Cloud Works 05/2019

Page 15

Security

Applicatiebeveiliging: drie aandachtspunten voor de business In een wereld waarin software domineert, is applicatiebeveiliging belangrijker dan ooit. Informatietechnologie speelt daarbij een cruciale rol, maar minstens zo belangrijk is de sturing die ‘de business’ geeft aan securitymanagement. Wat zijn op dat vlak de belangrijkste bakens die helpen de organisatie in het juiste spoor te houden?

Provider (MSSP). Een MSSP heeft er zijn vak van gemaakt om zo’n set van geïnte­ greerde verdedigingstools (‘best of breed’) zelf samen te stellen uit het rijke aanbod van bekende securityleveranciers zoals Check Point, Trend Micro, RSA en Sophos.

3. Vergeet de noodscenario’s niet Applicatiebeveiliging kent vele facetten. Het bestaat uit software, hardware en beleids­ maatregelen die de applicaties beschermen. Vanuit de techniek gezien loopt dat van ‘security by design’ in de ontwikkelfase tot aan de inzet van Web Application Firewalls (WAF’s), vulnerabilityscanners en Cloud Access Security Brokers (CASB’s) voor reeds draaiende (web)applicaties. Maar wat zijn de maatregelen die bovenaan het lijstje van de business horen te staan als het om applicatiebeveiliging gaat? Hier een top 3.

En denk als CTO of CISO vooral niet dat de nieuwe DevOps-aanpak de security verbetert. Dat bereik je alleen door DevOps en security bewust in elkaar te schuiven (DevSecOps). Bijvoorbeeld door ervoor te zorgen dat developers en securitymensen veel vaker - en vooral op het juiste moment - contact met elkaar hebben én elkaars taal leren spreken. Alleen zo bereik je dat security deel uitmaakt van iedere fase van het ontwikkelproces. Ook dát soort inzicht hoort bij een doortimmerde securityawarenessaanpak.

1. Investeer in security-awareness

2. Zorg voor een geïntegreerde verdediging

Het belang van een goede securityawareness binnen alle geledingen van een organisatie staat buiten kijf. Er is in de loop der jaren al veel lippendienst aan bewezen. De vele geslaagde hacks gebaseerd op ‘social engineering’ laten echter keer op keer zien dat medewerkers doorgaans nog veel te weinig op hun hoede zijn. Ze geven inloggegevens voor belangrijke bedrijfs­ applicaties soms kinderlijk eenvoudig prijs. Het is dan ook belangrijk om medewerkers te waarschuwen voor gevaren als phishing.

Een tweede aandachtspunt is een geïntegreerde verdedigingsaanpak. Het gros van de moderne applicaties bestaat uit een veelvoud van losse componenten. Die onderdelen draaien allemaal in een eigen omgeving met eigen eisen en communi­ ceren via infrastructuren die zich zowel in de cloud als in het eigen datacenter bevinden. Dat alles beveiligen, is een hele klus waarvoor een flexibele set eenvoudig te beheren verdedigingstools nodig is die goed met elkaar integreren.

Maar security-awareness kent nog veel meer aspecten die voortdurende aanscherping en training verlangen, ook bij het C-level­ management. Want hoe vaak komt het niet voor dat de security van een applicatie te wensen overlaat doordat het bedrijfs­ management de snelheid van oplevering veel belangrijker vindt dan de veiligheid ervan?

Geheel zelf doen, is in deze geen optie meer. In de praktijk zie je dan ook dat doorgaans twee wegen worden bewandeld: óf bedrijven richten zélf hun applicatie­ beveiliging in op basis van de grote, geïntegreerde securityplatformen van bijvoorbeeld IBM of Cisco, óf stappen voor applicatiebeveiliging over op de diensten van een moderne Managed Security Service

Noodscenario’s zijn je laatste reddingsboei. Want iedere security-expert zal het beamen: hoe goed je je applicatiebescherming ook inricht, het gaat geheid een keer mis. Professioneel securitymanagement houdt ook rekening met dát scenario en maakt substantiële resources vrij voor het opstellen van gedetailleerde draaiboeken wat te doen om zo snel mogelijk weer terug in business te zijn. Ook dat moet geïmplementeerd worden op alle niveaus van de organisatie. Elke medewerker moet in dat geval zijn rol kennen en daarvoor getraind zijn. Bijkomend voordeel: prioriteit nummer één, de security-awareness, wordt hierdoor bij iedereen nog eens extra versterkt. Marc van Ierland is Director Advanced Solutions bij Tech Data

CloudWorks – nr. 5 / 2019

15

Turn static files into dynamic content formats.

Create a flipbook

Articles inside

Vernieuwd IT Infra event biedt bezoeker laatste inzichten

3min
pages 40-41

Met één klik heb je een VPN-tunnel gelegd

5min
pages 38-39

Blog BTG: innovatie met de snelheid van het licht

3min
pages 42-44

Hoe NXP app-performance optimaliseert met ThousandEyes

5min
pages 32-33

Blog DHPA: hoe staat de Nederlandse hosting- & cloudsector er voor?

2min
page 37

Nieuwe inzameldoelstelling zet ICT-sector op scherp

6min
pages 34-36

We keren op termijn echt nog wel terug naar de cloud

4min
pages 30-31

maincubes AMS01 nieuwe locatie van Europees OCP Experience Center

6min
pages 26-29

Datacenter Innovations Day 2019 in teken van duurzaamheid en efficiency

7min
pages 11-14

Blog ISPConnect: what about training?

3min
page 24

De complexe weg naar een perfecte hybrid cloudstrategie

10min
pages 20-23

Applicatiebeveiliging: drie aandachtspunten voor de business

3min
page 15

Bedrijven, instituten en overheden presenteren Nederlandse AI-coalitie

2min
page 25

AVG-boete in Nederland onder voorwaarden verzekerbaar

2min
page 10

All IT Rooms realiseert milieuvriendelijke serverruimte voor wallet-specialist Secrid

5min
pages 18-19

Blog Cloud Research: cloud governance met tanden

3min
pages 16-17
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.