Overheid
7 securitytips voor overheidsorganisaties
07/06/2021 | Written by: Yvonne Pels
Share this post:
Veel overheidsorganisaties hebben een digitale transitie in gang gezet, aangemoedigd door de Nederlandse Digitaliseringsstrategie (NDS). Mede daardoor delen ze steeds meer data met elkaar, burgers en publiek-private organisaties. Vaak gaat het om privacygevoelige gegevens, die steeds vaker opgeslagen zijn in cloud infrastructuren. Zowel in de eigen, on-prem, cloud en steeds vaker ook in publieke clouds van één of meerdere cloud leveranciers. Hoe beveiligt u als overheidsorganisatie de toenemende hoeveelheid data in dit steeds complexer wordende securitylandschap?
Steeds meer overheidsorganisaties bouwen een nieuwe (cloud)omgeving om de datagroei aan te kunnen en deze data makkelijk te kunnen delen. Daarbij lopen ze tegen een extra uitdaging aan: overheidsapplicaties en -data moeten niet alleen veilig zijn, maar ook voldoen aan diverse wet- en regelgeving. Deze uitgebreide compliancy vereist een strikte security. In dit blog geeft Yvonne Pels, Security Consultant IBM, overheidsorganisaties concrete tips om hun security af te stemmen op de huidige complexe situatie.
Tip 1 Ontwikkel security by design
“In de praktijk zien we dat overheidsorganisaties die een nieuwe cloudomgeving bouwen of hun bestaande omgeving uitbreiden, beginnen met de functionele eisen. Security wordt vaak pas later toegevoegd”, zegt Pels. Hoe zorg je dat je met een grote bocht om deze valkuil heenloopt? “Door security by design toe te passen. Betrek een security-expert vanaf de start. Hij of zij inventariseert de risico’s en geeft aan welke securitytools nodig zijn om deze te minimaliseren.”
Tip 2 Werk met DevSecOps
Maak security een integraal onderdeel van uw applicatieontwikkeling. Dat is de tweede tip die Pels overheidsorganisaties geeft. “Security is een ongoing proces: bedreigingen en omgevingen veranderen. Security moet meeveranderen. Dat kan met een DevSecOps-werkwijze. Dan richt u ontwikkelprocessen zo in dat uw security-expert gedurende de hele lifecycle van een cloudomgeving bij wijzigingen betrokken wordt.”
Tip 3 Doe een Security Assessment
Met een assessment brengt u volgens Pels de risico’s in kaart: “Hierbij kijkt uw securityspecialist samen met medewerkers uit diverse relevante vakgebieden naar de actuele dreigingen. Daaruit leiden ze af welke risico’s uw organisatie loopt. Vervolgens koppelt u daar samen met de security-expert maatregelen en tools aan.”
Tip 4 Test security regelmatig
Test de security van uw (cloud)omgeving regelmatig, bij voorkeur door securitytesten een vast onderdeel te maken van ontwikkelprocessen. “Leg in systemen en protocollen vast dat securitytesten moeten worden uitgevoerd”, licht Pels toe. Dat kan periodiek of in specifieke gevallen. “Test bijvoorbeeld bij de bouw van een nieuwe applicatie of koppeling met een nieuw systeem.”
Tip 5 Gebruik een Control Framework
Gebruik een Control Framework om securityrisico’s te vertalen naar maatregelen en controls. Dit stappenplan is volgens Pels een essentieel hulpmiddel: “Aan de hand van het framework neemt u de stappen die nodig zijn om de juiste security controls te implementeren. Zo voorkomt u dat auditrapporten in een la belanden en daar in de praktijk dus geen vervolg aan gegeven wordt – met alle gevolgen van dien.”
Tip 6 Creëer awareness
Maak medewerkers bewust van de risico’s van hun gedrag. “Leer ze het kaf van het koren te scheiden: op welke link kan ik wel en niet klikken? Door medewerkers te trainen en te toetsen vergroot u hun security awareness”, zegt Pels. “Ook op dit gebied moet u periodiek blijven informeren en controleren, want hackers en cybercriminelen zitten niet stil.”
Tip 7 Wees voorbereid
Het is niet de vraag of een cyberaanval uw organisatie treft, maar wanneer. Pels: “Gaat er dan toch iets fout? Zorg dan dat u weet hoe u moet handelen, zowel technisch herstel en welke processen te doorlopen. Bedenk bijvoorbeeld welke tools u kunt gebruiken om laptops op afstand te wipen en weet waar u data hebt opgeslagen.”
Het mag duidelijk zijn; het huidige complexe IT-landschap vraagt om meer dan beveiligingstechnologie. Security is een holistisch, continue proces van mensen, processen en middelen. Alleen als die goed op elkaar afgestemd zijn, kunt u als overheidsorganisatie data veilig en compliant bewaren en delen.
Meer weten over het optimaliseren van security bij overheidsorganisaties?
Kijk het webinar met Yvonne Pels gehouden op ‘IBM Think Comes to You – Overheid’ van 3 juni j.l. terug op de event website (11:30-12:00 – Hoe maak je security onderdeel van je cloudstrategie?)
Security Consultant @ IBM
The Digital Operational Resilience Act for Financial Services: Harmonised rules, broader scope of application
The Digital Operational Resilience Act – what and why As part of the European Commission’s Digital Finance Package, the new Digital Operational Resilience Act, or in short DORA, will come into force in the coming period. The aim of DORA is to establish uniform requirements across the EU that improve the cybersecurity and operational resilience […]
Wat kunnen we in de Benelux leren van de actuele data breach-trends?
Nog nooit was de impact van cybercrime zo groot als in 2021. Zo stegen de gemiddelde kosten van een datalek met 10 procent ten opzichte van vorig jaar, blijkt uit de recente editie van IBM’s Cost of Data Breach Report. Wat zijn de opvallendste bevindingen uit dit onderzoek? En hoe kunnen organisaties de impact […]
Benelux Security Summit 2021: security tot in de haarvaten
Thuiswerken is tegenwoordig de norm. Daarbij loggen medewerkers, partners en klanten met allerlei devices in op verschillende applicaties en systemen. Lokaal en in de cloud, vaak gebaseerd op open technologie. Hoe beveiligt u deze steeds complexer wordende IT-omgeving? Daar gaan we tijdens de virtuele Benelux Security Summit 2021 dieper op in. Bedrijfsnetwerken hebben geen […]