7 securitytips voor overheidsorganisaties

Share this post:

Veel overheidsorganisaties hebben een digitale transitie in gang gezet, aangemoedigd door de Nederlandse Digitaliseringsstrategie (NDS). Mede daardoor delen ze steeds meer data met elkaar, burgers en publiek-private organisaties. Vaak gaat het om privacygevoelige gegevens, die steeds vaker opgeslagen zijn in cloud infrastructuren. Zowel in de eigen, on-prem, cloud en steeds vaker ook in publieke clouds van één of meerdere cloud leveranciers. Hoe beveiligt u als overheidsorganisatie de toenemende hoeveelheid data in dit steeds complexer wordende securitylandschap?

Steeds meer overheidsorganisaties bouwen een nieuwe (cloud)omgeving om de datagroei aan te kunnen en deze data makkelijk te kunnen delen. Daarbij lopen ze tegen een extra uitdaging aan: overheidsapplicaties en -data moeten niet alleen veilig zijn, maar ook voldoen aan diverse wet- en regelgeving. Deze uitgebreide compliancy vereist een strikte security. In dit blog geeft Yvonne Pels, Security Consultant IBM, overheidsorganisaties concrete tips om hun security af te stemmen op de huidige complexe situatie.

 Tip 1 Ontwikkel security by design

“In de praktijk zien we dat overheidsorganisaties die een nieuwe cloudomgeving bouwen of hun bestaande omgeving uitbreiden, beginnen met de functionele eisen. Security wordt vaak pas later toegevoegd”, zegt Pels. Hoe zorg je dat je met een grote bocht om deze valkuil heenloopt? “Door security by design toe te passen. Betrek een security-expert vanaf de start. Hij of zij inventariseert de risico’s en geeft aan welke securitytools nodig zijn om deze te minimaliseren.”

Tip 2 Werk met DevSecOps

Maak security een integraal onderdeel van uw applicatieontwikkeling. Dat is de tweede tip die Pels overheidsorganisaties geeft. “Security is een ongoing proces: bedreigingen en omgevingen veranderen. Security moet meeveranderen. Dat kan met een DevSecOps-werkwijze. Dan richt u ontwikkelprocessen zo in dat uw security-expert gedurende de hele lifecycle van een cloudomgeving bij wijzigingen betrokken wordt.”

Tip 3 Doe een Security Assessment

Met een assessment brengt u volgens Pels de risico’s in kaart: “Hierbij kijkt uw securityspecialist samen met medewerkers uit diverse relevante vakgebieden naar de actuele dreigingen. Daaruit leiden ze af welke risico’s uw organisatie loopt. Vervolgens koppelt u daar samen met de security-expert maatregelen en tools aan.”

Tip 4 Test security regelmatig

Test de security van uw (cloud)omgeving regelmatig, bij voorkeur door securitytesten een vast onderdeel te maken van ontwikkelprocessen. “Leg in systemen en protocollen vast dat securitytesten moeten worden uitgevoerd”, licht Pels toe. Dat kan periodiek of in specifieke gevallen. “Test bijvoorbeeld bij de bouw van een nieuwe applicatie of koppeling met een nieuw systeem.”

Tip 5 Gebruik een Control Framework

Gebruik een Control Framework om securityrisico’s te vertalen naar maatregelen en controls. Dit stappenplan is volgens Pels een essentieel hulpmiddel: “Aan de hand van het framework neemt u de stappen die nodig zijn om de juiste security controls te implementeren. Zo voorkomt u dat auditrapporten in een la belanden en daar in de praktijk dus geen vervolg aan gegeven wordt – met alle gevolgen van dien.”

Tip 6 Creëer awareness

Maak medewerkers bewust van de risico’s van hun gedrag. “Leer ze het kaf van het koren te scheiden: op welke link kan ik wel en niet klikken? Door medewerkers te trainen en te toetsen vergroot u hun security awareness”, zegt Pels. “Ook op dit gebied moet u periodiek blijven informeren en controleren, want hackers en cybercriminelen zitten niet stil.”

Tip 7 Wees voorbereid

Het is niet de vraag of een cyberaanval uw organisatie treft, maar wanneer. Pels: “Gaat er dan toch iets fout? Zorg dan dat u weet hoe u moet handelen, zowel technisch herstel en welke processen te doorlopen. Bedenk bijvoorbeeld welke tools u kunt gebruiken om laptops op afstand te wipen en weet waar u data hebt opgeslagen.”

Het mag duidelijk zijn; het huidige complexe IT-landschap vraagt om meer dan beveiligingstechnologie. Security is een holistisch, continue proces van mensen, processen en middelen. Alleen als die goed op elkaar afgestemd zijn, kunt u als overheidsorganisatie data veilig en compliant bewaren en delen.

Meer weten over het optimaliseren van security bij overheidsorganisaties?
Kijk het webinar met Yvonne Pels gehouden op ‘IBM Think Comes to You – Overheid’ van 3 juni j.l. terug op de event website (11:30-12:00 – Hoe maak je security onderdeel van je cloudstrategie?)

Bekijk de webinar >