Cybercriminaliteit neemt zo’n vlucht dat organisaties moeite hebben om de dreigingen bij te benen. Met een gerichte analyse van de risico’s en beveiliging helpt Qualys haar klanten bij het inkapselen van de risicodreiging. Daarbij maakt Qualys een maatwerkanalyse van de specifieke veiligheidsissues, gebaseerd op de het IT-landschap én de te beschermen assets.
Veel IT-beveiligingsoplossingen in de markt zijn responsief. ‘De reactie volgt als er iets gebeurt,’ vertelt Chantal ’t Gilde, managing director Benelux en Scandinavië. ‘Wij zijn van mening dat je een stap terug moet zetten om bij het begin te beginnen.’ Hij maakt de vergelijking met een huis. ‘Je hebt deuren, ramen en sloten. Als je pas in actie komt bij een inbraakpoging, moet je een beveiliger hebben rondlopen. Dat kan werken, maar ik heb liever de beste sloten en een alarmsysteem geïnstalleerd. En dát is precies wat we bij Qualys doen. We kijken naar de beveiliging om te voorkomen dat je zwakke plekken hebt, door meteen bij de kern te starten We kwantificeren de risico’s en prioriteren de maatregelen die nodig zijn om de grootste zwakheden in de IT-beveiliging aan te pakken.’
Grootste problemen eerst
‘IT-beveiligingsexperts zijn er altijd heel goed in om bedrijven te vertellen wat er allemaal mis is. Dat is te algemeen,’ stelt Paul Baird, Chief Technical Security Officer van Qualys. Bedrijven verwachten van IT- en beveiligingsexperts dat ze de problemen oplossen. Ze hebben behoefte aan een heldere cybersecuritystrategie, waarbij de risico’s worden geprioriteerd. Dat is alleen mogelijk op basis van een maatwerk, op de bedrijfsvoering gebaseerd plan van aanpak. Je wil de cyberrisico’s van een bedrijf inperken en het beveiligingsniveau op orde krijgen. Dat betekent dat je op een slimme manier de grootste problemen als eerste aanpakt. Dat kan alleen als je de risico’s kwantificeert en inventariseert waarop je je moet focussen. Je kijkt eerst wat de zwakste schakel is, die pak je als eerste aan.’
TruRisk-systematiek
Qualys heeft de TruRisk-systematiek ontwikkeld om risico’s accuraat te beoordelen. ‘Traditionele managementprogramma’s om kwetsbaarheden te detecteren werken top-down, van kritiek naar gering,’ verklaart Baird. ‘Die analyse is veel te generiek en arbitrair. Het houdt geen rekening met het specifieke karakter van een organisatie. Voor een organisatie is het belangrijk om te weten hoe kwetsbaar een asset is en welke maatregelen er beschikbaar zijn om de kwetsbaarheid aan te pakken.’ TruRisk is een matrix om de scores een bedrijfsspecifieke context te geven. Baird gebruikt het beschermen van intellectueel eigendom als voorbeeld: ‘Een aantal landen zijn goed in het stelen van innovaties om het zelf te produceren. Die schade is onherstelbaar. Als een productielijn tot stilstand komt, is de schade makkelijk te kwantificeren.’
‘Cyberbeveiliging begint van onderaf, met de sloten op de deur,’ gebruikt ’t Gilde als beeldspraak. ‘Om te beginnen helpen we onze klanten om te inventariseren wat ze qua assets hebben. Echt alles wat een bedrijf bezit moet bekend zijn, wil je een begin maken met de beveiliging. Zonder overzicht van wat er is, kun je het ook niet beveiligen. We maken zichtbaar welke apparaten er op de locatie zijn, welke laptops, tablets en smartphones er zijn en wat draait er bij datacenters of in de cloud,’ vertelt hij. ‘Vervolgens brengen we alle beveiling onder op één cloudplatform. Op die manier overzie je de kwetsbaarheden en systeemconfiguraties.’
Misconfiguratie
Een veelvoorkomende misvatting is dat je er bent met een goede cybersecuritybeveiliging, waarschuwt Baird. ‘Je hebt niets aan de beste sloten en beveiliging als iemand de sleutel in de deur laat zitten of een raam vergeet te sluiten. Dat is een van de grootste issues van dit moment. Vaak liggen misconfiguratie en voorkombare, domme fouten aan de basis van een aanval. Bij een onderzoek dat we hebben uitgevoerd bij de drie grootste cloudplatformers, waaronder Google, bleek bij de helft van de gevallen het beveiligingsniveau van de persoonlijke accounts ondermaats, zoals het instellen van tweefactor authenticatie en encryptie van data. Of denk aan het niet geregeld wijzigen van je paswoord. Het zijn fouten die makkelijk kunnen worden hersteld.’
Benieuwd naar de Qualys-aanpak? Bezoek de website en maak een afspraak.
