijfsbrede governance-structuur en een risicomanagementstrategie uitgerold die op de lagere niveaus verder worden uitgewerkt. Daar-naast adviseert het NIST om risicomanagement al vroeg in de lifecycle van een informatiesysteem op te pakken, zodat risico’s op een continue basis

worden aangepakt en de betrokkenen de risico’s begrijpen en indien nodig accepteren. Risico-management pas later in de lifecycle toepassen leidt tot hogere kosten, zo waarschuwt het NIST.

Met het ‘Risk Management Framework’ biedt het NIST naar eigen zeggen ‘een gedisciplineerd en gestructureerd proces voor het integreren van informatiebeveiliging en risicomanagement in de development lifecycle van een systeem’. Het framework omschrijft daarvoor zes stappen (zie ook het kader op pagina 10).

Bij het stappenplan en de eerder aangehaalde componenten waaruit een risicomanagement-proces bestaat, moet volgens het NIST wel een belangrijke kanttekening worden geplaatst. “Hoewel het aantrekkelijk is om risicoma-nagement hiërarchisch aan te pakken, is de realiteit van dynamische projecten en organi-

saties vaak veel complexer.” Onder andere de ‘managementstijl’ binnen een organisatie kan de hiërarchie al doorbreken. “De organisatie moet een consistente en effectieve benadering hebben van risicomanagement wil risicomanagement binnen alle lagen van de organisatie aanslaan.”

Conclusie

Vrijwel alle organisaties zijn voor de bedrijfsvoering afhankelijk van informatie- en IT- systemen. Door risico’s te ‘framen’, in kaart te brengen, te monitoren en erop te reageren krij-gen organisaties de controle over de risico’s die de bedrijfsvoering in gevaar kunnen brengen. Dat komt zeker van pas als compliance moet worden aangetoond ten opzichte van normen zoals ISO 27002 en NEN 7510.

Daarmee is het nog niet gezegd dat een orga-nisatie met een adequaat risicomanagement-proces ook daadwerkelijk ‘stressbestendig’ is op het moment dat georganiseerde cybercriminelen besluiten om gericht de aanval te openen. Want dan pas blijkt of de genomen maatregelen afdoende waren en of de kosten van een inci-dent juist waren ingeschat. En dan pas blijkt dat niet alleen het inrichten van een risicomanage-mentproces een lastig karwei is, maar dat ook het bepalen van het ‘cyberrisico’ een lastige reken-som is. >

4 | http://www.iso.org/iso/home/standards/iso31000.htm

De principes, het framework en het proces voor risicomanagement zoals vastgelegd in ISO 31000:2009.

MANDATE ANDcOMMITMENT

a | CReATeS vALUeb | INTegRAL pART OF ORgANIzATIONAL pROCeSSc | pART OF DeCISION MAkINgd | expLICITLy ADDReSSeS UNCeRTAINLye | SySTeMATIC, STRUCTUReD AND TIMeLyf | bASeD ON The beST AvAILAbLe INFORMATIONg | TAILOReDh | TAkeS hUMAN AND CULTURAL FACTORS INTO ACCOUNTi | TRANSpARANT AND INCLUSIvej | DyNAMIC, ITeRATIve AND ReSpONSIve TO ChANgeK | FACILITATeS CONTINUAL IMpROveMeNT AND eNhANCe- MeNT OF The ORgANIzATION

DESIgN OF FRAMEwORk FOR MANAgINg RISk

cONTINuAl IM-PROvEMENT OF ThE

FRAMEwORk

IMPlEMENTINg RISk MANAgEMENT

MONITORINg AND REvIEw OF ThE

FRAMEwORk

COM

MUN

ICAT

ION

AND

CON

SULT

ATIO

N

MO

NIT

ORI

Ng

AND

RevI

eW

eSTAbLIShINg The CONTexT

RISk ANALySIS

RISk IDeNTIFICATION

RISk evALUATION

RISk TReATMeNT

risk assessment

PROcESSFRAMEwORkPRINcIPlES

'Risicomanagement kan worden gezien als een holistische activiteit die is geïntegreerd in ieder aspect

van de organisatie'



RISK

MA

NA

GEM

ENT | CO

MP

ON

ENTEN

| FRA

MEW

OR

K | V

ISIE | MO

TIV

Berekenen cyberrisico

Honderd procent veilig bestaat niet. Voor ieder geïdentificeerd risico moet worden bepaald wat het ‘gepaste’ niveau van beveiliging is waarna er een geaccepteerd risico overblijft. Maar hoe weet je nu zeker dat je voor de juiste risicodekking hebt gekozen, zodat je na een incident niet alsnog voor een (financiële) verrassing komt te staan? Die zekerheid krijg je alleen als je een nauwkeurige inschatting weet te maken van de hoogte van het ‘cyberrisico’.

In risicomanagementmethodieken staat het risico gelijk aan de impact van een event (de schade) vermenigvuldigd met de waarschijnlijkheid dat een event zich voordoet. Dit is voor IT geen eenvoudige rekensom. Het voorspellen van de schade is aan de hand van richtlijnen – bijvoorbeeld van het NIST – nog wel redelijk te doen. Daarbij helpt het als er een actueel beeld is van de netwerktopologie zodat duidelijk is waar de ‘assets’ zich bevinden. Lastiger is het bepalen van de waarschijnlijkheid van een aanval. Daarvoor moet worden gekeken naar de potentiële dreigingen, de zwakheden van alle systemen in het netwerk en de getroffen beveiligingsmaatregelen. Alle mogelijke combinaties van deze factoren moeten tegen de netwerktopologie worden aangehouden.

Modellen en simulatietools kunnen helpen bij een nauwkeurige bepaling van de waarschijnlijkheid een aanval, zoals die ook worden gebruikt voor het voorspellen van het weer of het trainen van piloten. In de context van cybersecurity kan een model helpen bij het verkrijgen van een duidelijk beeld van de ‘cybersecurity-situatie’. Een dergelijk model brengt alle informatie over bijvoorbeeld de netwerkarchitectuur, de kwetsbaarheden en de dreigingen samen. Een volgende stap is het grafisch presenteren van de gegevens zodat er een ‘beeld’ ontstaat van de cybersecurity-situatie.

Risk Management Framework

Stap 1 | Categoriseer het informatiesysteem en de informatie die wordt verwerkt, opgesla-gen en verstuurd door het systeem op basis van een impactanalyse.

Stap 2 | Selecteer op basis van de categori-sering een set basis security-controls voor het informatiesysteem, en breidt deze ‘baseline’ op basis van een risk-assessment en interne eisen verder uit.

Stap 3 | Implementeer de security-controls en beschrijf hoe de controls zijn uitgerold.

Stap 4 | Beoordeel of de controls op de juiste manier zijn geïmplementeerd, naar verwach-ting werken en het juiste resultaat opleveren.

Stap 5 | Ken de juiste autorisaties toe op ba-sis van de vastgestelde risico’s.

Stap 6 | Monitor de security-controls en kijk daarbij onder andere naar de effectiviteit van de controls en veranderingen in de documen-tatie van het systeem of in de omgeving, voer impactanalyses uit op de veranderingen en rapporteer de ‘gezondheid’ van het systeem aan de aangewezen ‘officials’.

Het framework omschrijft zes stappen:

RISk MANAgeMeNTFRAMeWORk

pROCeSSOveRvIeW

STARTINg pOINT

Het Risk Management Framework van het NIST

STAp 1

cATEgORISEER

STAp 4

BEOORDEEl

STAp 2

SElEcTEER

STAp 6

MONITOR

STAp 5

AuTORISEER

STAp 3

IMPlEMENTEER

ORgANIzATIONAL INpUTSARChITeCTURe DeSCRIpTION

RepeAT AS NeCeSSARy

'Door risico’s te 'framen'' in kaart

te brengen' te monitoren en erop

te reageren krijgen organisaties de controle over de risico’s'

11

Begin dit jaar kwam de Amerikaanse winkelketen target pijnlijk in het nieuws. criminelen waren erin geslaagd om de gegevens van 40 miljoen credit- en debetcards en de persoonsgegevens van 70 miljoen klanten te ontvreemden.

De stappen die de dieven namen om aan de creditcardgegevens te

komen, leest als het perfecte draaiboek voor een Advanced Persis-

tent Threat (APT). Met gestolen inloggegevens slaagden de hackers

erin om toegang te krijgen tot een systeem binnen in het interne

Target-netwerk. Vanaf dit punt wisten de hackers vervolgens de

kassasystemen te infecteren met ‘memory scraping’-malware waarna

de gekopieerde gegevens met een Windows-domain account werden

verstuurd naar een centrale opslagplaats binnen in het netwerk van

Target. Vanaf daar werden de data via een FTP-verbinding verstuurd

naar een externe server.

Een belangrijk kenmerk van een APT is dat de aanvaller gebruik-

maakt van verschillende aanvalsmiddelen, waaronder malware,

phishing en Trojans. Het doelwit van deze gereedschappen is vaak

een zero-day exploit waarvoor nog geen bescherming beschikbaar

is, of zelfs kwetsbaarheden die nog niet bekend zijn. Op die manier

kan de aanvaller ongestoord zijn werk doen. Een ander belangrijk

kenmerk van een APT is dat de aanvaller altijd uit is op waardevolle

data, en er veel geld en tijd voor over heeft om bij die data te komen.

Door dit ‘persistente karakter’ en het ge-

bruik van aanvalstechnieken die onder

de radar blijven van inbraakdetectie- en

-preventiesystemen, is het lastig om een

APT tijdig te ontdekken en onschadelijk

te maken. Organisaties die vertrouwen op

losse security-oplossingen die zijn gericht

op slechts enkele onderdelen uit het stap-

penplan van de aanvaller (de ‘kill chain’)

gaan daar zeker niet in slagen. Om de ‘kill

chain’ te doorbreken, is een nieuwe manier van beveiliging nodig die

de traditionele aanpak uitbreidt met zaken als ‘inline sandboxing’,

malware-isolatie en educatie van de eindgebruikers over bijvoorbeeld

de gevaren van phishing.

Nog belangrijker is misschien wel het inzien van het gevaar van

APT’s zodat de tekenen van een APT ook op waarde worden ge-

schat. Hoewel APT’s momenteel nog met name zijn gericht op grote

(financiële) organisaties moeten alle organisaties met waardevolle

data zich ervan bewust zijn dat ze een potentieel doelwit vormen.

En als de ‘grote jongens’ succesvoller worden in het afslaan van

APT’s zullen de aanvallers automatisch hun vizier gaan richten op

de ‘middle men’.

De tijd van de kop in het zand steken is definitief voorbij. Tot dat

inzicht moet ook Target zijn gekomen. Een half jaar voordat de crimi-

nelen toesloegen, had Target nog een 1,6 miljoen dollar kostend

detectiesysteem geïnstalleerd. Enkele weken na het bekend wor-

den van de diefstal lekte echter uit dat het securityteam van

Target in Minneapolis meerdere waarschuwingen van het detectie-

systeem in de wind had geslagen. En zelfs toen collega’s in

Bangalore – die verantwoordelijk waren voor de monitoring –

melding maakten van ongeregeldheden bleef het stil in Minneapolis.

Met als trieste resultaat dat de kosten van de inbraak op 1 februari

van dit jaar al waren opgelopen tot 61 miljoen dollar.

ALLE ORGANISATIES MET WAARDEVOLLE DATA ZIJN EEN POTENTIEEL DOELWIT

door Joash Herbrink, SE manager Benelux, Central Europe & Nordics bij Websense

KOP IN HET ZAND

H E A D L I N E k o p i n H e t z a n d

c o L u M N j o A s H H E R B R I N k , s E M A N A g E R B E N E L u X , c E N t R A L E u R o p E & N o R D I c s B I j w E B s E N s E

E-MA

IL-, WEB

- EN D

ATASECU

RITY | A

PT’S | W

EBSEN

SE


CLOU

D- EN

DATA

CENTER

SEACU

RITY | D

ASH

BO

AR

DIN

G | R

EVIVA

'Beveiliging werkt voor ons als

een marketing-instrument'

Foto

graf

ie: R

uud

Jonk

ers

13

I N t E R V I E w B A s L I E R E N s , M A N A g E R I t & p R o c E s s M A N A g E M E N t B I j R E V I VA

CLOU

D- EN

DATA

CENTER

SECUR

ITY | DA

SHB

OA

RD

ING

| REV

IVA

Als ‘e-commerce integrator’ heeft Reviva een zware verantwoordelijkheid op het gebied van beveiliging. Reviva handelt namens haar klanten e-commerce-orders af met vertrouwelijke gegevens en bijbehorende goederen. “In onze dienstverlening is optimale veiligheid een must en in de manier waarop we die bieden werkt het als een marketinginstrument naar onze klanten”, zegt Bas Lierens, Manager It & process Management bij Reviva.

Reviva startte in 1995 als ‘Belmobiel’, een bedrijf met naar eigen zeggen als belangrijkste doel ‘het via een postordercatalogussysteem ver- kopen van mobiele telefoons en bijbehorende abonnementen aan consumenten en bedrijven’. In 1999, ten tijde van de opmars van het internet en de bijbehorende webwinkels, werd de cata- logus online gezet. “Toen ontstond eigenlijk de eerste website die niet alleen iets verkocht, maar de bestelling ook inclusief abonnement en ge-activeerde simkaart afleverde”, aldus Bas Lierens.

Vijftien jaar later is het bedrijf uitgegroeid tot een ‘full-service provider’ die complete e-commerce-trajecten ontwikkelt, beheert en uitvoert voor onder andere Vodafone, KPN en Tele2. “Wat wij voor deze partners mogen doen, is heel erg di-vers”, vertelt Lierens. “Dat begint bij het beheer van de content op de websites – het beheren van ‘plaatje, praatje, prijs’ – tot aan het stroom-lijnen van de processen van de klant. Alles wat de klant achter de koopknop stopt – en waar de klant veel marketingeuro’s aan besteedt

– mogen wij beheren. De contentmanagers en de procesmanagers zorgen er samen met de klant voor dat de conversie optimaal is.”

“Een bestelling komt bij ons binnen via koppe-lingen met de ERP-systemen van de klant”, legt Lierens uit. “Dat proces is de core van ons bedrijf. Daarvoor hebben we dan ook ruim 45 IT’ers in dienst, waarvan een gedeelte in Manilla; een aantal dat de afgelopen jaren fors is gegroeid.” Nadat een order bij Reviva is binnengekomen en verwerkt, wordt de bestelling per post ver-stuurd of door het eigen koeriersbedrijf van Reviva aan de deur afgeleverd.

Voor de afwikkeling aan de deur heeft Reviva het Paperless Secure Delivery System (PSDS®) ontwikkeld. “Ondanks dat ‘voor de aankoopknop’ al detectie op fraude plaatsvindt, doen wij dat na de aankoop nog een keer door te controleren of ‘Meneer Jansen’ ook daadwerkelijk ‘Meneer Jansen’ is. Het ID-bewijs wordt aan de voordeur op echtheid en geldigheid gecontroleerd en

dat is ons onderscheidend vermogen. De koerier leest het identiteitsbewijs van de consument in en laat het digitale contract op de tablet onder- tekenen en direct per mail naar het postvak van de consument versturen. Eventueel kan de be- taling vervolgens via pin of contant worden vol-daan waarna de consument direct kan bellen. Deze vorm van leveren is óók een belangrijk onderdeel van wat wij beveiliging noemen omdat wij op deze manier mogelijke fraude voorkomen.” orderverwerkingDe orders worden vanuit een groot magazijn van Reviva gedistribueerd. Hier worden de toestel- len inclusief de contracten met daarop de sim- en IMEI-nummers en geactiveerde simkaarten samengevoegd. “Wij zijn al heel lang met beveili-ging bezig en zorgen ervoor dat alleen de juiste mensen binnen kunnen komen”, zegt Lierens. Deze focus op beveiliging heeft in Den Bosch onder andere geleid tot een meters hoge ‘power fence’ om het pand, camerabewaking binnen >

'wij zijn al heel lang met

beveiliging bezig' Bas Lierens, Manager IT &

Process Management bij Reviva

H E A D L I N E B e v e i l i g i n g w e R k t v o o R o n s a l s e e n m a R k e t i n g i n s t R u m e n t


CLOU

D- EN

DATA

CENTER

SECUR

ITY | DA

SHB

OA

RD

ING

| REV

IVA

> en buiten en een ‘vliegtuigpoortje’ dat alarm slaat als goederen ongeautoriseerd het maga-zijn verlaten. Gasten krijgen na binnenkomst en inschrijving een uitgeschreven beveiligingspro-tocol overhandigd en mogen zich alleen onder begeleiding door het pand bewegen.

“De manier waarop wij kijken naar de fysieke be-veiliging kan één-op-één worden doorgetrokken naar de manier waarop wij aankijken tegen ICT Security”, benadrukt Lierens. “De scheidslijn tussen fysieke beveiliging en ICT Security is heel erg dun. Zo willen we met fysieke beveiliging exact in kaart krijgen wie we binnen hebben en in welke zones, en dat is ook precies wat we beogen met onze Next-Generation Firewalls die zijn voorzien van Intrusion Detection and Prevention.”

Vertrouwelijke informatieHet belang van ICT Security voor Reviva laat zich raden. Lierens: “We verwerken vertrouwelijke in-formatie, zoals contracten, telefoonnummers en toetsen de echtheid van identiteitsbewijzen. Onze klanten moeten erop kunnen vertrouwen dat wij correct omgaan met alle gegevens die wij binnenkrijgen om orders te kunnen verwerken.Daar komt veel informatiebeveiliging bij kijken, en de manier waarop we dat doen moet bijdragen aan de klanttevredenheid. We volgen ISO 27001 als leidraad voor informatiebeveiliging, maar de norm voor ons Informatiebeveiligings-beleid wordt vormgegeven door ons streven naar tevreden klanten.”

Een goed voorbeeld daarvan is de manier waarop de tablets van de koeriers zijn beveiligd. Lierens: “Onze tablets zijn voorzien van een aantal maat-regelen die ervoor zorgen dat er nimmer informatie in verkeerde handen kan vallen. Onze klanten krijgen waarvoor ze betalen en hoeven zich geen zorgen te maken over de beveiliging van de data en informatie. De beveiliging hebben wij voor ze geregeld.”

Beveiliging extern getoetstReviva heeft er bewust voor gekozen om voor de ICT Security de hulp van een externe partij in te schakelen. “Wij zijn goed in ‘solutions en integration’, en het is belangrijk dat juist een externe partij de beveiliging daarvan toetst en ook helpt om de security op een hoger niveau te krijgen”,

aldus Lierens. “Wij houden ons liever bezig met mooie oplossingen die bijdragen aan maximale conversie voor onze partners. Het is daarom goed een partner te hebben die je scherp houdt dat ook ICT Security op orde is en je bovendien uitdaagt waar nodig.”

Sinds ruim een jaar is Motiv voor Reviva de ex-terne partner als het gaat om ICT Security. “We stonden toen op het punt om nieuwe firewalls aan te schaffen, en we wilden ‘slimme’ apparaten die veel informatie kunnen leveren over wat er allemaal aan netwerkverkeer passeert. Dan moet je jezelf wel de vraag stellen: wie gaat dat allemaal beheren en 24/7 monitoren?” Na een ‘intensieve selectieprocedure’ kwam Motiv naar voren als een partij met ‘een onderscheidend vermogen en een mooie middenpropositie’. “Motiv kon ons niet alleen de gewenste firewalls leveren, maar biedt ook de dashboarding om mee te kunnen kijken in onze verkeersstromen. Dat is een belangrijke toegevoegde waarde. Motiv kan tijdig ingrijpen in het geval van calamiteiten. Daarnaast is het ook heel belangrijk hoe je met elkaar schakelt. We hadden vrij snel een klik met Motiv.”

Naast de firewalldienstverlening en de monito-ring verzorgt Motiv ook alle netwerken web-scans voor Reviva. Een voorbeeld daarvan zijn de scans die Motiv uitvoert op de websites en dien-sten die Reviva bouwt voor haar klanten, om te controleren of ze niet gevoelig zijn voor bijvoor-beeld SQL-injecties. “Ook daar is het belangrijk dat, waar wij de websites en diensten voor onze klanten bouwen, een externe partij de scans uit-voert om te controleren of de beveiliging op het juiste niveau is en waar verbeteringen mogelijk zijn”, aldus Lierens. “Dat helpt om de lat keer op keer hoger te leggen.”

Marketinginstrument“Met de Next-Generation Firewalls in combinatie met de monitoring door Motiv hebben we ons-zelf op het gebied van ICT Security toekomst- bestendig gemaakt”, concludeert Lierens. “Voor ons werken beveiligingsmaatregelen als een marketinginstrument in onze dienstverlening. We bieden iets wat de concurrentie niet heeft en overtreffen daarmee de verwachtingen van de klant.”

' De norm voor ons Informatiebeveiligings- beleid wordt bepaald door ons streven naar tevreden klanten’

15


F5 laat applicaties optimaal profiteren

van SDN

Als we het hebben over het leveren van applica-tieservices dan gaat het over beveiliging, beschik-baarheid, user-authenticatie en toegangscontro-le, cloudservices en prestatiebeheer. SDN voegt daar programmeerbaarheid en uitbreidingsmo-gelijkheden aan toe. Het is van belang dat deze voordelen van SDN niet beperkt blijven tot de onderste lagen van het OSI-model in de datacen-terarchitectuur.

Applicaties centraalF5 is met ‘Software Defined Application Services’ (SDAS) een van de eerste partijen die ook de bovenliggende infrastructuur aanpakt. Het modelvan F5 stelt applicaties centraal en voegt daar allerlei services aan toe. Daardoor verandert de ma-nier waarop applicatieservices worden geleverd.F5’s Software Defined Application Services zijn, ongeacht de status van de onderliggende infra-structuur, gericht op de optimalisatie van applica-ties van het datacenter tot aan de eindgebruiker.

SynthesisSDAS maakt deel uit van F5’s Synthesis-architec-tuur. Met deze architectuur kunnen bedrijven al

hun toepassingen voorzien van dezelfde services zodat ze de zekerheid hebben dat altijd sprake is van bijvoorbeeld dezelfde security, prestaties en beschikbaar, ongeacht of een toepassing in het eigen datacenter of in de cloud draait en welke hardware of software wordt gebruikt. Hierdoor wordt het eenvoudiger om de dienstverlening te verbeteren en voor toepassingen een kortere time-to-market te realiseren middels geautomatiseerde provisioning en intelligente service-aansturing.

Synthesis is opgebouwd uit drie componenten:- de services-fabric ScaleN. Dit is de technologie die alle elementen in een netwerkinfrastructuur samenbindt;- de eerder besproken Software Defined Appli- cation Services, oftewel de programmeerbare applicatieservices die op een intelligente manier kunnen worden toegepast op elke applicatie binnen de ScaleN-fabric;- Reference, een verzameling beschrijvende architecturen bedoeld om gebruikersverwach- tingen en de prestaties gelijk te houden, ongeacht de IT-uitdagingen.

Een voorbeeld van zo’n referentie-architectuur is het in november geïntroduceerde ‘DDoS Pro-tection’. Met deze referentie-architectuur kun-nen bedrijven de beschikbaarheid van hun net-werken en applicaties optimaliseren. Een ander voorbeeld is Cloud Federation dat beschrijft hoe bedrijven veilig gebruik kunnen maken van Software-as-a-Service.

Tijdens de RSA Conference die eind februari plaatsvond in San Francisco werden twee nieuwe toevoegingen aan het Synthesis-portfolio be-kendgemaakt. In de eerste plaats ging het om de F5 Secure Web Gateway Services voor het elimineren van malware die gebruikers mogelijk binnenhalen bij het bezoeken van webpagina’s en het gebruik van web- en SaaS-applicaties. De andere toevoeging betrof de referentie-architectuur ‘Web Fraud Protection’.

Overkoepelende strategie“Door ons aanbod security-oplossingen con-tinu uit te breiden, helpt F5 bedrijven bij het tackelen van uiteenlopende securitydreigingen”, zegt Rene Oskam, bij F5 Director Sales voor de

De meeste leveranciers die nu Software-Defined Networking (SDN) omarmen, richten

zich in het datacenter op de onderste lagen van het OSI-model. Het beheer van de

lagen daarboven gebeurt nog gewoon op de traditionele manier. Zonde van de

inspanningen, zo is de stellige overtuiging van F5. Het wordt namelijk pas echt

interessant als je SDN kunt koppelen aan de hogere lagen, waar de prestatiekracht,

veiligheid en betrouwbaarheid van applicaties worden bepaald.

SYN

THESIS-A

RCH

ITECTUU

R | SD

AS | D

DO

S | F5 NETW

OR

KS

17

Benelux. “Onze focus blijft gericht op het veilig verbinden van gebruikers, ongeacht het type device en de applicaties die ze gebruiken. We geven organisaties de volledige controle over de policy’s die van toepassingen zijn op die verbindingen. Of je het nu hebt over ingaande of uitgaande beveiliging, in onze visie moet het allemaal deel uitmaken van één overkoepelende applicatiebeveiligingsstrategie.”

Volgens analist Jeff Wilson van Infonetics Researchis zo’n overkoepelende strategie ook precies waarklanten behoefte aan hebben. “Klanten zijn op zoek naar manieren om beveiligingsplatformente consolideren, met behoud van de prestaties enbeschermingen die noodzakelijk zijn. Het inte-

greren van verschillende mogelijkheden op een platform is aantrekkelijk omdat de security-practicesen -praktijken dan beter kunnen worden afge-stemd op de behoeften van de gebruiker en vande business. Ook is het aantrekkelijk om minderleveranciers te hoeven managen.”

Integratie met SDNOm de talrijke Software Defined Application Services vervolgens te kunnen koppelen aan Software Defined Networking – om zo de voordelen van SDN optimaal te kunnen benut-ten – heeft F5 een samenwerking met Cisco voor zijn Application Centric Infrastructure (ACI).

Door deze samenwerking was consolidatie en programmeerbaarheid van het hele datacenter nog niet eerder zo dichtbij.

Cisco biedt met ACI een framework voor servicecatalogi dat automatische service injection, network stitching en aansturing biedt. Integratie met F5’s SDAS stelt IT-organisaties in staat om centrale applicatielevering, applicatieservices eneen service-geschikt netwerk te automatiseren.Op die manier haal je de complexiteit uit de heleinfrastructuur en wordt de levering van applica-ties programmeerbaar. Het resultaat zijn betrouw-bare, veilige en krachtige applicaties.

' Je haalt de complexiteit uit de infrastructuur en maakt de levering van applicaties programmeerbaar' Rene Oskam is bij F5 Director Sales voor de Benelux

Met de referentie-architectuur ‘DDoS Protection’ kunnen bedrijven de beschikbaarheid van hun netwerken en applicaties optimaliseren

DDoS Protection

SYN

THESIS-A

RCH

ITECTUU

R | SD

AS | D

DO

S | F5 NETW

OR

KS


H E A D L I N E m o t i v l a a t e i n d g e B R u i k e R s m a x i m a a l p R o f i t e R e n va n d e v o o R d e l e n va n c l o u d c o m p u t i n g

V I s I E V A N M o t I V o p c L o u D

CLOU

D- EN

DATA

CENTER

SECUR

ITY | UP

DATE CLO

UD

- EN D

ATACEN

TERD

IENSTEN

| VISIE | M

OTIV

“Het vraagstuk rondom beveiliging gaat veran-deren”, zo stelde Vincent Kalkhoven, operationeel directeur van Motiv, een jaar geleden in Motivator Magazine. “De afgelopen jaren waren beveili-gingsoplossingen heel erg gericht op de gate-way tussen het internet en het netwerk van de klant. Nu komt de nadruk veel meer te liggen op het veilig ontsluiten van data, applicaties en ge-bruikers die onder andere door cloudcomputing

overal en nergens kunnen zijn. Het veranderende vraagstuk rondom informatiebeveiliging zorgt ervoor dat ook wij andere soorten diensten moeten gaan leveren.”

Deze constatering vormde de opmaat naar een jaar waarin Motiv ‘een aantal zaken heeft herover- wogen en opnieuw uitgedacht’. “Deze heroverweging heeft geleid tot een geheel vernieuwd

portfolio met dertien ‘Cloud & datacenter- securitydiensten’ die we nu volop uitrollen en continu vernieuwen”, zo stelt Bastiaan Bakker van Motiv een jaar later tevreden. “Met deze diensten kunnen eindgebruikers volop profiteren van de kracht van cloudcomputing en altijd en overal veilig werken.”

Filters in de publieke cloudVoorbeelden van diensten die Motiv voort-aan ook via de publieke cloud aanbiedt, zijn ‘E-mail security’ en ‘Web security’. “Waar deze oplossingen voorheen altijd on-premise werden geïnstalleerd, leveren we ze nu via de wereldwijde datacenters van onze partner Websense”, licht Bakker toe. “Dit betekent dat eindgebruikers altijd en overal – zowel thuis, op kantoor als onder-weg – hebben te maken met dezelfde securitypolicy’s en antispamregels die voorheen alleen

Na een jaar van ‘heroverweging’ presenteert Motiv een geheel vernieuwd portfolio ‘Cloud- en datacenter-securitydiensten’. “Met deze diensten kunnen eindgebruikers volop profiteren

van de kracht van cloudcomputing en altijd en overal veilig werken”, zo belooft Bastiaan Bakker,

Directeur Business Development van Motiv.

Motiv laat eindgebruikers maximaal profiteren van de voordelen van cloudcomputing

C L O U D C O M P U T I N G

19

V o L g E N D E p A g I N A B R e n g d a T a B e w u s T n a a R d e c L o u d › p . 2 0 CLO

UD

- EN D

ATACEN

TERSECU

RITY | U

PD

ATE CLOU

D- EN

DATA

CENTER

DIEN

STEN | V

ISIE | MO

TIV

op kantoor konden worden afgedwongen. Hier-door profiteert een eindgebruiker maximaal van de voordelen van cloudcomputing; overal is sprake van dezelfde gebruikerservaring.”

Web Application Firewall en DDoS-protectie zijn andere voorbeelden van diensten waarvoor Motiv gebruikmaakt van filters in de publieke cloud van een partner, in deze gevallen de Incapsula-cloud van Imperva. “Hierdoor kunnen we websites veel beter beschermen tegen cyber-aanvallen zoals DDoS-attacks en SQL-injecties”, stelt Bakker. “De aanvaller valt immers niet meer een lokale webserver aan, maar die grote cloud. En doordat de beschermende maatregelen en caching in de cloud worden genomen, is een website beter beschermd en veel sneller beschik-baar voor de eindgebruiker. De beschermende maatregelen hoeven bovendien niet meer per website op maat te worden gemaakt, waardoor de beheerlast enorm afneemt. De maatregelen worden ook automatisch bijgewerkt om bescher-ming te bieden tegen de nieuwste dreigingen.”

Full connectAndere voordelen van de genoemde cloud-diensten zijn volgens Bakker de beschikbaarheid die ‘extreem hoog’ is en het elastische prijsmodel waarbij de klant per gebruiker betaalt en niet vooraf hoeft te investeren in de oplossing. “Motiv blijft bovendien het aanspreekpunt voor de klant en houden ook de verantwoording richting de klant. Wij ‘ontzorgen’ volledig door alles goed te configureren en te integreren met de bestaande omgeving van de klant.”

Na deze door Motiv begeleide transitie kan de klant ervoor kiezen om zelf het beheer, de mo-nitoring en incident-response te doen. Motiv noemt dit ‘Easy Connect’. Bij ‘Full Connect’ wordt het beheer en de monitoring volledig over-gedragen aan de ICT-organisatie van Motiv. “Wij houden dan continu de dreigingen in de gaten die op een klant af komen en zorgen voor het incident-responseproces op het moment dat er iets niet in de haak is. We zorgen er dus voor dat een eventueel brandje direct wordt geblust. Als de klant ervoor kiest om zelf het beheer en de monitoring te doen, dan zal de klant zelf een brandje moeten signaleren. De klant blust de brand zelf waarbij expertise van Motiv kan wor-den bijgeschakeld.” Een derde variant is ‘Service

Connect’ waarbij Motiv en de klant in onderling overleg samen het beheer en de monitoring verzorgen.

on-premiseBij diensten zoals E-mail security, Web security, Web Application Firewall en DDoS-protectie ligt het volgens Bakker voor de hand om gebruik te maken van publieke clouds zoals de Websense Threatseeker Cloud en Imperva Incapsula. “Door de schaalgrootte van deze oplossingen dalen de kosten per gebruiker. Daar staat tegenover dat de filters constant worden bijgewerkt en een beschikbaarheid halen die we met een on-premise oplossing niet kunnen realiseren. Je verstrekt kortom de beveiliging terwijl je tegelijkertijd een kostenreductie realiseert.”

Uiteraard blijven er situaties denkbaar waarin de voorkeur uitgaat naar een implementatie on-premise. “De firewall staat op de netwerk-grens, dus die zal veelal op klantlocatie worden geïnstalleerd”, aldus Bakker. De klant kan dan nog steeds voor Full Connect kiezen en het beheer en de monitoring dus overdragen aan de securityspecialisten van Motiv. “Vanuit compliance- overwegingen zijn ook ‘hybride oplossingen’ mo-gelijk, waarbij je bijvoorbeeld voor de scanning van e-mail wel gebruikmaakt van filters in de cloud, maar de logging en de e-mailberichten die worden tegengehouden opslaat op een lokale appliance.”

Motiv cloud“On-premise of in de cloud, uiteindelijk is het slechts een architectuurkeuze. In veel gevallen

wordt in beide situaties gebruikgemaakt van dezelfde software”, vervolgt Bakker. Een andere ‘architectuurkeuze’ is de Motiv Cloud, een op-timaal beveiligde cloudomgeving die wordt gehost in twee datacenters in Nederland en die wordt beheerd door in Nederland gescreend personeel. Doordat het een volledig ‘Nederlandse cloud’ is, spelen compliance-issues rondom bij-voorbeeld safe harbour niet en zal het voor veel bedrijven eenvoudiger zijn om de stap naar de cloud te maken. Bij uitbesteding aan Motiv kan zekerheid middels een ISAE3402-certificaat worden afgegeven.

“Vanuit dit twin-datacenterconcept bieden wij een aantal oplossingen die helemaal ‘cloud- ready’ zijn en dus worden afgerekend op basis van gebruik”, legt Bakker uit. Een goed voorbeeld van zo’n cloud-ready oplossing is mSafe, Motiv’s platform voor het uiterst veilig uitwisselen van vertrouwelijke documenten. “Daarnaast bieden we vanuit de Motiv Cloud een Secure Hosting-platform aan klanten die bedrijfskritische web-applicaties naar de cloud willen brengen. Wij zorgen er dan niet alleen voor dat die applicaties in de cloud komen te staan, maar ook voor de security. Om gebruikers veilig op applicaties in te laten loggen, bieden we vanuit de Motiv Cloud de aanvullende dienst Sterke Authenticatie. Op deze manier kan een gesloten groep gebruikers via publiek internet werken met vertrouwelijke gegevens.”

optimale architectuur“Door de publieke clouddiensten van onze part-ners te combineren met de Motiv Cloud en op-lossingen on-premise kunnen we komen tot de architectuur die uiteindelijk voor onze klant het aantrekkelijkst is”, besluit Bakker. “Als de klant bijvoorbeeld zelf zijn DMZ niet goed op orde heeft, is het logisch om deze uit te besteden in de Motiv Cloud met aanvullende standaard security-bouwblokken. Maar mocht de klant zelf zijn bescherming van webapplicaties goed onder controle hebben, dan is de toegevoegde waar-de van uitbesteden richting de cloud beperkt. Daarom is het ook belangrijk dat er altijd eerst een goede intake wordt afgenomen, zodat een probleem zo kosteneffectief en veilig mogelijk wordt opgelost zodat de klant optimaal profiteert van de veranderende digitale wereld.”

' je verstrekt de beveiliging terwijl je tegelijkertijd een kostenreductie realiseert' Bastiaan Bakker, directeur Business development van Motiv

V I s I E D o o R A N N E k A R I N E H A F k A M p ( B u s I N E s s L I N E M A N A g E R s E R V I c E s B I j M o t I V ) E N p E t E R s t R A V E R ( s E c u R I t Y A R c H I t E c t B I j M o t I V )

H E A D L I N E B R e n g d a T a B e w u s T n a a R d e c L o u d

Breng data bewust naar de cloudBij het afnemen van een clouddienst worden er bijna altijd data ondergebracht binnen de dienstverlening. Daarmee worden de data als het ware in ‘bewaring’ gegeven bij de cloudprovider die er op basis van een afsprakenstelsel op toeziet dat de data veilig en beschikbaar zijn. Voor een succesvolle uitbesteding van het ‘behoud’ van de data is het echter wel noodzakelijk dat de eigenaar inzicht heeft in de data die naar de cloud gaan. Het verkrijgen van dat inzicht vraagt meer van de organisatie dan van de techniek.

toeziet dat de data veilig en beschikbaar zijn. Voor een succesvolle uitbesteding van het ‘behoud’ van de data is het echter wel noodzakelijk dat de eigenaar inzicht heeft in de data die naar de cloud gaan. Het verkrijgen van dat inzicht vraagt meer van de organisatie dan van de techniek.

CLOU

D- EN

DATA

CENTER

SECUR

ITY | OP

TIMA

LE BESCH

IKB

AA

RH

EID | V

ISIE | MO

TIV

MM 01 | voorjaar 201420

Een cloud kan niet van de tafel vallen. Een server met harddisks kan dat wel. Het is misschien een enigszins vreemde vergelijking, maar het geeft wel exact het grote nadeel van de cloud aan: het gebrek aan tastbaarheid. Hoewel een cloud-hostingdienst exact dezelfde functionaliteit biedt als een fysieke server, zien we in de cloud ineens niet meer hoe een product of dienst in elkaar steekt. Door dit gebrek aan ‘tastbaarheid’ ontstaat onzekerheid waardoor er verkeerde beslissin-gen worden genomen en de betrouwbaarheid, integriteit en vertrouwelijkheid van data gevaar kunnen lopen.

Om data bewust naar de cloud te kunnen bren-gen, is het noodzakelijk dat we ook de cloud ‘tast-baar’ maken. Dat kan alleen als er inzicht is in de data en in de samenhang. Daar is een belangrijke rol weggelegd voor de eigenaar van de data.

De eigenaar van de data blijft verantwoordelijk voor de data, ook als deze in bewaring zijn bij een cloudprovider.

classificeren en kaders stellenVoordat het behoud van de data wordt uitbe-steed, zal dus eerst de vraag moeten worden beantwoord wie de eigenaar van de data is. Deze persoon (de ‘Data Steward’) is de enige die de data kan classificeren en op basis van de classificatie kan bepalen welke beveiligingsmaat-regelen het best passend zijn. Net zoals we er thuis voor kiezen om het tuinmeubilair buiten te laten staan en sieraden in een kluis te leggen, zo moeten we ook per type data afwegen welke beveiligingsmaatregelen het best passend zijn.Dat deden we binnen een traditionele IT-infrastructuur al, en daar verandert in de cloud niets aan.

Ook zal de eigenaar van de data kaders moeten stellen voor het gebruik van de data. Daarbij moeten vragen worden beantwoord als ‘waar mogen mijn data worden opgeslagen?’, ‘wie heeft er toegang tot de data?’ en ‘waarmee kun-nen gegevens worden benaderd en gemuteerd?’. In deze fase gaan identiteiten – en het beheer daarvan – een belangrijke rol spelen.

Voor het benaderen van bepaalde data door een identiteit is een intermediair nodig: een ap-plicatie. In de visie van Motiv moeten gebruiker,applicatie en data zich onafhankelijk van elkaar kunnen bewegen tussen on-premise en de cloud. Een ‘lock-in’ wordt hierdoor geëlimineerd. Wanneer je de controle hebt over de identiteiten en de data ‘bewust’ hebt ondergebracht, kan de applicatie overal zitten en doet de fysieke locatie er veel minder toe. >

CLOU

D- EN

DATA

CENTER

SECUR

ITY | OP

TIMA

LE BESCH

IKB

AA

RH

EID | V

ISIE | MO

TIV

21

Voordat het behoud van de data wordt uit-besteed, zal eerst de vraag moeten worden beantwoord wie de eigenaar van de data is

Peter Straver

Anne Karine Hafkamp


H E A D L I N E B R e n g d a T a B e w u s T n a a R d e c L o u d

CLOU

D- EN

DATA

CENTER

SECUR

ITY | OP

TIMA

LE BESCH

IKB

AA

RH

EID | V

ISIE | MO

TIV

V I s I E

AfsprakenstelselHet is kortom van belang om inzicht te krijgen en samenhang te zien. Als duidelijk is wie de eigenaar van de data is, de data zijn geclas-sificeerd en kaders zijn gesteld voor het gebruik van de data, pas dan is er een goede basis voor het uitbesteden van het behoud van de data.

De eigenaar en de bewaarder van de data zullen afspraken maken over hoe de data beschikbaar worden gesteld en gehouden. Hierbij spelen veel-al beschikbaarheidsvraagstukken een rol. Vanuit een risicoanalyse van bedrijfsprocessen wordt bepaald welke beschikbaarheid van data (appli-caties) benodigd is. Middels deze bepaling wor-den mogelijke Recovery Time Objective (RTO) en Recovery Point Objective (RPO) eraan gekoppeld. Vervolgens worden aanvullende maatregelen ge-nomen om tevens integriteit en vertrouwelijk-heid van data te borgen volgens afgesproken service levels.

Motiv als bewaarderMotiv heeft zijn Cloud- en Datacenter security-diensten ingericht met een focus op vertrou-welijkheid en integriteit; data moeten te allen tijde zijn beschermd tegen misbruik, uitlekken en ongeautoriseerde toegang en mutatie. De ge-laagdheid van de architectuur voorziet in het ter beschikking stellen van integere en vertrou-welijke informatie. Daar ligt ook de kracht van Motiv. Zo wordt encryptie toegepast op zowel de data die in beweging zijn als op de opge-slagen data. Ook verlaten gegevens nooit de omgeving van Motiv. Als data bijvoorbeeld verhuizen naar een nieuwe disk, wordt de oude disk met behulp van een stroomstoot volledig vernietigd.

RedundantieOm de beschikbaarheid optimaal te houden, is redundantie in de ‘Motiv Cloud’ op meerdere

niveaus doorgevoerd. Zo maakt Motiv gebruik van twee datacenters in de regio Amsterdam die zijn ontworpen conform de kwaliteitseisen van de Tier 3-norm. Dit wil zeggen dat de drie be-langrijkste aspecten in een datacenter gegaran-deerd in een hoge beschikbaarheid voorzien: stroom, temperatuur en luchtvochtigheid. Singlepoints of failure in de installatie zijn dan ook uitgesloten.

De omgevingen in beide datacenters zijn vol-ledig gespiegeld waardoor ze elkaars taken in het geval van een storing direct kunnen over-nemen. Als een host met virtuele servers uitvalt, zal automatisch worden overgeschakeld naar een host in het secundaire datacenter. Om data altijd beschikbaar te houden, worden alle data geback-upt. Daarnaast gaat er nog een replica naar een tweede locatie.

optimale connectiviteitDe geschetste set-up ondergaat momenteel een belangrijke wijziging die de kans op een down-time nog verder terugdringt: de inrichting van een compleet nieuwe computerruimte. Deze ruimte bevindt zich in een datacenter van Euro-fiber dat is gevestigd in Groenekan. Deze nieuwe locatie gaat een van de twee datacenters in de regio Amsterdam uiteindelijk vervangen.

In de oude situatie maakte Motiv gebruik van twee datacenters die beide onder NAP staan en waarbij eenzelfde internetserviceprovider deconnectiviteit levert. Door in Groenekan de hoogte op te zoeken, krijgt Motiv de beschik-king over twee datacenters met twee verschil-lende providers voor de connectiviteit. Dedienstverlening zal dan geen hinder onder-vinden van een storing in een van de internet-lijnen. Bijkomend voordeel is dat de nieuwe ruimte zich dichtbij het kantoor van Motiv bevindt waardoor medewerkers van Motiv in het geval van een calamiteit snel ter plaatse zijn.

getest en getoetstMotiv neemt in de rol van ‘bewaarder’ ook hetbeschikbaarheidsvraagstuk kortom uiterst serieus.Bij een incident mag de dienstverlening niet langer dan vier uur worden verstoord.

Doordat Motiv is gecertificeerd voor ISO 20000 en ISO 27001 wordt die beschikbaarheid – en de maatregelen die worden genomen om die beschikbaarheid zo optimaal mogelijk te houden – ook getest en getoetst door een externe auditor.

Het gebrek aan tastbaar-heid is het grote nadeel

van de cloud

23

24 MM 01 | voorjaar 201424 MM 01 | voorjaar 2014

'De markt is rijp voor Software-Defined

Protection'Na Software-Defined Networking, Software-Defined Storage en het Software-Defined

Datacenter wordt nu ook security ‘Software-Defined’. Door de controle van alle security-

componenten onder te brengen op een aparte softwarelaag, ontstaat volgens Check Point

Software Technologies een ‘revolutionaire beveiligingsarchitectuur’. Software-Defined

Protection, zoals Check Point de nieuwe visie heeft gedoopt, zorgt voor een effectieve

bescherming tegen huidige en toekomstige dreigingen, maakt het eenvoudiger om

nieuwe beveiligingstechnologieën te implementeren en verlaagt de beheerlast.

Ondanks alle aandacht voor security, en de imple-mentatie van uiteenlopende securitymaatregelen,zijn organisaties nog altijd kwetsbaar voor de nieuwste dreigingen. “Het is niet langer de vraag of we gehackt worden, maar wanneer. Ook het management binnen grote bedrijven is zich daar steeds beter van bewust”, zo stelt Arthur van Uden, Country Manager Benelux bij Check Point.

“Er komen steeds weer nieuwe dreigingen bij”, vervolgt Van Uden. “Zo hebben we vorig jaar in Nederland aan den lijven kunnen ondervinden wat Distributed Denial of Service-aanvallen aan-richten. Wat we nu in andere landen sterk zien opkomen, is de ‘interne DDoS-attack’ waarbij bij-voorbeeld gegevens in een database worden ge-manipuleerd om zo gebruikers op het verkeerde been te zetten. Zo’n nieuw type aanval vraagt ook weer om nieuwe defensiemaatregelen.”

Aparte tak van sportEr worden kortom steeds meer middelen ingezet om gebruikers, netwerken en gegevens te bescher-men tegen de nieuwste dreigingen. Zo worden de gateways uitgerust met additionele securityfuncti-onaliteiten zoals Data Leakage Prevention, antivirus en Intrusion Detection en Prevention. Binnen het interne netwerk worden allerlei technieken toege-past om bijvoorbeeld te voorkomen dat de logis-tieke afdeling in de salarisadministratie kan kijken. “De software die op al die verschillende apparaten draait, moet continu worden geüpdatet en bijge-werkt om bescherming te kunnen bieden tegen de nieuwste dreigingen”, aldus Van Uden. “Binnen bedrijven wordt zelfs op C-level steeds vaker de vraag gesteld: ‘hoe gaan we dat allemaal doen?’”

En dan worden bedrijven ook nog eens gecon-fronteerd met de Bring Your Own-apparaten zoals

tablets en smartphones die buiten het bedrijf komen en niet door de organisatie worden be-heerd. “Dan moet je als bedrijf goed duidelijk maken hoe de mobiele gebruikers om horen te gaan met security en wat de securitypolicy’s zijn”, benadrukt Van Uden. “Het inregelen, onderhouden en beheren van de policy’s blijkt echter vaak een lastige opgave waar specialistische kennis voor nodig is. Security is toch een aparte tak van sport.”

Software-Defined ProtectionTegen deze achtergrond van steeds weer nieuwe dreigingen die we proberen af te vangen met een defensie die steeds complexer wordt, presenteert Check Point nu Software-Defined Protection (SDP). Deze nieuwe beveiligingsarchitectuur beschermt, zoals het zo mooi heet, ‘tegen de dreigingen van morgen’ en maakt het eenvoudiger om nieuwe beveiligingsmaatregelen te adopteren en

CLOU

D- EN

DATA

CENTER

SECUR

ITY | SDP | M

SP | CHECK

PO

INT SO

FTWA

RE TECH

NO

LOG

IES

Arthur van Uden van Check Point Software Technologies

25 25

securitypolicy’s door te voeren. SDP zorgt ervoor dat de bedreigingsinformatie die afkomstig is uit diverse bronnen, zoals de Check Point Threat-Cloud, in realtime wordt vertaald in updates van de diverse beveiligingscomponenten binnen het netwerk.

Om dit te bewerkstelligen, maakt SDP gebruik van drie lagen die nauw met elkaar zijn verbonden. De onderste laag is de ‘enforcement layer’ (hand-havingslaag). Dit is de laag waar de inspectie van het netwerkverkeer plaatsvindt en de bescher-ming wordt afgedwongen. Voor een optimale beveiliging wordt het netwerk in de visie van Check Point in zo klein mogelijke segmenten op-gedeeld. “Segmentatie is de nieuwe perimeter”, zo luidt het devies dan ook. Handhaving vindt vervolgens plaats op de grenzen tussen de seg-menten, maar ook op bijvoorbeeld laptops en

desktops. Door gebruik te maken van firewall-virtualisatie kan men deze segmentatie bewerk-stelligen met minimale inzet van hardware.

Boven de handhavingslaag treffen we de ‘Control Layer’ aan. Dit is de laag waar de aansturing van de handhavingspunten plaatsvindt en de bescher-mingen worden gegenereerd. Beheerders kun-nen op deze laag de beveiligingspolicy’s opstellen voor de controle van de interacties tussen gebrui-kers, tussen data en tussen applicaties. De policy’s kunnen vervolgens worden gepusht naar de handhavingspunten. ‘Threat Protection’ helpt op deze laag om zowel bekende als onbekende drei-gingen op het spoor te komen. Beschermingen voor nieuwe dreigingen worden automatisch gegenereerd en naar de handhavingspunten ge-stuurd. Om een optimale bescherming te bieden, wordt de ‘intelligentie’ uit zoveel mogelijk bronnen verzameld.

De derde laag is de ‘Management Layer’. Dit is als het ware de ‘cockpit’ voor de beheerder. De be-heerder krijgt een overzicht van de informatie die wordt verzameld door de handhavingspunten. Hierdoor ontstaat een goed beeld van de actuele staat van de beveiliging. Het beeld dat de beheer-der krijgt voorgeschoteld, kan eventueel worden gebaseerd op zijn of haar rol.

Beheer uitbestedenVolgens Van Uden is Software-Defined Protec-tion het gepaste antwoord op het fenomeen dat we de beveiliging steeds verder opvoeren maar

ondertussen wel kwetsbaar blijven voor de drei-gingen die we nu nog niet kennen. “Check Point zet dan ook vol in op Software-Defined Protection. De markt is er helemaal rijp voor. We moeten nu de visie uit gaan dragen.”

Ook met SDP blijft echter de afweging: ‘gaan we het beheer zelf doen, of besteden we het uit?’ Van Uden: “Securitybeheer is een zeer specialistische tak van sport waarbij je je af kunt vragen of bijvoor-beeld de netwerkbeheerder binnen je organisa-tie daar voldoende tijd voor en kennis van heeft. In veel gevallen is het dat ook raadzaam om het beheer over te laten aan een van onze Managed Service Providers. Motiv heeft bijvoorbeeld al vele jaren aangetoond hier een expert in te zijn. Motiv implementeert niet alleen de beveiliging, maar kan ook de montoring 24/7 uitvoeren, het inci-dent-responseproces verzorgen en het beheer vol-ledig overnemen door bijvoorbeeld alle changes en updates door te voeren. Met onze nieuwe SDP-architectuur kan Motiv deze taken zelfs uitvoeren zonder een ‘management station’ op klantlocatie te installeren.”

“Binnen het Managed Service Provider-model is eigenlijk alles mogelijk”, besluit Van Uden. “De klant kan er bijvoorbeeld voor kiezen om de apparatuur zelf aan te schaffen en het beheer aan Motiv over te laten. Ook is het mogelijk om Motiv de appara-tuur aan te laten schaffen. In dat geval berekent Motiv een maandelijkse vergoeding voor de appa-ratuur waardoor de aanschafkosten voor de klant worden gespreid over een langere periode.”

' Ook met SDP blijft de afweging: gaan we het beheer zelf doen, of besteden we het uit?' Arthur van Uden, Country Manager Benelux bij Check Point

CLOU

D- EN

DATA

CENTER

SECUR

ITY | SDP | M

SP | CHECK

PO

INT SO

FTWA

RE TECH

NO

LOG

IES

Architectuur Software-Defined Protection


H E A D L I N E ‘ m s a f e i s o n z e H o u t e n s e c l o u d ’

VEILIG

E BESTA

ND

SUITW

ISSELING

| MSA

FE | GEM

EENTE H

OU

TEN K

IEST VO

OR

MSA

FE

' je moet je er altijd bewust van zijn dat je met vertrouwelijke informatie werkt' Piet woudt, senior adviseur Informatiemanagement gemeente Houten

Foto

graf

ie: R

uud

Jonk

ers

27

I N t E R V I E w p I E t w o u D t , s E N I o R A D V I s E u R I N F o R M A t I E M A N A g E M E N t g E M E E N t E H o u t E N

VEILIG

E BESTA

ND

SUITW

ISSELING

| MSA

FE | GEM

EENTE H

OU

TEN K

IEST VO

OR

MSA

FE

' msafe is onze Houtense cloud'

Het werken voor een gemeente betekent ook het vertrouwelijk omgaan met informatie, zoals de gegevens van burgers. "En daar passen geen toepassingen zoals Dropbox en wetranfer bij", vindt piet woudt, senior adviseur Informatiemanagement bij de gemeente Houten. De gemeente vond voor het uitwisselen van vertrouwelijke en omvangrijke documenten een alternatief in Motiv msafe.

Op basis van artikel 93 van de Paspoortuitvoe-ringsregeling Nederland 2001 heeft Piet Woudt een formele taak als beveiligingsfunctionaris. “Vanuit die rol heb ik informatiebeveiliging steeds meer naar me toe getrokken”, vertelt Woudt. “Al onder de vorige burgemeester hebben we inge-zet op het verder verbeteren van de beveiliging. Inmiddels is dat wel bijna een dagtaak. Informa-tiesystemen zijn zo cruciaal geworden dat geen enkele organisatie zonder kan en dat geldt zeker ook voor een gemeente. We hebben dan ook een zware verplichting; zo mag de uitgifte van paspoorten nooit langer dan 24 uur stil komen te liggen, zelfs niet als het gemeentehuis afbrandt. Dat is dan ook de reden dat we de IT-omgeving volledig hebben gespiegeld en daarnaast een uitwijk hebben geregeld. Onze verantwoordelijk-heid op dit punt is heel groot en we gaan dan ook niet over één nacht ijs.”

Vanuit die verantwoordelijkheid heeft Woudt ook het schrijven van een Informatiebeveiligings-plan en een Uitvoeringsplan informatiebeveiliging voor de gemeente Houten op zich genomen. “In het Informatiebeveiligingsplan, dat is gebaseerd op de code voor informatiebeveiliging, staat het beleid omschreven terwijl in het Uitvoeringsplan staat wat we concreet doen”, licht Woudt toe.

Een belangrijk punt van aandacht in beide docu-menten is het creëren van beveiligingsbewustzijn onder de medewerkers van de gemeente Houten. Om de ‘security awareness’ te verhogen verzorgt Woudt onder andere workshops over de tactie-ken die social engineers toepassen. “Ook heb ik een keer een phishingmail naar honderd mensen gestuurd om te kijken hoeveel daar nu op klikten; dat bleken er toch nog dertig te zijn. Twee mensen vertrouwden het niet en belden de helpdesk.”

Veilige plaats“Het internet is een gevaarlijke plaats en voor iedereen moet duidelijk zijn wat de risico's zijn”, vervolgt Woudt. “Als je bijvoorbeeld op een iPad zit te lezen, moet je er rekening mee houden dat anderen kunnen meelezen en dat dat dus een beveiligingsrisico vormt. Je moet je er altijd be-wust van zijn dat je met vertrouwelijke informatie werkt.” Volgens Woudt ligt dit uitgangspunt ook verankerd in artikel 13 uit de Wet bescherming persoonsgegevens (Wbp). “Wij zijn verplicht om gegevens goed te beveiligen, maar wel ‘binnen de redelijkheid van kosten en inspanning’. Daar moet je een balans in zien te vinden, en dat is best wel lastig. Dat doe je door de informatie te classificeren en op basis van de classificatie de juiste beveiligingsmaatregelen toe te passen.

Informatie uit de Gemeentelijke Basisadministratie, personeelsgegevens en misschien zelfs medische gegevens moeten als ‘vertrouwelijk’ worden ge-kenmerkt, terwijl er ook heel veel informatie juist openbaar moet zijn.” >

gemeente Houten“Het werk bij een gemeente is heel erg leuk, maar soms ook heel erg veel waardoor je fragmentarisch bezig bent”, vertelt Piet Woudt, Senior adviseur Informatiemanagement bij de gemeente Houten. De gemeente in de provincie Utrecht telt een kleine vijftigduizend inwoners. Daar staan nog geen drie-honderd medewerkers tegenover. “En dat aantal medewerkers loopt nog terug. Net zoals iedere andere gemeente moeten ook wij bezuinigen terwijl het aantal taken toeneemt. Dat kan alleen maar met meer techniek. Op het gebied van de mid-office – het zaakgericht werken – werken we bovendien samen met Zeist en Nieuwegein. Op het gebied websites hebben we een vereniging waar we met vijftig gemeenten samenwerken.”


H E A D L I N E ‘ m s a f e i s o n z e H o u t e n s e c l o u d ’

I N t E R V I E w p I E t w o u D t , s E N I o R A D V I s E u R I N F o R M A t I E M A N A g E M E N t g E M E E N t E H o u t E N

> De informatie voor raadsleden is volgens Woudt een voorbeeld van informatie die ‘heel erg open-baar’ moet zijn. “Die kunnen we rustig op internet zetten. Maar raadsleden krijgen zo nu en dan ook vertrouwelijke informatie, bijvoorbeeld tijdens de benoemingsprocedure voor een nieuwe burge-meester. Dan wil je ervoor zorgen dat de informa-tie eenvoudig toegankelijk is voor de raadsleden, zonder dat gevoelige informatie op straat komt te liggen. De informatie moet dan op een veilige plaats komen te staan en toegankelijk zijn voor

alle raadsleden zonder dat ze naar het gemeente-huis hoeven te komen. Maar wel per gebruiker afzonderlijk beveiligd, zodat we kunnen zien wie wat heeft gedownload.”

Motiv msafeZo'n ‘veilige plaats’ heeft de gemeente Houten gevonden in mSafe, de clouddienst van Motivdie in februari 2013 op de markt kwam. Het plat-form is speciaal ontwikkeld voor de zakelijke markt voor het uitwisselen van bijvoorbeeld per-soneelsdossiers, medische dossiers of financiële

informatie. Uitgangspunten zijn maximale veiligheid en be-trouwbaarheid. Zo zijn sterke authenticatie, scanning op mal-ware en versleuteling standaard. Door de dienst continu te bewa-ken, wordt oneigenlijk gebruik van het platform voorkomen.

Binnen de gemeente Houten werd mSafe in eerste instantie gebruikt door de afdeling die de vergunningen afgeeft en veel tekeningen uitwisselt. “Voor het uitwisselen van tekeningen werd WeTransfer gebruikt, maar dat von-den we structureel geen goede oplossing”, licht Woudt toe. “Dien-sten zoals WeTransfer en Dropbox zijn sowieso niet geschikt aangezien een overheid geen gegevens mag opslaan op buitenlandse servers en al helemaal niet buiten Europa. mSafe voldoet aan de eisen die gelden voor een Nederlandse over-heid. De dienst draait op servers

in Nederland en is goed beveiligd. Daar komt bij dat mSafe eenvoudig is in gebruik en snel was te realiseren. Na een proef van een maand hebben we de dienst direct aangevraagd en wezijn nog altijd erg enthousiast. Wat voor ons nogwel een wens zou zijn, is dat je documentenwel kunt lezen maar niet kunt downloaden, want het liefst wil ik dat documenten nooit op iPads terechtkomen.”

Houtense cloudMet de ingebruikname van mSafe zijn dien-sten als Dropbox en WeTransfer verleden tijd binnen de gemeente Houten. “Maar daar wasons Informatiebeveiligingsplan eigenlijk al dui-delijk over”, zegt Woudt. “Daarin staat letterlijk:‘Dropbox en soortgelijke oplossingen zijn niet toegestaan. Indien daar behoefte aan is, kan daarvoor een Houtense cloud worden opgezet.’ Nu huren we een soort van Houtense cloud. We hebben Dropbox overigens niet geblok-keerd. Zowel onze medewerkers als de raads-leden hebben een eigen verantwoordelijkheid, en daar moet je op kunnen vertrouwen."

' zowel onze medewerkers als de raadsleden hebben een eigen verantwoordelijkheid, en daar moet je op kunnen vertrouwen'

Hoe werkt msafe?De basis van Motiv mSafe is een werk-ruimte die een organisatie bijvoorbeeld per project, klant of contactpersoon aan-maakt. Aan deze virtuele folder koppelt de beheerder of eigenaar gebruikers die op de werkruimte inloggen met behulp van een gebruikersnaam (e-mailadres), wachtwoord en een eenmalige code. Zij krijgen deze code via een sms-bericht binnen. Sterke authenticatie is dus standaard binnen mSafe.

Gebruikers kunnen vervolgens bestan-den uploaden naar de werkruimte. Deze bestanden komen eerst in een quaran-taineomgeving waar Motiv ze scant op malware. Daarna krijgen de gebruikers automatisch per e-mail een melding van de upload. De dienst is volledig webgebaseerd en vereist geen installatie van software; alleen bestanden groter dan 100 MB vereisen een plug-in van Microsoft Silverlight.soneelsdossiers, medische dossiers of financiële

tekeningen uitwisselt. “Voor het uitwisselen van tekeningen werd WeTransfer gebruikt, maar dat von-denoplossing”, licht Woudt toe. “Dien-sten zoals WeTransfer en Dropbox zijn sowieso niet geschikt aangezien een overheid geen gegevens mag opslaan op buitenlandse servers en al helemaal niet buiten Europa. mSafe voldoet aan de eisen die gelden voor een Nederlandse over-heid. De dienst draait op servers

VEILIG

E BESTA

ND

SUITW

ISSELING

| MSA

FE | GEM

EENTE H

OU

TEN K

IEST VO

OR

MSA

FE

29

H E A D L I N E x x x x x x x x

H E A D L I N E m o t i v B i e d t s n e l l e e n v e i l i g e B e s t a n d s u i t w i s s e l i n g m e t m s a f e d i R e c t


VEILIG

E BESTA

ND

SUITW

ISSELING

| MSA

FE | MSA

FE DIR

ECT | MO

TIV

MOTIV NIEUWS

Motiv kondigt de beschikbaarheid aan van ‘msafe Direct’. Hiermee kunnen documenten snel, veilig en eenvoudig worden gedeeld met één contactpersoon.

mSafe Direct vormt een belangrijke uitbreiding van mSafe, Motiv’s platform voor het uiterst vei-lig uitwisselen van gevoelige documenten. De basis van Motiv mSafe is een werkruimte die een organisatie bijvoorbeeld per project, klant of contactpersoon aanmaakt en die alleen toegan-kelijk is met een gebruikersnaam, wachtwoord en een sms-code. Gebruikers kunnen vervolgens bestanden uploaden naar de werkruimte.

Met mSafe Direct is het nu ook mogelijk om – zonder eerst een werkruimte aan te maken – tot maximaal tien documenten rechtstreeks met één contactpersoon te delen. Vijf dagen na uploaden worden de documenten automatisch verwijderd.

De uploaddata worden voortaan getoond in een aparte kolom in de gebruikersinterface. Daarnaast heeft Motiv enkele wijzigingen doorgevoerd die

het gebruik laagdrempeliger maken. Zo is er een pagina toegevoegd met Frequently Asked Ques-tions waar de gebruiker antwoorden kan vinden op de meest gestelde vragen. Als de gebruiker zijn vraag niet terugvindt, is er een mogelijkheid om een vraag te stellen vanuit de FAQ-pagina.

continue verbeteringenMotiv mSafe is speciaal ontwikkeld voor het uit-wisselen van zakelijke documenten, zoals per-soneelsdossiers, medische dossiers of financiële informatie. Uitgangspunten zijn maximale veilig-heid en betrouwbaarheid. Zo zijn sterke authenti-catie, scanning op malware en versleuteling stan-daard. Door de dienst continu te bewaken, wordt oneigenlijk gebruik van het platform voorkomen.

Sinds de introductie van mSafe in februari 2013 heeft Motiv de functionaliteit van het platform al op vele punten uitgebreid. Zo is het sinds eind 2013 standaard mogelijk om mSafe te koppe-len aan Microsoft Active Directory. Door mSafe te koppelen aan Active Directory neemt het gebruiksgemak aanzienlijk toe. Gebruikers die binnen de directoryservice van Microsoft zijn geautoriseerd voor gebruik van mSafe, kunnen snel en eenvoudig toegang krijgen tot mSafe-werkruimtes. Gebruikers kunnen zich bij mSafe aanmelden door bijvoorbeeld te klikken op een link in Microsoft SharePoint.

Een andere verbetering die Motiv heeft door-gevoerd, is de uitbreiding van mSafe met een ‘dienstwerkruimte’ voor het geautomatiseerd ontvangen van gebruiksrapportages.

Motiv biedt snelle en veilige bestands-uitwisseling met mSafe Direct

mSafe is uiterst veilig door de sterke authenticatie op basis van gebruikersnaam, wachtwoord en eenmalige sms-code, de continue bewaking van het platform en de malwarescanning door Motiv.

10GB mSafe is geschikt voor zeer grote bestanden, tot wel 10 GB.

10GB

mSafe is een Nederlands product dat wordt gehost in Nederlandse datacenters.

10GB mSafe is eenvoudig te koppelen aan uw eigen domeinnaam.10GB

mSafe kan volledig op maat en in uw eigen huisstijl worden geleverd, met een voor uw gebruikers herkenbare interface.

10GB

mSafe maakt integratie met uw intranet of bedrijfsapplicatie mogelijk, onder de voorwaarde dat er een VPN-koppeling met de klant is.

10GB

31

' Bedrijven zijn met msafe niet alleen verzekerd van een uiterst veilige bestandsuitwisseling via internet, maar blijven ook volledig 'in control' over hun eigen gegevens' Bastiaan schoonhoven, marketing manager bij Motiv

V o L g E N D E p A g I N A ' m i d d e l e n g e n o e g o m e e n g e ava n c e e R d e a a n va l t e o n d e R s c H e p p e n ’ › p . 3 2

Ook is de mogelijkheid toegevoegd om perma-nente werkruimtes aan te maken. Een dergelijke ruimte, die alleen kan worden aangemaakt door een beheerder, heeft zelf geen vervaldatum. Wel hebben de documenten binnen een perma-nente werkruimte een vervaldatum die kan worden aangepast.

kracht van de cloud“Motiv mSafe biedt de beheerder van een werk-ruimte de informatie die nodig is bij het aantonen van compliance of het overleggen van een audit-log”, zegt Bastiaan Schoonhoven, marketing ma-nager bij Motiv. “Daarmee zijn bedrijven niet alleen verzekerd van een uiterst veilige bestandsuitwis-seling via internet, maar blijven ze ook volledig

‘in control’ over hun eigen gegevens. Die con-trole ontbreekt bij consumententoepassingen als Dropbox, Google Drive of WeTransfer.”

Updates die beschikbaar komen, zijn direct en zonder extra kosten beschikbaar voor alle ge-bruikers van mSafe. “Hieruit blijkt de kracht van Motiv’s cloudpropositie”, aldus Schoonhoven. “Voor de opkomst van cloudcomputing ver-scheen er misschien één keer per jaar een nieuwe release van een softwareproduct, en om gebruik te kunnen maken van de nieuwe features werd je als gebruiker gedwongen om een nieuwe licentie aan te schaffen. Met dat model rekenen we nu genadeloos af.”

Een belangrijke verbetering is de verdere uitbreiding van de controle-mogelijkheden

Zo krijgt de beheerder van een werk-ruimte nu te zien:• wieopwelkmomenteenbepaald document heeft geüpload, gedownload of gewijzigd,• ofereenvirusisaangetroffenen• wathetlaatstemomentvaninloggen is geweest.

VEILIG

E BESTA

ND

SUITW

ISSELING

| MSA

FE | MSA

FE DIR

ECT | MO

TIV

msafe kan gedurende dertig dagen gratis en vrijblijvend worden uitgeprobeerd.

kijk voor meer informatie op www.msafe.nl of www.motiv.nl/veilige-bestandsuitwisseling.

mSafe Direct Sleep max 10 bestanden in dit vak om deze te uploaden

mSafe Directoverzicht

0

+

Nieuw!


E-MA

IL-, WEB

- EN D

ATASECU

RITY | TH

REAT R

EPO

RT | W

EBSEN

SE

'Middelen genoeg om een geavanceerde aanval

te onderscheppen’

Het ecosysteem waarbinnen geavanceerde aan-vallen zich afspelen, wordt steeds complexer. “Het ecosysteem kent een steeds grotere diver-siteit aan spelers die uiteenlopende redenen hebben om een aanval te openen”, zo lichtte Carl Leonard toe tijdens een webinar die in het teken stond van de resultaten uit het nieuwe onderzoeksrapport van Websense. Hoewel finan-cieel gewin nog altijd de belangrijkste redenvormt om data te stelen, hebben hackers steeds vaker ook andere motieven, zoals het ver-krijgen van een concurrentievoordeel. “En nietlanger vormen alleen grote organisaties het doel-wit, maar bijvoorbeeld ook specifieke sociale groeperingen en zelfs individuen.”

Volgens Leonard worden de ‘bad guys’ steeds professioneler. “Er is een wereldwijd crimineel netwerk ontstaan waar tools voor het uitvoe-ren van een aanval ‘as-a-service’ worden aange-boden. Criminelen hoeven daardoor niet meer vanaf nul te beginnen. Wie niet zelf de tools kan bouwen, kan ze kopen.” Het resultaat is dat het ‘dreigingslandschap’ steeds sneller wijzigt. Zo identificeert de Threatseeker Intelligence Cloud van Websense 2,3 ‘state changes’ per seconde.

Kill chainIn 2013 – de periode waarop het ‘2014 Threat Report’ betrekking heeft – werden met de tech-nologie van Websense meer dan 4,1 miljard live aanvallen voorkomen. “Bij bijna alle aanvallen werden technieken gebruikt die onder de radar blijven van de traditionele beveiliging om ver-volgens systemen te compromitteren en op het besmette netwerk jacht te maken op vertrou-welijke data”, zo vermeldt het rapport.

In het rapport laat Websense zien welke zeven stadia een aanvaller doorloopt om uiteindelijk bij de gewenste data te komen (de ‘kill chain’), en wat in 2013 per stap de trends waren:• Stadium 1: het ‘opsporen’ (Recon) van een slachtoffer, waarbij alles draait om het verga- ren van zoveel mogelijk informatie. “De aanvaller bouwt een beeld op van een mogelijk slachtoffer, bijvoorbeeld via LinkedIn of Twit- ter”, aldus Leonard. De aanvaller gaat hier door- gaans nog niet erg gericht te werkt. Een van de adviezen van Websense op dit punt is om gebruikers bewust te maken van de mogelijk gevoelige informatie die ze bijvoorbeeld via sociale media delen.

• Stadium 2: het verleiden (Lure) van het slachtoffer, door bijvoorbeeld een gemanipuleerde webpagina voor te schotelen in de hoop dat het slachtoffer daar zijn inloggegevens of andere persoonlijke informatie invoert.• Stadium 3: slachtoffers ‘redirecten’ van een webpagina die er betrouwbaar uitziet naar een site die exploit kits, exploit code of andere kwaadaardige content bevat. “Zie een redirect ook als een event”, zo luidde het advies van Leonard. Uit het onderzoek van Websense blijkt dat per aanval gemiddeld vier redirects werden gebruikt.• Stadium 4: een ‘exploit kit’ scant het systeem van een gebruiker op bekende en onbekende gaten in de beveiliging. “Er is een markt voor exploit kits ontstaan – met namen als Black- hole, Redkit en Neutrino – die maar moeilijk is bij te houden”, aldus Leonard. Actief patchen is volgens de Senior Manager het beste advies.• Stadium 5: een ‘dropper file’ wordt gedownload op de machine van het slachtoffer waarna aanvallers de omgeving kunnen scannen en de controle over het besmette systeem kunnen overnemen.

Carl Leonard, Senior Manager bij Websense Security Labs

“Geavanceerde aanvallen zijn de norm geworden.” Tot deze belangrijke conclusie kwam

Carl Leonard, Senior Manager bij Websense Security Labs, bij de presentatie begin april

van het ‘Websense 2014 Threat Report’.

• Stadium 6: het besmette systeem ‘calls home’ en neemt contact op met een Com- mand & Control-server voor het downloaden van additionele programma’s, tools en instruc- ties. Leonard: “Daarom is het belangrijk om ook het uitgaande communicatieverkeer te scannen en monitoren en SSL/TLS-verkeer te inspecteren.”• Stadium 7: de daadwerkelijke datadiefstal. De data worden – vaak in kleinere ‘data drips’ – naar buiten gestuurd. Dat kan open en bloot, via een beveiligde SSL/TLS-verbinding of verpakt in versleutelde files.

Het verkrijgen van inzicht in de zeven stadia isvolgens Websense belangrijk om een aanval zosnel mogelijk in de kiem te kunnen smoren. Hoe meer stappen een aanvaller kan zetten, hoe groterde kans dat de datadiefstal ook daadwerkelijkslaagt. “Wacht niet tot het allerlaatste momentmaar zorg dat je maatregelen neemt in de eerstezes stadia”, zo luidde dan ook het belangrijksteadvies van Leonard. “Er zijn genoeg middelen omeen aanval eerder te onderscheppen.”

Realtime defensieOm datadiefstal te voorkomen, is het volgens Leonard noodzakelijk dat bedrijven gebruik maken van een ‘complete en realtime defensie’. Zo’n bescherming kan onder andere ontwijkings-technieken zoals encryptie signaleren, afbeelding-en herkennen middels optical character recogni-tion (OCR), alle communicatiekanalen beveiligen, zowel het ingaande als het uitgaande verkeer monitoren en inzicht bieden om te kunnen rea-geren op events en trends met een hoog risico.

Websense biedt met het TRITON-platform een gecombineerde oplossing voor e-mailen web-security en Data Loss Prevention. DLP is bij Web-sense geen losstaande oplossing maar diep ge-integreerd in de TRITON-architectuur, middels ‘TruEmail DLP’ voor bescherming op de e-mail-gateway en ‘TruWeb DLP’ voor bescherming op de webgateway. Hierdoor zijn organisaties geduren-de alle zeven stadia van de ‘kill chain’ beschermd. Logging en rapportages zijn binnen één gebrui-kersinterface terug te vinden, evenals de forensi-sche analyses van geconstateerde aanvallen.

De ‘intelligentie’ van het TRITON-platform wordt dagelijks bijgewerkt vanuit de Websense Threat-Seeker Intelligence Cloud die meer dan negen-honderd miljoen eindpunten verbindt en die met de Websense ACE (Advanced Classification Engine) zo’n drie tot vijf miljard verzoeken per dag analyseert. Ook wordt TRITON ‘gevoed’ door de experts van het Websense Security Lab die onophoudelijk bezig zijn om nieuwe bedrei-gingen in kaart te brengen.

Hoe meer stappen een aanvaller kan zetten, hoe groter de kans dat de datadiefstal ook daadwerkelijk slaagtCarl Leonard, Senior Manager bij Websense Security Labs

Het volledige websense 2014 threat Report kan worden gedownload via www.websense.com/2014threatReport

Enkele belangrijke data uit het websense 2014 threat Report

E-MA

IL-, WEB

- EN D

ATASECU

RITY | TH

REAT R

EPO

RT | W

EBSEN

SE


H E A D L I N E ' B e v e i l i g i n g s m a a t R e g e l e n m o e t e n d e t o e g e v o e g d e w a a R d e l e v e R e n d i e w i j n o o d z a k e l i j k a c H t e n '

I N t E R V I E w s A N D E R B I E R E N s VA N c R E D I t E u R o p E B A N k N . V .

E-MA

IL-, WEB

- EN D

ATASECU

RITY | E-M

AIL- EN

WEB

| CRED

IT EUR

OP

E BA

NK

KIEST V

OO

R M

OTIV

' Beveiligingsmaatregelen moeten de toegevoegde waarde leveren die wij noodzakelijk achten'Het is een ongeschreven regel in de bankenwereld, een ‘gentlemen’s agreement’: op security wordt niet geconcurreerd. “Maar omdat elke financiële instelling anders is, zijn er op het gebied van informatiebeveiliging wel degelijk verschillen in de imple- mentaties”, zegt sander Bierens, Head of operational Risk Management and Information security bij credit Europe Bank. Motivator sprak met Bierens over de keuzes die credit Europe Bank maakt.

Credit Europe Bank heeft, als algemene bank, sinds 1994 een volledige banklicentie in Neder-land. In de jaren die volgden is de financiële dienstverlener uitgegroeid tot een wereldwijde speler die met 6200 werknemers in 11 landen ruim 4,2 miljoen klanten bedient.

Front-runnerInformatiebeveiliging vormt, als onderdeel van de kwaliteit van de dienstverlening, een van de speerpunten van Credit Europe Bank, zo begrij-pen we van Sander Bierens. “Binnen de banken-wereld is er een soort ‘gentlemen’s agreement’ dat je niet concurreert op het gebied van secu-rity, maar geen enkele financiële instelling is

hetzelfde. Bij Credit Europe Bank vinden we secu-rity belangrijk omdat we voor onze klanten een betrouwbare partij moeten zijn. We volgen dan ook de ‘industry best practices’ op het gebied van security. Met name de controle- en beheersings-maatregelen moeten gewoon optimaal op orde zijn.”

Maar Credit Europe Bank ziet zichzelf ook niet als een ‘front-runner’ op het gebied van informatie-beveiliging, zo benadrukt Bierens. “Als de markt op een bepaald onderwerp reageert, is het niet zo dat wij daar ook direct op duiken. We kijken heel nauwgezet naar wat bij ons past en wat belang-rijk is om te implementeren. Daarvoor hanteren

we een ‘risk-based approach’. Risicomanagement is breed geïmplementeerd binnen de organisatie conform ons Risk & Control-framework. Daarbij hanteren we diverse richtlijnen.”

“We kijken goed naar onze producten en dien-sten en naar onze risico’s, en aan de hand van onder andere audits en reviews bepalen we of we voldoende maatregelen hebben getroffen om een risico af te dekken en nemen we even-tueel additionele maatregelen”, vervolgt Bierens. “Daarbij is ons uitgangspunt dat we altijd ‘proven technology’ willen hebben – en niet per se de goedkoopste – maar die moet dan wel de toe-gevoegde waarde opleveren die noodzakelijk is.”

E-mailen websecurityOp het gebied van informatiebeveiliging onder-houdt Credit Europe Bank een langdurige relatie met Motiv. Zo heeft Motiv bij Credit Europe Bank een oplossing geïmplementeerd voor veilig tele-werken en sterke authenticatie. “Als verantwoor-delijke voor security- en riskmanagement gaat het mij erom dat ik zaken doe met een betrouw-bare partij. Motiv heeft al meerdere malen aan-getoond die betrouwbare partij te zijn”, zo licht Bierens de samenwerking toe.

Sander Bierens van Credit Europe Bank N.V.

35

E-MA

IL-, WEB

- EN D

ATASECU

RITY | E-M

AIL- EN

WEB

| CRED

IT EUR

OP

E BA

NK

KIEST V

OO

R M

OTIV

Een ‘geïdentificeerd risico dat moest worden aan-gepakt’ vormde recentelijk de aanleiding voor een verdere intensivering van de samenwerking. Deze verdere intensivering leidde tot de imple-mentatie van een geconsolideerde oplossing van Websense voor e-mailen websecurity. Deze oplossing kan in een later stadium nog worden uitgebreid met functionaliteit voor Data Loss Prevention (DLP).

“De consolidatie van Web Security, E-mail Secu-rity en eventueel ook DLP binnen één oplossing levert aantrekkelijke voordelen op”, aldus Bierens. “Met Websense kun je het aantal hardwarecom-ponenten terugbrengen van drie naar één, waar-door je lagere beheerkosten, een lagere investe-ring in de apparatuur, en last but not least, een lager energieverbruik hebt. Ook is Websense heel sterk in het ‘schoon houden’ van de rapportages

en logs zodat dataverkeer niet direct is te kop-pelen aan een bepaalde medewerker. De privacy van onze werknemers is daardoor te allen tijde gewaarborgd.”

Never ending story“Samen met Motiv gaan we ook nadenken over de toekomstige situatie. Wat willen we bijvoor-beeld bereiken met DLP? Wat moet er gebeuren als er een e-mail met een vertrouwelijk document wordt verstuurd? ”, zo vraagt Bierens zich hardop af. “Daar ligt de toegevoegde waarde van Motiv: ons helpen met het identificeren van de vertrou-welijke data en dat koppelen aan een toekom-stige DLP-oplossing. Dat is naar mijn mening een ‘never ending story’.”

' ons uitgangspunt is dat we altijd 'proven technology' willen hebben' sander Bierens van credit europe Bank n.v.

over credit Europe Bank

Credit Europe Bank N.V. heeft zijn hoofdkantoor in Nederland en was eind 2013 actief met 184 bijkantoren, 957 pinautomaten, 21.870 verkooppunten en 22.600 ‘point of sale terminals’. De bank heeft in elf landen ongeveer 6.200 werknemers in dienst. Meer dan 4,2 miljoen klanten wereldwijd vertrouwen hun financiële zaken toe aan Credit Europe Bank.

Credit Europe Bank bedient zakelijke, mkb- en particuliere klanten met een breed portfolio aan bancaire diensten. De bank is aanwezig in: Nederland, België, China, Duitsland, de Verenigde Arabische Emiraten, Malta, Oekraïne, Roemenië, Rusland, Turkije en Zwitserland.


Afsprakenstelsel geeft individu controle

over persoonlijke gegevens

H E A D L I N E a f s p R a k e n s t e l s e l g e e f t i n d i v i d u c o n t R o l e o v e R p e R s o o n l i j k e g e g e v e n s

Met de groei van de digitale economie doen meer en meer mensen online zaken met be-drijven, overheden en elkaar. Probleem voor de consument is de steeds groter wordende hoe-veelheid gegevens en het gebrek aan controle en overzicht. Online zijn wordt steeds meer een ‘gedoe’: continu inloggen om persoonlijke gege-vens weg te brengen of op te halen. Het resultaat is dat niemand meer weet waar al die data blijven en wat ermee gebeurt. De roep om meer privacy wordt daardoor alleen maar sterker.

samenwerking cruciaalDe huidige versnippering van persoonsgegevens is een duidelijk geval van een ‘many to many’-pro-bleem. Dit probleem kwam ook in andere mark-ten voor, zoals in de telecommarkt en in de we-reld van creditcards en betalingen. Sleutel tot het oplossen van de problemen in dit soort versnip-perde markten is een vorm van samenwerking tussen concurrerende partijen. De vorm van deze samenwerking noemt men een ‘scheme’ oftewel een afsprakenstelsel. Bekende voorbeelden van afsprakenstelsels zijn gsm voor mobiele telefonie,

Visa en MasterCard voor creditcards, iDEAL voor online betalingen en ICANN in de internetwereld.

Als het gaat om persoonlijke gegevens is de sa-menwerking tussen verschillende partijen even-eens cruciaal. Individuen moeten toestemming kunnen geven voor het delen van hun persoon-lijke gegevens op een privacyvriendelijke manier. De partijen die deze gegevens mogen gebruiken, moeten in staat zijn om op een veilige, uniforme en betrouwbare manier toegang tot deze gege-vens te krijgen.

tal van grote private en publieke organisaties werken samen aan de ontwikkeling van een onafhankelijk afsprakenstelsel voor het online delen van persoonlijke gegevens. Dit ‘Qiy-afsprakenstelsel’

biedt individuen de controle over hun persoonlijke gegevens en de mogelijkheid om gegevens gemakkelijk en toch veilig met

vertrouwde bedrijven en overheden te delen.

DIG

ITALE ID

ENTITEIT | Q

IY-A

FSPR

AK

ENSTELSEL | Q

IY FOU

ND

ATION

37

Qiy-afsprakenstelselAls dit soort oplossingen voor samenwerking op het gebied van gegevensuitwisseling goed is ontworpen, goed wordt uitgelegd en aantrek-kelijk wordt geprijsd, worden ze makkelijk en snel geaccepteerd door consumenten. Maar bestaat een dergelijke oplossing? Het antwoord is ‘Qiy’, een baanbrekende initiatief dat marktpartijen in staat stelt om op een veilige en privacyvriende-lijke manier persoonlijke gegevens aan te bieden aan hun klanten. Motiv is intensief betrokken bij dit initiatief.

In de afgelopen zes jaar heeft de Qiy Foundation gewerkt aan een verbetering van de positie van het individu voor wat betreft het beheer van de eigen gegevens. Dat doet Qiy door individuen een persoonlijk domein te geven waarmee zij hun digitale gegevens kunnen beheren. Qiy geeft individuen een veilige toegang tot hun persoon-lijke gegevens binnen de overheid, bedrijven en eigen online opslag. Vervolgens bepalen zij zelf hoe en wanneer anderen gebruik mogen maken van hun gegevens.

Het Qiy-afsprakenstelsel gaat live op 5 januari 2015. Om dat voor elkaar te krijgen, wordt een grote inspanning geleverd door alle betrokken partijen. Dit gebeurt in de vorm van deelname aan wekelijkse werkgroepen die de afspraken vastleggen over tal van onderwerpen. Motiv le-vert daaraan zijn bijdrage, naast de securitydien-sten die Motiv al een aantal jaren levert aan Qiy.

conclusieZonder een goede set aan afspraken en een ge-coördineerde regeling tussen de beide zijden van

de markt, blijft de fragmentatie van gegevens de norm en zullen individuen nooit de controle over hun privégegevens krijgen. De beschikbaarheid van gevalideerde en dynamische gegevens lost veel problemen op het gebied van dataverzame-ling, databeveiliging en privacy en de vaststelling van de identiteit van het individu op.

Qiy en authenticatieUitwisseling van persoonlijke gegevens heeft een stevige relatie met online authenticatie, maar is niet hetzelfde. Identificatie en online authenticatie zijn voorwaardelijk voor het veilig en betrouwbaar kunnen gebruiken van een persoonlijk Qiy-domein. Een afspra-kenstelsel als Qiy werkt complementair aan eID aangezien Qiy zich richt op de uitwisseling van persoonlijke attributen (persoonlijke- en persoonsgegevens).

' Qiy stelt marktpartijen in staat om op een veilige en privacyvriendelijke manier persoonlijke gegevens aan te bieden aan klanten'

DIG

ITALE ID

ENTITEIT | Q

IY-A

FSPR

AK

ENSTELSEL | Q

IY FO

UN

DATIO

N

Qiyfoundation.org


H E A D L I N E ' w e m o e t e n H e t v e R t R o u w e n H e R s t e l l e n '

I N t E R V I E w M A A R t E N L o u M A N , M E D E - o p R I c H t E R VA N Q I Y

IDEN

TITEITSFRA

UD

E | RESP

ECT PR

IVACY | ID

-COV

ER | Q

IY FOU

ND

ATION

' we moeten het vertrouwen herstellen'‘Het internet is kapot!’, zo kopte NRc Next op 18 maart. Volgens Maarten Louman van de Qiy Foundation is het defect onder andere te wijten aan de onbalans die op internet is ontstaan tussen individuen en grote organisaties. Dat is de reden dat Qiy al in 2007 begon na te denken over een manier om mensen meer controle te geven over hun eigen gegevens online.

“Het internet is ooit bedacht om een ‘operating field’ te creëren waar iedereen gelijk is en iedereendezelfde mogelijkheden heeft”, schetst Louman.“Maar het zijn nu vooral de bedrijven en groteorganisaties die profiteren van de schaalvoordelenvan het world wide web. Het is heel erg door-geslagen.”

Als voorbeeld geeft hij de slimme apparaten die steeds vaker ongemerkt informatie doorsluizen. Zo sturen slimme energiemeters gebruiksgege-vens door naar de energiemaatschappij en staan de nieuwste elektrische auto’s voortdurend in contact met de fabrikant om de automobilist zo goed mogelijk van dienst te kunnen zijn. “Maar niet alle data worden alleen voor mij gebruikt”, stelt Louman, “terwijl ík die auto heb gekocht eník in die auto rij. Mag ik dan op z’n minst zien welkedata worden verzameld en wat ermee gebeurt?”

controle kwijtVolgens de mede-oprichter van Qiy en de Qiy Foundation zijn we gaandeweg de controle over onze eigen data kwijtgeraakt. “Waar vroeger alle correspondentie via één brievenbus binnenkwam,

staan nu op allerlei websites en portals brieven zonder envelop op je te wachten zonder dat je daar zelf voor gekozen hebt. Ondertussen heb je wel een verplichting om naar bijvoorbeeld ‘Mijn-KPN’ te gaan en krijg je een herinnering als je te laat betaalt. Een term als ‘MijnKPN’ is overigens ook raar, want die omgeving is helemaal niet van mij, maar van KPN.”

Het resultaat is dat steeds meer partijen privacy-gevoelige gegevens verzamelen terwijl je als individueel persoon nauwelijks kunt controleren of die gegevens op een veilige manier worden opgeslagen. Volgens Louman wordt identiteits-diefstal dan ook een steeds groter probleem.

Voor bedrijven is het heel belangrijk een nauw-keurig profiel op te stellen van een (potentiële)klant. Daarmee kunnen ‘aanbiedingen’ steeds persoonlijker worden. Data zijn dus waardevol. Voor bedrijven, maar ook voor klanten. “Wij pro-duceren met z’n allen data, ook wel aangeduid als het ‘nieuwe goud’, maar de voordelen vallenvooral aan de kant van de bedrijven”, aldusLouman.

Qiy en MotivSamen met ‘respectvolle’ organisaties werkt Motiv aan hulpmiddelen die men-sen en organisaties verder helpen met de bescherming van hun gegevens, zowel op internet als in de echte wereld. Een goed voorbeeld daarvan is het Respect Privacy Programma, een initiatief van de Qiy Foundation. Motiv ondersteunt het Respect Privacy Programma van harte, omdat wij ervan overtuigd zijn dat alleen het respecteren van elkaars privacy en een zorgvuldige omgang met gegevens leidt tot vertrouwen.

Als Security- en Technologypartner van Qiy zet Motiv het onafhankelijke Qiy Trust Framework in als onderdeel van het totale portfolio richting klanten. Met Qiy wil Motiv de digitale identiteit van relaties kunnen waarborgen. Kijk voor meer informatie op: www.motiv.nl/qiy.

' we moeten het

Maarten Louman van de Qiy Foundation is het defect onder andere

39

persoonlijk domeinVolgens Louman wordt het tijd om de controle over de data te heroveren zodat ieder voor zich de waarde van zijn data kan bepalen en ook kan bepalen wat daarmee gebeurt. “We moeten het vertrouwen herstellen.” Qiy doet dat met een ‘Trust Framework’ waarbinnen een individuele gebruiker een persoonlijk domein heeft, oftewel ‘een eigen veilige plek op het internet. Vanuit die plek kan de gebruiker een veilige verbinding leggen met gegevens die over hem of haar gaan. “Binnen dit domein bepaal je zelf welke organi-saties je vertrouwt en deel je alleen de informatie die een andere organisatie ook echt nodig heeft. Het is helemaal opgebouwd vanuit de gedachte ‘privacy by design’.” De Qiy Foundation ziet er als onafhankelijke stichting op toe dat de ‘spelregels met betrekking tot respect mensen en privacy’ worden nageleefd.

ID-coversHet persoonlijke domein heeft een grote gelijkenismet een andere oplossing van de Qiy Founda-tion: de ID-cover. Met dit hoesje kan de privacy-gevoelige informatie op een identiteitsbewijs wor-den afgeschermd (zie ook het kader). “Iedereen mag een identiteitsbewijs zien, maar slechts wei-nig instanties hebben het recht om een volledige kopie te maken”, aldus Louman. De ID-cover zorgt ervoor dat bijvoorbeeld de foto, het Burgerservice-nummer en het documentnummer onzichtbaar zijn. Dit zijn wel de gegevens die een fraudeur nodig heeft om een identiteitsbewijs te vervalsen en op naam van iemand anders huizen te kopen, bankrekeningen te openen of auto’s te huren.

De covers worden onder andere verstrekt door de ANWB en een groot aantal gemeenten. “DeNederlandse Vereniging voor Burgerzaken (NVVB)doet de verkoop richting de gemeenten”, verteltLouman. “Maar ook commerciële bedrijven diehet belangrijk vinden om de privacy van hunklanten te beschermen, kunnen de ID-covers uitreiken. Met een eigen logo erop is het nog een mooi pr-middel ook.”

ID-cover in campagnetijdRozen, pennen en ballonnen zijn ook zo afgezaagd, moeten ze bij Groen Liberaal in Almere hebben gedacht. Deze ‘landelijke lokale partij’ ging tijdens de campagne voor de gemeenteraadsverkiezingen 2014 met stapels ‘ID-covers’ de straat op en vestigde zo de aandacht op de risico’s van identiteitsdiefstal.

“Het aantal identiteitsfraudes neemt sterk toe en de schade is enorm”, zo stelde Gertjan Kloek, die namens Groen Liberaal in de race was voor een zetel in de Almeerse gemeente-raad. “Criminelen worden zich steeds bewuster van wat ze met een gestolen en vervalste identiteit kunnen doen.” Fraudeurs kunnen met een gestolen identiteit bijvoorbeeld bankrekeningen openen of betalingen verrichten. “Daar komt bij dat het risico om te worden gepakt gering is.”

“Let goed op je eigen gegevens, daar ben je zelf verantwoordelijk voor”, zo luidde dan ook het advies in campagne-tijd. Volgens Kloek heeft de overheid wel een taak om de burgers te helpen bij het beschermen van de privacy en bewust te maken van de risico’s. “Iedereen begrijpt waar een slot op de deur voor dient, maar dat gaat nog niet op voor de bescherming van de privacy. Heel veel mensen weten bijvoorbeeld niet dat alleen overheidsinstellingen een volledige kopie van een identiteits-bewijs mogen maken. Laat je dus niet ompraten door bedrijven die een kopie willen maken, want die mogen het identiteitsbewijs alleen zien waarna je bijvoorbeeld de foto mag afdekken. Met een ID-cover om het identiteitsbewijs is alleen de noodzakelijke informatie zichtbaar.”

IDEN

TITEITSFRA

UD

E | RESP

ECT PR

IVACY | ID

-COV

ER | Q

IY FOU

ND

ATION

Foto

graf

ie: R

uud

Jonk

ers

Gertjan Kloek (rechts) overhandigt namens Groen Liberaal een ID-cover.


I N t E R V I E w R A M o N D R I E s s E N E N R E N z o z I t M A N VA N D I N k g R E V E s o L u t I o N s

NEX

T GEN

ERATIO

N SECU

RITY | N

EXT G

ENER

ATION

FIREW

ALL | D

INKG

REV

E SOLU

TION

S

Per dag twee miljoen unieke bezoekers die samen dagelijks tweehonderd miljoen unieke hits en een traffic van tussen de 1,5 en 4 Gigabit per seconde genereren. “De meeste bedrijven in Nederland hebben nog nooit een dergelijke traffic en load gezien of ervan gehoord”, zo weet Managing Director Renzo Zitman van Dinkgreve Solutions.

De genoemde statistieken zijn afkomstig van Fu-nix, een contentplatform dat in 1998 is gestart door de huidige eigenaar van Dinkgreve Solutions. Naast ‘erotisch entertainment’ bestaat veel van de content die door externe leveranciers op het platform wordt aangeboden uit foto’s en video’s van modellen en andere beroemdheden. Voor de vaste klantenkring is er een ‘bulletin board’ waar bezoekers bijvoorbeeld informatie over modellen met elkaar kunnen uitwisselen.

gouden eiFunix wordt gehost, beheerd en technisch verder ontwikkeld door Dinkgreve Solutions dat deel uit-maakt van dezelfde holding. “Funix is het gouden ei dat moet worden bewaakt, maar het is wel een ei van vijftien jaar oud”, stelt Zitman. Om een verde-re groei te faciliteren en nieuwe functionaliteiten te kunnen toevoegen, staat nieuwbouw van het platform hoog op de agenda. “Dat is een mooie prikkel om aan de slag te gaan met de nieuwste technologie die nog net niet in gebruik is.”

“Onze uitdaging is om met het ijzer dat we tot onze beschikking hebben de meest stabiele, be-trouwbare en snelle omgeving te creëren”, zo schetst Ramon Driessen, Manager Operations van Dinkgreve Solutions. “En daar zijn wij erg goed in. Die tweehonderd miljoen unieke hits per dag

verwerken we nu met 180 servers. Vergelijkbare sites hebben een serverpark dat minimaal vier keer zo groot is.”

Infrastructuur in code“Wij hebben de kennis en kunde om er tot diep in de techniek voor te zorgen dat een website of platform soepel draait”, stelt Zitman. De Managing Director haalt in dat verband onder andere de methodes DevOps en Continuous Integration aan die ‘het verschil maken’. Bij Continuous Integration worden wijzigingen direct door de ontwikkelstraat ‘deployed’ waardoor sneller kan worden gestuurd op de kwaliteit. “DevOps zorgt ervoor dat beheer en ontwikkeling deel uitmaken van hetzelfde team waardoor infrastructuur en softwarecode optimaal op elkaar zijn afgestemd. Technisch ga je de infra-structuur dan als code behandelen.”

“Bij ons is alles groot. Dat geldt niet alleen voor het pand waar we in zitten, maar

ook voor de uitdagingen waar we mee te maken hebben en de stappen die we zetten”,

zegt Renzo zitman, Managing Director van Dinkgreve solutions. om grote stappen te

kunnen zetten, moest er bij Dinkgreve solutions wel eerst rust komen in de netwerk-

infrastructuur. Die rust kwam er met nieuwe core-switches van juniper Networks

en een Next-generation Firewall van check point software technologies.

' We zijN vaN eeN Fiat PaNDa Naar eeN jaguar gegaaN'

Ramon Driessen en Renzo Zitman van Dinkgreve Solutions

H E A D L I N E ‘ w e z i j n v a n e e n f i a t p a n d a n a a R e e n j a g u a R g e g a a n ’

41

NEX

T GEN

ERATIO

N SECU

RITY | N

EXT G

ENER

ATION

FIREW

ALL | D

INKG

REV

E SOLU

TION

S

“Als je de infrastructuur in code hebt, kun je een ‘receptuur’ schrijven voor het uitrollen van servers waardoor je een platform heel snel kunt opscha-len”, legt Driessen uit. “De volgende stap is dat je de infrastructuur automatiseert aan de hand van de performance. Op het moment dat de performance daalt, worden er automatisch servers uitgerold op het platform. Dat kan op eigen hardware zijn, of in de cloud.”

Nieuwe propositieDe ‘kennis en kunde’ waar Zitman en Driessen het over hebben, wordt sinds kort ook aangeboden aan externe klanten buiten de holding. “Wij bieden consultancy op infrastructuur en code, de twee takken binnen DevOps en Continuous Integra-tion”, aldus Zitman. Driessen: “Het ontwikkelen van ‘high-traffic en high-performance’ applicaties, daar

ligt onze kracht. Maar ook ‘high-secure’. Met de opkomst van internet is beveiliging opgeschoven van de netwerklaag naar de applicatielaag. Dat be-tekent dat de security staat of valt met de manier waarop applicaties zijn ontwikkeld. Je bent min-der kwetsbaar als ‘security driven development’

deel uitmaakt van je applicatieontwikkeling.” De nieuwe propositie gericht op externe klanten is echter nog maar een deel van de herpositionering waarin Dinkgreve Solutions zich momenteel nog bevindt. >

Renzo Zitman (links) en Ramon Driessen

Foto

graf

ie: R

uud

Jonk

ers

' onze kracht ligt in het ontwikkelen van 'high-traffic, high-performance en high- secure' applicaties' Ramon driessen, Manager operations van dinkgreve solutions


H E A D L I N E ‘ w e z i j n v a n e e n f i a t p a n d a n a a R e e n j a g u a R g e g a a n ’

I N t E R V I E w R A M o N D R I E s s E N E N R E N z o z I t M A N VA N D I N k g R E V E s o L u t I o N s

' wij zijn een eigenwijs bedrijf waar de eisen heel hoog liggen' Renzo zitman, managing director van dinkgreve solutions

> Sinds enkele jaren is Dinkgreve Solutions ook belast met de ICT-ondersteuning van de andere bewoners van het monumentale pand in Zeist, waar de holding met al zijn dochters resideert en waar ook andere bedrijven als huurder welkom zijn. “Onze dienstverlening is met kantoorautoma-tisering, development en hosting heel divers”, vat Zitman samen. “En vaak willen we veel sneller dan in werkelijkheid mogelijk is. Iedereen die nieuw binnenkomt bij Dinkgreve Solutions denkt: ‘wow, wat gebeurt hier allemaal?’ En dat denken ze drie maanden later nog steeds.”

RustDe herpositionering binnen de holding die enige tijd geleden in gang is gezet, en de nieuwe pro-positie die is neergezet, hebben ertoe geleid dat Dinkgreve Solutions in korte tijd ruimschoots is verdubbeld in omvang. Om een snelle ontwikke-ling van het bedrijf mogelijk te maken, was het volgens Driessen wel noodzakelijk dat er op net-werkniveau ‘rust en stabiliteit’ kwam. “Toen ik ruim twee jaar geleden in dienst kwam, trof ik een kan-toorautomatisering en facilitaire systemen aan die niet bepaald stabiel waren ingeregeld. We lagen er iedere week wel twee tot vier uur uit door een netwerkstoring. Een van mijn eerste doelstellingen hier was dan ook het onder controle krijgen van de systemen en dus ook de hardware.”

Motiv kreeg van Driessen de opdracht om de oude core-switches te vervangen door nieuwe appara-ten van Juniper, een vervanging waarvoor de com-plete netwerkinfrastructuur ‘op de schop’ moest.

“Dat heeft Motiv uiterst kundig gedaan. We zijn van een Fiat Panda naar een Jaguar gegaan. Daardoor zijn we nu storingsvrij wat voor veel rust en stabiliteit zorgt. In plaats van een reactieve organisatie die vooral druk is met het blussen van brandjes zijn we nu een proactieve organisatie die met vertrouwen nieuwe dingen oppakt.”

Een volgende stap in het creëren van rust was het vervangen van de firewalls – die waren geba-seerd op een open source Linux-distributie – door een Next-Generation Firewall van Check Point. “We wilden een uitgebreidere bescherming heb-ben tegen aanvallen van buitenaf en ook van op afstand veilig kunnen werken. Daarnaast had-den we behoefte aan uitgebreidere rapportages”, aldus Driessen. “We hebben een aantal mogelijke oplossingen te-gen het licht gehouden, maar Check Point kwam als een van de weinigen op alle punten als sterkste uit de bus. Deze leverancier biedt niet alleen een gecombineerd product voor een uitgebreide be-scherming, maar ook uitgebreide rapportages.”

Dinkgreve Solutions gebruikt in totaal zeven ‘soft-ware-blades’ om de standaard firewallfunctionali-teit uit te breiden met zaken als applicatiecontrole, inbraakpreventie en een veilige remote acces. “Het mooiste is misschien wel dat de Next Generation Firewall je actief beschermt tegen de nieuwste dreigingen. Check Point biedt binnen ‘no time’ be-scherming tegen 0-day exploits. Die bescherming zetten we dan direct in.”

pico bello op ordeDriessen en Zitman denken inmiddels na over de volgende stappen die nodig zijn om de infrastruc-tuur nog verder op orde te brengen. “We kijken nu naar de mogelijkheden voor mobile security, want mobiele devices die toegang hebben tot bijvoorbeeld de Exchange-server vind ik toch wel eng”, aldus Driessen. Ook een vernieuwing van het draadloze netwerk is in overweging. “Wij zijn een eigenwijs bedrijf”, concludeert Zitman, “waar de eisen heel hoog liggen om de zaken ‘pico bello’ op orde te brengen.”

Ramon DriessenRamon Driessen

Renzo Zitman

NEX

T GEN

ERATIO

N SECU

RITY | N

EXT G

ENER

ATION

FIREW

ALL | D

INKG

REV

E SOLU

TION

S

43

Discussies over de risico’s van cloudcomputing blijven vaak steken bij vragen als ‘waar staan mijn data?’ en ‘geeft de patriot Act de Amerikaanse overheid het recht om in mijn data te kijken?’. Er is echter een veel fundamentelere vraag die moet worden beantwoord als een bepaalde cloudprovi-der wordt overwogen: ‘Durf ik het beheer en de beveiliging van mijn data toe te vertrouwen aan deze provider?’ om die vraag te kunnen beantwoorden, moet naar veel meer worden gekeken dan alleen de locatie van de data.

Clouddiensten zijn complexe systemen die zijn opgebouwd uit ver-

schillende ICT-componenten. Om de betrouwbaarheid en veiligheid

van zo’n clouddienst te kunnen beoordelen, moet dus niet alleen worden

gekeken naar de locatie van de data. Ook moet worden gekeken

naar de maatregelen die een provider treft om data te beschermen

en te voorkomen dat een besmetting zich verder verspreidt naar de

andere gebruikers van de gedeelde cloudomgeving, naar de proce-

dures die worden gevolgd bij het wissen van data (zijn gewiste data

gegarandeerd weg?) en de beveiliging van de interface tussen de

klant en de gebruiker.

De lijst met aandachtspunten is echter nog veel langer. Zo komt

de European Union Agency for Network and Information Security

(ENISA) in zijn document Cloud Computing – Benefits, risks and

recommendations for information security1 al tot een opsomming van

ruim twintig risico’s, en geeft daarbij aan dat de ‘uitgebreide juri-

dische overwegingen’ in een apart document worden behandeld. Tot

de ‘top security risks’ behoren volgens ENISA onder andere de risi-

co’s op het verlies van controle en het risico op een vendor lock-in.

Voor een individuele klant is het onmogelijk om de cloudprovider op

al deze punten te beoordelen. Gelukkig zijn er ‘checklists’ beschikbaar

die kunnen helpen bij het in kaart brengen van de risico’s die de

keuze voor een bepaalde cloudprovider met zich meebrengt. Zo biedt

de Cloud Security Alliance de ‘Cloud Controls Matrix’ waarvan in

september 2013 versie 3.0 verscheen2. In deze lange lijst met

beveiligingsmaatregelen die de provider – en soms de klant – moet

nemen, staat onder andere dat het ontwerpen, bouwen en uitrollen

van applicaties en interfaces de ‘door de industrie geaccepteerde

standaarden’ moet volgen, dat ‘data en objecten die data bevatten

geclassificeerd moeten zijn’ en ‘risk assessments minimaal één keer

per jaar moeten plaatsvinden’.

Deze Cloud Controls Matrix is weer gebaseerd op andere industrie-

standaarden en raamwerken zoals ISO 27001/2 voor Informatiebe-

veiliging, de principes van de Payment Card Industry Data Security

Standard (PCI DSS) en het Information Assurance Framework van

ENISA.

Rest wel de vraag wie toeziet op de betrouwbaarheid en volledigheid

van de beschikbare checklists en welke ‘meetlatten’ geschikt zijn om

een provider langs te leggen? Gelukkig heeft ENISA ook een ant-

woord op deze vraag in de vorm van de Cloud Computing Certification

Schemes List, CCSL3. Met deze lijst biedt ENISA een overzicht van

‘schema’s’ die geschikt zijn voor het beoordelen van de betrouwbaar-

heid en beveiliging van clouddiensten.

door Bastiaan Schoonhoven, marketing manager bij Motiv

KAN IK MIJN CLOUD PROVIDER VERTROUWEN?

H E A D L I N E k a n i k m i j n c l o u d p R o v i d e R v e R t R o u w e n ?

c o L u M N D o o R B A s t I A A N s c H o o N H o V E N , M A R k E t I N g M A N A g E R B I j M o t I V

CLOU

DCO

MP

UTIN

G | CLO

UD

CON

TRO

LS MATR

IX | OP

INIE | M

OTIV

1 | https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloudcomputing-benefits-risks-and-recommendations-for-information-security2 | https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3/3 | https://resilience.enisa.europa.eu/cloud-computing-certification


ENTER

PR

ISE SECUR

ITY | STRATEG

IE | INFR

ASTR

UCTU

UR

| HP EN

TERP

RISE SECU

RITY

'Bescherm alleen de belangrijkste

zaken'

SVP Art Gilliland van HP Enterprise Security

Het ziet er naar uit dat 2014 een uitdagend jaar gaat worden voor enterprise

beveiliging. Het aantal aanvallen nam in 2013 toe, en de verdedigingskosten stegen.

Criminelen zijn goed georganiseerd en opgeleid. Onze verdedigingslinie is minder

succesvol. Met Art Gilliland, senior vice president en general manager van

HP Enterprise Security, bespraken we hoe we onze data kunnen beschermen – en

welke data het echt waard zijn om te beschermen…

Bedrijven hebben de laatste tijd veel geïnves-teerd in het in stand houden van een sterke perimeter. Dit lijkt echter een afnemende meer-opbrengst op te leveren. Is het nog wel correct om te investeren in netwerkbeveiliging? Art Gilliland: “Vooral voor netwerkbeveiliging geldt dat het niet zozeer minder relevant is geworden; wat je binnen het netwerk doet en wat je be-schermt is wel veranderd. Vanwege het gebruik van mobiele apparaten zeggen veel mensen bij-voorbeeld dat de gebruiker de nieuwe perimeter is. Maar al die individuele gebruikers maken nog steeds verbinding met een netwerksuperstruc-tuur en met services die het bedrijf levert. In plaats van de traditionele firewall-aanpak, moet er van worden uitgegaan dat men binnenkomt. Maar

houd dan wel toezicht op wat er gebeurt qua netwerkverkeer, begrijp welke applicaties worden beïnvloed en tot welke informatie toegang wordt gezocht. Onze veiligheid dient zich veel meer te focussen op identiteiten, en het netwerk is een van de plaatsen om identiteiten te handhaven.”

Moeten we ons vooral richten op individuele aanvallers in plaats van meer generieke bevei-ligingsstrategieën? “De realiteit is dat er altijd nieuwe dreigingen zul-len zijn, omdat tegenstanders zich blijven ontwik-kelen. Ze volgen niet een enkele methode. Ze hebben wellicht gedragsnormen, maar zodra die normen niet werken, zullen ze het proces dat wel werkt creëren, lenen of van iemand anders kopen.

Dus we zullen hier slim mee moeten blijven om-gaan en moeten bestuderen wie de slechterik in zijn algemeenheid is. We moeten het ecosysteem van de tegenstander beter begrijpen.”

De slechteriken profiteren van het gebruik van een ecosysteem of markt. Welke tegenmaatregel kunnen de goeden treffen?“Onze industrie is vreselijk slecht in informatie-uitwisseling: we helpen elkaar niet. Als we niet van elkaar leren, delven we het onderspit, omdat de te-genstanders beslist wel van elkaar leren en kennis van elkaar kopen. Wanneer we informatie delen, kunnen we sneller actie ondernemen. Informatie-uitwisseling is essentieel om ons beter te wapenen tegen wat er gebeurt.”

45

ENTER

PR

ISE SECUR

ITY | STRATEG

IE | INFR

ASTR

UCTU

UR

| HP EN

TERP

RISE SECU

RITY

Zijn er nog andere soorten beveiligings-maatregelen die momenteel onvoldoen-de worden benut? “Een aantal. De eerste betreft applica-tiebeveiliging. Historisch gezien maakt ongeveer 84 procent van de inbrekers misbruik van kwets-baarheden in een applicatie. Dit is al heel lang een vaststaand feit voor de sector. Nu, met de explo-sieve toename van mobiele apps, vanuit de cloud geleverde apps en zelfs de migratie van bestaande legacy applicaties naar levering vanuit de cloud binnen enterprises, krijgen we een nieuwe kans. We herschrijven de toegang tot back-end toepas-singen in mobiele apps. We herschrijven applica-ties zodat ze te hosten en te leveren zijn vanuit de cloud. Tijdens dat proces van herschrijven hebben we de kans om een groot deel van de kwetsbaar-heden die we in de oorspronkelijke apps hadden gebouwd te evalueren en op te heffen. We heb-ben dat de eerste keer verknald, maar krijgen nu een tweede kans: we zouden deze nieuwe toepas-singen veiliger kunnen bouwen, en toch doen we dat niet. In een recent door ons uitgevoerde studie naar mobiele toepassingen bevatte 9 op de 10 apps tekortkomingen op het gebied van beveili-ging. We moeten voor de volgende generatie ap-plicaties betere code schrijven dan voorheen. We hebben er de tools voor. We moeten er alleen in gaan geloven dat het belangrijk genoeg is, en ver-volgens ons gedrag aanpassen.”

En de tweede maatregel? “Het tweede gebied betreft de aanpak van in-breuken die op een bepaalde manier misbruik maken van de gebruiker. Dit betreft ook sociaal gemanipuleerde aanvallen, en aanvallen waarbij de beveiliging van gebruikers in het gedrang komt omdat ze op iets klikten. Gebruikers tegen zichzelf

helpen beschermen is iets wat we kunnen doen met behulp van technologie. Een van de manie-ren waarop we dat doen, is door middel van twee-factor authenticatie waarbij niet alleen gebruikers-naam en wachtwoord worden gebruikt maar ook iets dat gebruikers hebben of iets dat ze zijn, zoals vingerafdrukken, handen of een token.”

De kosten van enterprise beveiliging nemen ge-staag toe. Hoe denken CISO’s over de toewijzingvan beveiligingsbegrotingen voor 2014 en verder? “De truc met beveiliging is het vinden van en her-oriënteren op waar we ons geld aan uitgeven, zo-dat we alleen de belangrijkste zaken beschermen. Zeventig tot negentig procent van de gegevens binnen een bedrijf is, als iemand het zou stelen, niet van belang. Maar bij vijf tot tien procent van die data zou diefstal wel een probleem zijn. Wie uitsluitend budget besteedt aan het beschermen van de cruciale data – in plaats van alles te bevei-ligen – heeft veel minder budget nodig of kan de kroonjuwelen veel effectiever beschermen voor hetzelfde bedrag.”

U pleit dus voor het verwijderen van beveiliging op niet-essentiële plaatsen. Zal het bedrijfs-leven geen ongemakkelijk gevoel krijgen bij de,

over het geheel genomen, afgenomen bescher-ming? “Dat is inderdaad het vraagstuk waar we voor staan. Die overgang moét echter plaatsvinden, en we moeten mensen helpen begrijpen waarom het veiliger is dan wat we in het verleden hadden. We moeten kunnen aantonen dat het beter is, en dat de gegevens en activa die van belang zijn op deze manier veiliger zijn.”

In hoeverre zal enterprise beveiliging over vijf jaar zijn veranderd? “Over vijf jaar zal onze infrastructuur radicaal anders zijn. Kijk hoe snel alles de laatste vijf jaar is veran-derd: we gingen van nergens mobiele apparaten naar overal mobiele apparaten, en de veranderin-gen gaan steeds sneller. Waar en wat we moeten beschermen gaat drastisch veranderen. Er is nu, en dat zal alleen maar toenemen, een verwachting dat we overal gemakkelijke toegang kunnen krij-gen tot bedrijfsinformatie. In een dergelijke wereld zullen we gerichter en flexibeler moeten omgaan met de manier waarop we onze ondernemingen beschermen.”

Meer over dit onderwerp leest u op:www.hp.com/go/discoverperformance

ga voor meer informatie over het ondernemen van de juiste strategische acties in het beveiligings-landschap van 2014 naar Hp Enterprise security voor onze gratis Hp / IDg It beveiligingsbeoordeling.

'Over vijf jaar zal onze infrastructuur radicaal

anders zijn.' SVP Art Gilliland van HP Enterprise Security

tiebeveiliging. Historisch gezien maakt ongeveer onze infrastructuur radicaal


H E A D L I N E ' B e s c H o u w s e c u R i t y a l s e e n k w a l i t e i t s a t t R i B u u t va n s o f t w a R e '

V I s I E

SECUR

E SOFTW

AR

E DEV

ELOP

MEN

T | BEV

EILIGIN

GSEISEN

| VISIE | M

OTIV

Applicaties vormen de onmisbare intermediair tussen gebruikers en data,

maar juist op deze cruciale schakel gaat het vaak mis. “Het ontwerpen en bouwen

van kwalitatief goede software verlangt dat je goed nadenkt over de robuustheid,

beschikbaarheid, integriteit en vertrouwelijkheid van de software.”

1 | http://www.cip-overheid.nl/wp-content/uploads/2014/03/20140312_Grip-op-SSD-Het-proces-v1-02.pdf

Het Centrum Informatiebeveiliging en Privacy-bescherming (CIP) becijferde onlangs dat 75 procent van de beveiligingsincidenten is te wijten aan softwarefouten. Volgens dit samenwerkings-platform voor security binnen de overheid stel-len opdrachtgevers te weinig eisen aan de door de software geboden informatiebeveiliging en privacybescherming. En door het ontbreken van eisen schenken de leveranciers van de software vervolgens ‘geen of onvoldoende aandacht’ aan deze aspecten, zo schrijft het CIP in het begin dit jaar gepresenteerde document ‘Grip op Secure Software Development’1 dat als ‘hand- reiking’ moet dienen voor het ontwikkelen van veilige en gebruiksvriendelijke applicaties.

security als kwaliteitsattribuut“Ook wij merken in de praktijk dat de aandacht voor de ontwikkeling van veilige applicaties zeer gering is, ook bij de leveranciers”, zo oordeelt

Rohald Boer, bij Motiv Business Line Manager Applicatie Ontwikkeling. “En organisaties – die zich richten op hun eigen business en de kansen die ICT kan leveren – moeten hierin begeleid worden door specialisten”, stelt Koen Herms, Software Architect bij Motiv. “Vragen als ‘welke eisen moet je stellen?’, ‘wat zijn de risico’s?’ en ‘hoe ga ik de risico’s classificeren?’ zijn lastig te beantwoorden.”

“Het ontwerpen en bouwen van kwalitatief goede software verlangt dat je goed nadenkt over de robuustheid, beschikbaarheid, integriteit en vertrouwelijkheid van de software”, vervolgt Boer. “Je moet de security van software als een kwaliteitsattribuut beschouwen. Dan pak je informatiebeveiliging binnen software-ontwik-keling aan over de ‘as van kwaliteit’. Daarbij is het belangrijk dat beveiliging op elk niveau van de applicatieontwikkeling terugkomt; van het functioneel, technisch ontwerp en ontwikkeling tot en met het testen, accepteren en uitrollen.”

opstellen beveiligingseisenEen mogelijk startpunt voor de ontwikkeling van veilige software – zoals dat ook wordt geschetst in het document ‘Grip op Secure Software Develop- ment’ van het CIP – is het opstellen van standaard beveiligingseisen door de opdrachtgever. Deze basis beveiligingseisen gelden dan voor alle typen

' Het opstellen van beveiligingsmaatregelen is een continu proces'

'Beschouw security als een

kwaliteitsattriBuut van software'

47

V o L g E N D E p A g I N A I M P R e s s I e o P e n I n g M o T I v › p . 4 8SECU

RE SO

FTWA

RE D

EVELO

PM

ENT | B

EVEILIG

ING

SEISEN | V

ISIE | MO

TIV

projecten, zodat de leverancier ook weet welke beveiligingseisen hij kan verwachten. De stan-daard beveiligingseisen kunnen onder andere zijn ingegeven door de beveiligingsmaatregelen die al zijn geïmplementeerd binnen de organi-satie. Een voorbeeld hiervan is een BIV (Beschik-baarheid, Integriteit en Vertrouwelijkheid)-classi-ficatie. De BIV-classificatie resulteert per klasse in een minimale basis die kan worden gesteld aan de beveiligingseis en de te nemen beveiligings-maatregelen. Verder vormen normeringen als NEN 7510 en ISO-standaarden als 27001/27002 al een goed uitgangspunt voor de eisen.

Bovenop deze standaard beveiligingseisen moe-ten vervolgens de specifieke beveiligingseisen worden gedefinieerd die gelden voor een be-paalde applicatie of een bepaald project. Risico-analyse vormt in deze fase een cruciale rol. “Door het uitvoeren van een risico-analyse weet je hoe groot de kans is op verstoring van een bepaald proces”, vult Boer aan. “Als je de risico-analyse combineert met een Business Impact Analyse weet je ook hoe hoog de kosten van een incident zijn. Dan heb je de risico’s meetbaar gemaakt.” In enkele gevallen kan een risico-analyse ook worden gecombineerd met een Privacy Impact Analyse (PIA) in het kader van bijvoorbeeld de Wet bescherming persoonsgegevens (Wbp).

selecteren beveiligingsmaatregelenAan de hand van de specifieke beveiligingseisen kunnen vervolgens de maatregelen worden in- gevuld. “Maar webapplicaties vergen weer andere

maatregelen dan on-premise en mobiele appli-caties”, aldus Boer. “Waar wij voor pleiten, is dat je per type applicatie een basis aan beveiligings-maatregelen definieert.”

Om ervoor te zorgen dat de maatregelen in lijn zijn met de risico’s, maakt Motiv een onder- scheid in:• Publiekeapplicaties.Inditgevalzijnderisico’s laag en kan worden volstaan met ‘minimale’ beveiligingsmaatregelen. Versleuteling van het verkeer is zo’n minimale maatregel die altijd aanwezig moet zijn.

Ook moet worden nagedacht over het identificatie- en verificatieproces en op regelmatige basis moet worden gecontroleerd of de applicatie nog correct functioneert.• Confidentiële applicaties. Als een applicatie bijvoorbeeld wordt gebruikt om transactiesys- temen te raadplegen, zijn aanvullende beveiligingsmaatregelen noodzakelijk om de confidentiële informatie te beschermen. Voor-

beelden van aanvullende maatregelen zijn auditlogging, database-encryptie, een Web Application Firewall en het valideren van de applicatie voorafgaand aan iedere sessie.• Highsecureapplicaties.Opditniveaukaner in het geval van bijvoorbeeld mobiele applicaties voor worden gekozen om data-encryptie op het toestel verplicht te stellen voor alle lokaal opgeslagen gegevens, zo min mogelijk data lokaal op te slaan, updates van de mobiele applicatie te forceren en een applicatie controleerbaar te maken vanuit een MDM-oplossing.

continu verbeteren“Maar het vaststellen van de beveiligingsmaat-regelen is wel een continu proces”, zo benadrukt Boer. “De wereld verandert. Maatregelen die in het verleden zijn genomen, zijn misschien niet meer afdoende voor de realiteit van nu.” Om ervoor te zorgen dat de beveiliging van een applicatie in de pas blijft lopen, behoort een proces voor vei-lige applicaties te voorzien in zaken zoals perio-dieke penetratietesten, codereviews en risico- acceptatie als is gebleken dat aan één of meer beveiligingseisen niet meer kan worden voldaan. “Dat zijn verantwoordelijkheden die je misschien liever overlaat aan een specialist. Als je software-ontwikkeling als een SaaS-dienst afneemt, is de uitvoerder verantwoordelijk voor de continue verbetering van de applicatie .”

“Motiv is zowel ISO 20000, ISO 9001 als ISO 27001 gecertificeerd”, besluit Boer. “Daarmee bewijst Motiv zowel het ontwikkelproces als het toegepaste niveau van informatiebeveiliging aan-toonbaar onder controle te hebben. Onze ontwikkelaars hebben security dan ook als specialisatie en kijken naar zowel de functionaliteit als de veiligheid van de applicatie.”

' Motiv heeft zowel het ontwikkelproces als het toegepaste niveau van informatiebeveiliging aantoonbaar onder controle’ Rohald Boer, Business Line Manager applicatie ontwikkeling bij Motiv

H E A D L I N E e e n s P e c T a c u L a I R e o P e n I n g

Een spectaculaire

opening48 MM 01 | voorjaar 2014

49

Ict securityDe feestelijke opening van het nieuwe pand – die geheel in het teken stond van het thema ‘ICT Security’ – viel samen met het 15-jarige jubileum van Motiv. Ton Mooren, algemeen directeur van Motiv: “In vijftien jaar tijd is Motiv uitgegroeid tot een bedrijf met 90 medewer-

kers dat ondanks de snel veranderende digi-tale wereld altijd vooraan is blijven lopen op het gebied van informatievoorziening en infor-matiebeveiliging. Het nieuwe pand zorgt voor nieuwe mogelijkheden. De uitbreiding van de dienstverlening met een eigen Security Opera-tions Center is daar een goed voorbeeld van.”

vorig jaar namen de motivaren hun intrek in een nieuw gebouw, op steenworp afstand van de Poortdijk in ijsselstein waar het allemaal begonnen is. op 11 oktober 2013 werd met een spectaculaire show het nieuwe pand offi cieel geopend: het was fantastisch!

uccFNamens UCCF wil Motiv graag iedereen bedanken die door een gift aan de Uganda Child Care Foundation (UCCF) kinderen en leerkrachten in Kakuuto ondersteunen. Motiv is trots dat tijdens de opening van ons nieuwe pand 4825 euro is opgehaald, een fantastisch bedrag! Het geld is direct ingezet voor de bouw van een slaapzaal.

UCCF blijft op zoek naar donateurs die kinderen gedurende hun gehele schooltijd willen bijstaan met een relatief kleine financiële donatie. Meer informatie is ook te vinden op de website: www.uccf.nl.

50

Motiv breidt de dienst ‘sterke Authenticatie’ uit met nieuwe portals voor

eindgebruikers en helpdesks. Via de ‘self service portal’ kan een eindgebruiker

zelf aangeven of hij gebruik wenst te maken van sms-authenticatie of van

authenticatie met behulp van een app op de smartphone. Via de ‘Helpdesk portal’

kan de helpdesk van een bedrijf zelf het gebruikersbeheer verzorgen en

ondersteuning bieden bij hulpverzoeken die betrekking hebben op de dienst.

eindgebruikers en helpdesks. Via de ‘self service portal’ kan een eindgebruiker

authenticatie met behulp van een app op de smartphone. Via de ‘Helpdesk portal’

H E A D L I N E m o t i v v e R g R o o t g e B R u i k s g e m a k ' s t e R k e a u t H e n t i c a t i e ' m e t n i e u w e p o R t a l s

MOTIV NIEUWS

Motiv vergroot gebruiksgemak 'Sterke Authenticatie' met nieuwe portals

Motiv ‘Sterke Authenticatie’ is een cloudgebaseerde dienst voor het

inloggen op een telewerkvoorziening of (web-) applicatie. Voor

het inloggen moet de gebruiker niet alleen een gebruikersnaam

en wachtwoord invoeren, maar ook een code die per sms naar de

gebruiker wordt gestuurd of wordt gegenereerd door een app (het

‘soft token’) op de mobiele telefoon.

In de nu toegevoegde ‘Self Service Portal’ kunnen gebruikers zelf –

en op ieder gewenst moment – aangeven of de voorkeur uitgaat

naar sms-authenticatie of naar authenticatie met behulp het ‘soft

token’. Zo kan de gebruiker ervoor kiezen om in Nederland gebruik

te maken van sms-authenticatie, terwijl tijdens een verblijf in het

buitenland wordt overgeschakeld op het soft token. Dit token werkt

ook offline waardoor inlogcodes gegarandeerd direct beschikbaar

zijn. Voor de ondersteuning van gebruikers zonder smartphone is

het bovendien niet meer noodzakelijk om sms-authenticatie voor

alle gebruikers binnen de organisatie af te dwingen. De gebruikers

die wel over een smartphone beschikken, kunnen op individuele

basis zelf kiezen voor authenticatie via de app.

Een andere vernieuwing is de ‘Password Reset Portal’ die tegen

meerprijs beschikbaar is. Hiermee kunnen gebruikers die hun Win-

dows-wachtwoord kwijt zijn zelf via sterke authenticatie online

hun Windows-wachtwoord opnieuw instellen. Inlogproblemen

behoren daarmee tot het verleden.

gemak voor de helpdeskVoor de helpdesk van de klant heeft Motiv de ‘Helpdesk Portal’ ont-

wikkeld. De helpdesk-medewerkers kunnen zelf het gebruik van

een afdeling of gebruiker inzien en zij kunnen de eindgebruikers

zelf ondersteunen bij problemen rondom inloggen. Bij een verzoek

om hulp van een eindgebruiker kan de helpdesk-medewerker zelf

inzien waarom de eindgebruiker niet correct inlogt. Op deze manier

biedt Motiv de helpdesk – zonder tussenkomst van Motiv – flexi-

biliteit en gebruiksgemak rondom het afhandelen van calls.

“Op het moment dat bijvoorbeeld een gebruiker niet kon inloggen,

moest een helpdesk voorheen Motiv bellen om de oorzaak uit te

laten zoeken”, zegt Bastiaan Schoonhoven, marketing manager

bij Motiv. “Nu kan een helpdeskmedewerker met behulp van een

gebruikersnaam, wachtwoord en code zelf inloggen op de help-

deskinterface waar direct is te zien waarom een gebruiker niet kan

inloggen.”

Via de Motiv cloud“Sterke Authenticatie is geplaatst in een hoog-beschikbare cloud-

oplossing van Motiv, de ‘Motiv Cloud’. Daardoor wordt de oplossing

standaard beschermd door een geavanceerde web application fire-

wall en continu bewaakt door de security-experts van Motiv”, aldus

Schoonhoven. “Sterke Authenticatie is een integraal onderdeel van

het portfolio ‘Cloud- en datacenter-securitydiensten’ waarmee

Motiv een volledig pakket aan innovatieve beveiligingsmaatre-

gelen biedt om de bestaande netwerken hostingdiensten te

beschermen tegen de alsmaar toenemende risico’s op het gebied

van hacking en misbruik op internet.”

De dienst Sterke Authenticatie maakt gebruik van standaard pro-

tocollen zoals LDAP en Radius waardoor de authenticatiedienst

geschikt is voor vrijwel alle telewerkoplossingen (Juniper Net-

works, Cisco, Citrix, Microsoft) en webapplicaties zoals intranet. De

administratie van gebruikersgegevens (mobiel telefoonnummer,

gebruikersnaam, wachtwoord en groepenbeheer) vindt plaats in

de bestaande Active Directory van de klant. Dit betekent voor de

klant geen dubbele administratie waardoor de oplossing zeer snel

inzetbaar is en geen extra beheerlast oplevert.

Motiv biedt helpdesks flexibiliteit en gebruiks-gemak rondom het afhandelen van calls

MM 01 | voorjaar 2014

Colofon

H E A D L I N E s m o t i va t o R o p t i m a a l v o o R u • m o t i v c a f É • i m o t i va t o RB e a t t H e c y B e R c R i m i n a l a t t o p s H e l f o p e n 2 0 1 4

Motivator is voor mensen met een professionele interesse in IT ook als online magazine te downloaden via www.motiv.nl. Wij hopen dat wij u met Motivator van vakinhoudelijke en functionele informatie voorzien. Wilt u dat ons informatieaanbod nog relevanter wordt voor u? Update dan nu uw profielgegevens en geef aan wat uw interesse-gebieden zijn. De juiste profiel- en interessegegevens stellen ons namelijk in staat u nog beter van de juiste informatie te kunnen voorzien.

U kunt online Motivator downloaden via www.motiv.nl en uw profielgegevens e-mailen. Vermeld in de e-mail de volgende gegevens:

Naam:Functie:Bedrijf:Bedrijfsgrootte: aantal geautomatiseerde werkplekken:

OPTIMAAL VOOR U!

H E A D L I N E s

Motivator Magazine, voor professionals in informatie-voorziening en -beveiliging

jaargang 4, nummer 1, voorjaar 2014.

Contactgegevens MotivUtrechtseweg 34E,3402 PL IJsselsteinT +31 (0)30 - 68 77 007F +31 (0)30 - 68 77 [email protected]

redactie Bastiaan Bakker (Motiv)Bastiaan Schoonhoven (Motiv)Julia P.C. van Brink (Motiv)Ferry Waterkamp

Concept & vormgeving Studio Incognito - buro voor de vorm, IJsselstein

Fotografi e Ruud Jonkers (Ruud Jonkers Fotografi e)iStockphoto

DrukDrukkerij van Midden, Benschop

advertentie-index2 Juniper Networks15 Websense23 Check Point29 F552 RSA

[email protected] +31 (0)30 - 68 77 007

Motivator Magazine is een uitgave van Motiv ICT Security, IJsselstein en verschijnt twee keer per jaar, in een oplage van 3200 exemplaren.

© 2014 Motiv.

M E E R I N F o R M A t I E ?

W W W . M O T I V . N L / M O T I V / E V E N E M E N T E N

De Motiv-borrels in de uitspanning op poortdijk 13 in Ijsselstein zijn inmiddels een begrip in Ict-securityland. tijdens deze informele netwerk-bijeenkomsten ontmoeten medewerkers, klanten en fabrikanten elkaar onder het genot van een drankje en een hapje. De komende borrels staan gepland voor vrijdag 13 juni en vrijdag 11 juli.

MOtiv CaFÉ Motiv publiceert naast Motivator de tweemaandelijkse iMotivator. Deze digitale nieuwsbrief verzorgt updates over de laatste ontwikkelingen op het gebied van informatie-beveiliging en informatievoorziening, het laatste nieuws en informatie over Motiv, klantcases en evenementen. Daarnaast besteden we aandacht aan securitytips en maat-werkoplossingen.

schrijf u nu in op: www.motiv.nl/nieuwsbrief/inschrijving-imotivator en ontvang de nieuwe iMotivator!

iMotivator

In samenwerking met Websense organiseert Mo-tiv een boeiende en inspirerende dag met een sportieve inslag: Treed binnen in 'the office of the CSO' tijdens de 25ste editie van het Topshelf Open grastennistoernooi in Rosmalen.

Maak kennis met de zeven-stappen ‘kill chain’ van geavanceerde bedreigingen en hoe cyber-criminelen deze gebruiken in hun aanvallen.

Het buiten houden van geavanceerde APT’s, gerichte Zero-Day- en hardnekkige webdreigin-gen is een tijdrovende en zeer gespecialiseerde tak van sport geworden. Beat the Cybercriminal en discussieer over effectieve strategieën om uw organisatie optimaal te beschermen.

BEAT THE CYBERCRIMINAL AT TOPSHELF OPEN 2014DATUM: 21 JUNI, 11.00 UUR

Documents

Motivator voorjaar 2014