Steeds meer overheidsorganisaties bouwen een nieuwe (cloud)omgeving om de datagroei aan te kunnen en deze data makkelijk te kunnen delen. Overheidsapplicaties en data moeten veilig zijn, maar ook voldoen aan diverse wet- en regelgeving. Deze uitgebreide compliancy vereist een strikte security. Zeven tips om de security af te stemmen op de huidige complexe situatie.
Veel overheidsorganisaties hebben een digitale transitie in gang gezet, aangemoedigd door de Nederlandse Digitaliseringsstrategie (NDS). Mede daardoor delen ze steeds meer data met elkaar, burgers en publiek-private organisaties. Vaak gaat het om privacygevoelige gegevens, die steeds vaker opgeslagen zijn in cloud infrastructuren. Zowel in de eigen, on-prem, cloud en steeds vaker ook in publieke clouds van één of meerdere cloud leveranciers. Hoe beveiligt u als overheidsorganisatie de toenemende hoeveelheid data in dit steeds complexer wordende securitylandschap?
Tip 1 Ontwikkel security by design
“In de praktijk zien we dat overheidsorganisaties die een nieuwe cloudomgeving bouwen of hun bestaande omgeving uitbreiden, beginnen met de functionele eisen. Security wordt vaak pas later toegevoegd”, zegt Pels. Hoe zorg je dat je met een grote bocht om deze valkuil heenloopt? “Door security by design toe te passen. Betrek een security-expert vanaf de start. Hij of zij inventariseert de risico’s en geeft aan welke securitytools nodig zijn om deze te minimaliseren.”
Tip 2 Werk met DevSecOps
Maak security een integraal onderdeel van uw applicatieontwikkeling. Dat is de tweede tip die Pels overheidsorganisaties geeft. “Security is een ongoing proces: bedreigingen en omgevingen veranderen. Security moet meeveranderen. Dat kan met een DevSecOps-werkwijze. Dan richt u ontwikkelprocessen zo in dat uw security-expert gedurende de hele lifecycle van een cloudomgeving bij wijzigingen betrokken wordt.”
Tip 3 Doe een Security Assessment
Met een assessment brengt u volgens Pels de risico’s in kaart: “Hierbij kijkt uw securityspecialist samen met medewerkers uit diverse relevante vakgebieden naar de actuele dreigingen. Daaruit leiden ze af welke risico’s uw organisatie loopt. Vervolgens koppelt u daar samen met de security-expert maatregelen en tools aan.”
Tip 4 Test security regelmatig
Test de security van uw (cloud)omgeving regelmatig, bij voorkeur door securitytesten een vast onderdeel te maken van ontwikkelprocessen. “Leg in systemen en protocollen vast dat securitytesten moeten worden uitgevoerd”, licht Pels toe. Dat kan periodiek of in specifieke gevallen. “Test bijvoorbeeld bij de bouw van een nieuwe applicatie of koppeling met een nieuw systeem.”
Tip 5 Gebruik een Control Framework
Gebruik een Control Framework om securityrisico’s te vertalen naar maatregelen en controls. Dit stappenplan is volgens Pels een essentieel hulpmiddel: “Aan de hand van het framework neemt u de stappen die nodig zijn om de juiste security controls te implementeren. Zo voorkomt u dat auditrapporten in een la belanden en daar in de praktijk dus geen vervolg aan gegeven wordt – met alle gevolgen van dien.”
Tip 6 Creëer awareness
Maak medewerkers bewust van de risico’s van hun gedrag. “Leer ze het kaf van het koren te scheiden: op welke link kan ik wel en niet klikken? Door medewerkers te trainen en te toetsen vergroot u hun security awareness”, zegt Pels. “Ook op dit gebied moet u periodiek blijven informeren en controleren, want hackers en cybercriminelen zitten niet stil.”
Tip 7 Wees voorbereid
Het is niet de vraag of een cyberaanval uw organisatie treft, maar wanneer. Pels: “Gaat er dan toch iets fout? Zorg dan dat u weet hoe u moet handelen, zowel technisch herstel en welke processen te doorlopen. Bedenk bijvoorbeeld welke tools u kunt gebruiken om laptops op afstand te wipen en weet waar u data hebt opgeslagen.”
Het mag duidelijk zijn; het huidige complexe IT-landschap vraagt om meer dan beveiligingstechnologie. Security is een holistisch, continue proces van mensen, processen en middelen. Alleen als die goed op elkaar afgestemd zijn, kunt u als overheidsorganisatie data veilig en compliant bewaren en delen.
Yvonne Pels is Security Consultant bij IBM
Meer weten over het optimaliseren van security bij overheidsorganisaties? Kijk het webinar met Yvonne Pels gehouden op ‘IBM Think Comes to You – Overheid’ van 3 juni j.l. terug op de event website (11:30-12:00 – Hoe maak je security onderdeel van je cloudstrategie?).
Ga naar ibm.biz/thinkoverheid
Voor meer informatie over security: www.ibm.com/nl-en/security