6 minute read
Top drie securitykansen voor het mkb in 2019
by iMediate
SECURITY & AVG
Cees Quirijns COO Portland Europe
De komende jaren zal de AVG (GDPR) een belangrijke security-issue zijn voor het mkb en de IT-dienstverleners die zich richten op dat marktsegment. De formele regelgeving is inmiddels bijna een jaar van kracht, maar dat betekent niet dat alle bedrijven die ook al in hun securitybeleid hebben ingebed. Sterker nog, de meeste moeten er nog aan beginnen en daarbij geeft Portland IT-dienstverleners en MSP’s een aantal praktische tips die rechtstreeks kunnen bijdragen aan de omzet.
tekst Pim Hilferink
Uit de rapporten van onderzoeksbureau Gartner, waarmee we zoals bekend al geruime tijd samenwerken, hebben we drie businesskansen geselecteerd: vulnerabilityassessments, unified-endpointsecurity en passwordmanagement”, zo opent Quirijns ons gesprek.
Vulnerability assessments “Stap één in elke securitystrategie is het in kaart brengen van de bestaande situatie om aan de hand daarvan vast te stellen waar kwetsbaarheden zitten. De IT-dienstverlener kan zo’n assessment betaald of kosteloos uitvoeren; dat is afhankelijk van de specifieke klantsituatie. Het onderzoek valt uiteen in twee delen: eerst kijk je van buiten naar binnen, en vervolgens analyseer je wat er binnen gebeurt. Van buiten naar binnen kom je normaliter via een tweetal access points: een website of een firewall en die worden onderzocht op zwakke punten. Eenmaal binnen, achter de firewall, bevindt zich het netwerk en de netwerkapparatuur die alles draaiende houdt. Voor het uitvoeren van de assessments bieden we onze partners hulp in de vorm van de ThreatScan, software van de Nederlandse maker ThreadStone, waarmee complete, volledig geautomatiseerde scans op websites en bedrijfsnetwerken kunnen worden uitgevoerd. In de rapportage achteraf worden alle gesignaleerde risico’s gemeld. Je genereert als het ware een ‘shoppinglist’ met de aanbevelingen voor het elimineren van risico’s en het verhelpen van kwetsbaarheden. ThreadStone is laagdrempelig beschikbaar op basis van ‘pay-as-you-grow’ en wij adviseren om het assessment periodiek – per kwartaal of per jaar – te herhalen zodat de klant door het jaar heen ook veilig blijft en de IT-dienstverlener proactief invulling kan geven aan zijn rol als ‘trusted advisor.”
Unified-endpointsecurity (management) Quirijns: “Het is bijna niet te geloven, maar er zijn nog steeds partijen die geen endpointsecurity draaien op hun devices. De kantoorapparatuur wordt meestal wel via het netwerk beveiligd, maar bij mobiele devices is dat eerder uitzondering dan regel. Een van de uitdagingen is het grote aantal merken en types en de verschillende OS’en (iOS, Android en in mindere mate Windows) dat centraal ondersteund zou moeten worden. Idealiter doe je dat met een endpoint-managementtool waarin ook security is opgenomen. In de praktijk, zeker in kleinere organisaties, is het beheer van de individuele devices niet echt een punt, maar security zou dat zeker wél moeten zijn. Immers, waar de website en het netwerk door het bedrijf meestal wel worden beveiligd, zijn de mobiele devices – smartphones of tablets – van medewerkers vaak niet eens voorzien van een eenvoudige antivirusbeveiliging. Die vormen dus een gemakkelijke prooi voor hackers die zich via het device toegang tot het bedrijfsnetwerk verschaffen. Een centraal beheerde (unified) device- en securitymanagementoplossing is de beste remedie, maar als dat er om welke reden dan ook niet in zit, moet er wel een centraal geregeld veiligheidsbeleid zijn dat de meest gangbare OS’en en
apparaten ondersteunt waardoor je een omgeving creëert met een fatsoenlijke endpointsecurity. Op zich geen nieuw verhaal, maar wel één dat meer aandacht zou mogen krijgen. Als je in aanmerking neemt dat de bulk van het Nederlandse mkb er nog niet of weinig aan doet, zien we dit nog steeds als een interessante opportunity voor onze IT-dienstverleners en MSP’s.” De merken die Portland daarbij inzet zijn ESET, G DATA en Avast, elk met een eigen professionele benadering, maar met als eenvoud in gebruik en installatie als gemeenschappelijk kenmerk.
Password management “Bij een breach van buitenaf is er negen van de tien keer sprake van misbruik van gestolen wachtwoorden”, stelt Quirijns. “Dus ieder bedrijf zou er goed aan doen om een centraal beleid op te stellen met betrekking tot zaken als: waar slaan we passwords centraal op, wie heeft er toegang toe, wat gebeurt er als mensen weggaan, hoe weet ik zeker dat wachtwoorden niet hergebruikt worden et cetera. Daar zijn mooie oplossingen voor, zoals ITGlue of Pleasant Passwords,
Cees Quirijns
die zorgen voor een veilige, maar ook makkelijk toegankelijke centrale opslag.”
De toekomst is cloud Quirijns: “Zojuist heb ik een aantal kansen benoemd waarover resellers en IT-dienstverleners direct met hun klanten in gesprek kunnen gaan. Maar ik realiseer me ook dat de tijd die de gemiddelde mkb’er aan security wil besteden, beperkt is. Dat zie je bijvoorbeeld terug aan de status van de implementatie van de AVG op dit moment. Maar er komt een moment dat er strenger zal worden opgetreden door de overheid, of dat het bedrijf naast je door reputatieschade zijn deuren moet sluiten. Dan staan ze open voor een oplossing die de hele problematiek van security in één keer adresseert, en die route loopt geheel of gedeeltelijk via de cloud, of ze nu SaaS of IaaS zijn.”
Meerdere scenario’s Voor IT-dienstverleners en MSP’s en hun klanten staan er meerder scenario’s open. “Het migreren van een gemiddelde mkb-omgeving naar een veiliger omgeving kan op verschillende manieren”, vervolgt Quirijns. “Zo kun je de bestaande omgeving aanpassen of ‘enhancen’, zoals ik in het eerste deel van dit artikel heb beschreven. De andere route is ‘rip and replace’, waarbij de oude omgeving wordt achtergelaten en er overgegaan wordt naar een nieuwe cloudomgeving: toegang tot alle bedrijfsapplicaties via een browser. Wat er achter de browser nog overblijft is het regelen van Identity & Access Management, ofwel IAM, waarbij in je credentials is vastgelegd waar je wel en niet toegang toe hebt. Dat is ook ingebed in de belangrijkste office-suites van dit moment: Office 365 van Microsoft en G-Suite van Google. Met Google hebben we vrij recent een overeenkomst voor G-Suite gesloten en inmiddels kunnen we via AppRiver een enhanced Office 365 aanbieden. Daarmee kunnen gebruikers eenvoudig al hun ‘core officeprocessen’ zoals e-mail, agendabeheer, collaboratie, videoconferencing en dergelijke naar de cloud migreren. Zo raken ze vertrouwd met de cloud en wordt het gemakkelijker om ook de complexere applicaties in de cloud te zetten. Samengevat zijn er dus drie opties: niets doen en alles bij het oude laten en afwachten wanneer het schip strandt (en dat gebeurt zeker), de bestaande omgeving moderniseren (maar dat heeft op termijn ook zijn beperkingen), of de knoop doorhakken en de transitie naar de cloud maken.”
Omslagpunt in adoptie is nabij Quirijns: “Er is natuurlijk ook een nieuwe generatie onderweg, die is opgegroeid met de cloud en voor wie cloud geen issue is, behalve als die er niet is. Op dit moment is al 20 procent van het bedrijfsleven, ook in Nederland, overgestapt naar een cloud office suite. De voordelen zijn dan ook evident: doorgaans probleemloos, geen beheerproblematiek, automatische updates en patches, geschikt voor integratie met AI, en toegankelijk van elke willekeurige locatie met internettoegang. De ontwikkeling binnen apps gaat dermate snel, dat dat niet meer on-premise te kopiëren zou zijn, zeker niet voor de paar euro per maand die dat in de cloud kost.”
Run je business via de browser “De uitdaging voor IT-dienstverleners en MSP’s op middellange termijn is het (ontwikkelen van het) vermogen om klanten warm te maken en te overtuigen om hun volledige business op IT-gebied te gaan draaien op een browser-suite. ‘Run je business via de browser’ is het advies dat je als IT-dienstverlener of MSP’er je mkb-klanten moet meegeven. Ook al is hij daar niet direct aan toe, als je je klant niet of te laat informeert over wat de cloud voor hem kan betekenen, ook aan de kostenkant, loop je een dikke kans dat een ander hem dat vertelt en ben je hem kwijt. Proactiviteit én eerlijkheid zijn nog steeds de basisingrediënten voor een gezonder businessrelatie op de langere termijn”, zo besluit Quirijns. «