SECURITY & AVG
‘DIT ZIJN DE TOP DRIE SECURITY-KANSEN VOOR HET MKB IN 2019’ Cees Quirijns
COO Portland Europe De komende jaren zal de AVG (GDPR) een belangrijke security-issue zijn voor het mkb en de IT-dienstverleners die zich richten op dat marktsegment. De formele regelgeving is inmiddels bijna een jaar van kracht, maar dat betekent niet dat alle bedrijven die ook al in hun securitybeleid hebben ingebed. Sterker nog, de meeste moeten er nog aan beginnen en daarbij geeft Portland IT-dienstverleners en MSP’s een aantal praktische tips die rechtstreeks kunnen bijdragen aan de omzet. tekst Pim Hilferink
U
it de rapporten van onderzoeksbureau Gartner, waarmee we zoals bekend al geruime tijd samenwerken, hebben we drie businesskansen geselecteerd: vulnerabilityassessments, unified-endpointsecurity en passwordmanagement”, zo opent Quirijns ons gesprek.
Vulnerability assessments “Stap één in elke securitystrategie is het in kaart brengen van de bestaande situatie om aan de hand daarvan vast te stellen waar kwetsbaarheden zitten. De IT-dienstverlener kan zo’n assessment betaald of kosteloos uitvoeren; dat is afhankelijk van de specifieke klantsituatie. Het onderzoek valt uiteen in twee delen: eerst kijk je van buiten naar binnen, en vervolgens analyseer je wat er binnen gebeurt. Van buiten naar binnen kom je normaliter via een tweetal access points: een website of een firewall en die worden onderzocht op zwakke punten. Eenmaal binnen, achter de firewall, bevindt zich het netwerk en de netwerkapparatuur die alles draaiende houdt. Voor het uitvoeren van
42 | maart 2019 | ChannelConnect
de assessments bieden we onze partners hulp in de vorm van de ThreatScan, software van de Nederlandse maker ThreadStone, waarmee complete, volledig geautomatiseerde scans op websites en bedrijfsnetwerken kunnen worden uitgevoerd. In de rapportage achteraf worden alle gesignaleerde risico’s gemeld. Je genereert als het ware een ‘shoppinglist’ met de aanbevelingen voor het elimineren van risico’s en het verhelpen van kwetsbaarheden. ThreadStone is laagdrempelig beschikbaar op basis van ‘pay-as-you-grow’ en wij adviseren om het assessment periodiek – per kwartaal of per jaar – te herhalen zodat de klant door het jaar heen ook veilig blijft en de IT-dienstverlener proactief invulling kan geven aan zijn rol als ‘trusted advisor.”
Unified-endpointsecurity (management) Quirijns: “Het is bijna niet te geloven, maar er zijn nog steeds partijen die geen endpointsecurity draaien op hun devices. De kantoorapparatuur wordt meestal wel via het netwerk beveiligd,
maar bij mobiele devices is dat eerder uitzondering dan regel. Een van de uitdagingen is het grote aantal merken en types en de verschillende OS’en (iOS, Android en in mindere mate Windows) dat centraal ondersteund zou moeten worden. Idealiter doe je dat met een endpoint-managementtool waarin ook security is opgenomen. In de praktijk, zeker in kleinere organisaties, is het beheer van de individuele devices niet echt een punt, maar security zou dat zeker wél moeten zijn. Immers, waar de website en het netwerk door het bedrijf meestal wel worden beveiligd, zijn de mobiele devices – smartphones of tablets – van medewerkers vaak niet eens voorzien van een eenvoudige antivirusbeveiliging. Die vormen dus een gemakkelijke prooi voor hackers die zich via het device toegang tot het bedrijfsnetwerk verschaffen. Een centraal beheerde (unified) device- en securitymanagementoplossing is de beste remedie, maar als dat er om welke reden dan ook niet in zit, moet er wel een centraal geregeld veiligheidsbeleid zijn dat de meest gangbare OS’en en