Digital Transformation

    Deel via:

    Systeembeveiliging: hoop is geen strategie

    Het aantal gevallen van cybercrime neemt toe. Organisaties moeten zich daar bewust van zijn, en er actie op ondernemen. Maar hoe doe je dat? In ieder geval niet door te hopen dat het vanzelf wel goedkomt. Organisaties moeten zelf actie ondernemen. Jaap van der Meer, Regional Director Benelux bij Virtual Forge, vertelde op Connect to Innovate hoe je nu al aan de slag kunt om cybercriminelen buiten de deur te houden.

    Het gevaar van cybercrime neemt hand over hand toe. In 2017 becijferde Deloitte dat de Nederlandse economie jaarlijks 10 miljard euro schade oploopt door cybercrime. Nu kun je natuurlijk denken: “Dat gebeurt mij niet, ik heb alles onder controle.” Dat dacht de applicatiebeheerder van één van onze klanten ook. We vroegen hem een inschatting te maken van het aantal interfaces dat actief is in zijn HR-systeem. ‘Tien’, antwoordde hij. Een snelle check toonde aan dat het er meer dan vijftig waren. Dat zijn dus zo’n veertig deurtjes die op een kier staan, die de applicatiebeheerder niet scherp op zijn netvlies had. En dat alleen in het HR-systeem. Je bent dus wel degelijk kwetsbaar!

    Bij Virtual Forge zijn we elke dag bezig met het onderwerp veiligheid. Wat onze experts vaak zien is dat mensen hoop als een strategie beschouwen. Maar hopen doe je als je de situatie niet onder controle hebt. Je hoopt op mooi weer, bijvoorbeeld. Maar het is geen strategie. Je schip op hoop van zegen ‘De Hoop’ noemen, voorkomt niet dat het zinkt. Je kunt een schip beter goed en regelmatig onderhouden. Dat geldt ook voor de beveiliging van je IT-systemen. Maar waar begin je?

    Zeewaardig in drie stappen

    Een goede beveiligingsstrategie stel je op in drie stappen. Dit zijn ze:

    Stap 1: Begrijp het risico dat je loopt. Daar ben je al mee begonnen, want anders zou je dit blog niet tot hier hebben gelezen. In deze stap bekijk je de beveiligingseisen die je nodig hebt, en analyseer je waar de zwakke plekken zitten. Stel jezelf bijvoorbeeld de volgende vragen:

    1. Hoeveel custom code heb ik, en wordt die gecontroleerd?
    2. Hoe weet ik zeker dat honderden systeemparameters veilig zijn ingesteld?
    3. Weet ik wat er in een transport zit wanneer ik deze importeer?
    4. Wat voor soort data heb ik?
    5. Welke data verlaat mijn systeem zodat ik er geen grip meer op heb?
    6. Welke interfaces en andere koppelingen liggen er, en welke worden niet gebruikt?

    Door deze vragen te beantwoorden, maak je de belangrijkste beveiligingsaspecten in je systemen inzichtelijk en breng je in kaart welke koppelingen je systeem bevat.

    Stap 2: Nu je weet hoe je systeem ervoor staat, en waar data heen ‘stroomt’ kun je met de grote schoonmaak beginnen. Beveilig je systeem en elimineer de kwetsbaarheden.

    Stap 3: Schoon blijven. Beveiliging is vaak aan grilligheid onderworpen. Als er een audit aankomt wordt alles netjes gemaakt. Maar je moet je systeem blijven onderhouden, anders zink je alsnog. In de derde stap geef je de beveiligingsconcepten een plek in je processen en houd je de veiligheid van je systemen continu in de gaten.

    Beveiliging automatiseren

    Je systeem beveiligen kan ook geautomatiseerd, van interfaces tot onderhoud en transport. Daarmee krijg je meer grip op beveiliging, zowel intern als extern, en vereenvoudig je de voorbereiding op bijvoorbeeld audits en processen rondom GDPR-compliance.

    Wil je meer weten over de beveiliging van je SAP systeem? Of ben je benieuwd hoe je bovenstaande stappen geautomatiseerd kunt uitvoeren? Bij Virtual Forge ontwikkelden we een suite die het complete beveiligingspakket omvat. Neem contact met me op en ik vertel je er meer over!