De 10 wetten van cyber security risico volgens Microsoft
Microsoft heeft een lijst met ‘de 10 wetten van cybersecurity risico’ opgesteld. Tien punten die allemaal betrekking hebben op verschillende aspecten van cybersecurity.
Microsoft heeft een lijst met ‘de 10 wetten van cyber security risico’ opgesteld. Tien punten die allemaal betrekking hebben op verschillende aspecten van cyber security. Wij nemen ze hieronder met je door.
Geschreven door: Jacco Wildeman
#1 Goede beveiliging verpest de ROI van de aanvaller
Het is helaas niet mogelijk om je voor honderd procent te beveiligen tegen cybercrime, dus is het belangrijk om de cybercriminelen zoveel af te schrikken, dat het hun investering niet waard is om je aan te vallen. Met goede maatregelen verstoor en verlaag je de Return on Investment (ROI) van de aanvallers. Verhoog de kosten van de aanvaller en verlaag zijn rendement om jouw belangrijkste bedrijfsmiddelen zo goed mogelijk te beschermen.
#2 Niet bijblijven, betekent op achterstand raken
Security is een voortdurende reis, je moet bijblijven omdat het anders voor de aanvaller steeds eenvoudiger wordt om controle te krijgen over jouw bedrijfsmiddelen. Je moet voortdurend jouw security patches, security strategieën, threat awareness, inventaris, security tooling, security hygiëne, security monitoring en al het andere dat in de loop der tijd verandert, bijhouden.
#3 Productiviteit wint altijd
Als security ervoor zorgt dat eindgebruikers niet productief kunnen werken, zullen zij er omheen werken om hun werk gedaan te krijgen. Dat is een risico dat je niet wilt lopen. Zorg er daarom altijd voor dat elke oplossing veilig is, maar ook ervoor zorgt dat een eindgebruiker productief kan zijn.
#4 Aanvallers maakt het niets uit
Aanvallers maakt het echt niets uit welke methode ze moeten gebruiken om in jouw omgeving te komen en toegang tot jouw bedrijfsmiddelen te krijgen. Dat doen ze door bijvoorbeeld met het compromitteren van een netwerkprinter, een aquaruimthermometer, een clouddienst, een pc, een server, een Mac, een mobiel apparaat, het beïnvloeden of misleiden van een gebruiker, het exploiteren van een configuratiefout of een onveilig operationeel proces, of gewoon vragen om wachtwoorden in een phishing e-mail. Het is jouw verantwoordelijkheid om deze opties weg te nemen.
#5 Prioritering is key
Niemand heeft genoeg tijd en middelen om alle risico’s te elimineren. Begin altijd met wat het belangrijkst is voor jouw organisatie en het meest interessant voor aanvallers. Werk deze zaken, op basis van prioritering, voortdurend bij.
#6 Cyber security is een teamsport
Niemand kan alles, dus richt je zelf op de dingen die alleen jij (of jouw organisatie) kunt doen voor optimale bescherming. Zijn er dingen die anderen beter of goedkoper kunnen doen? Laat dat dan aan de experts over (security leveranciers, cloudproviders).
#7 Jouw netwerk is niet zo betrouwbaar als je denkt
Een security strategie die gebaseerd is op een wachtwoord en op elk apparaat in het lokale netwerk vertrouwt, is slechts een fractie beter dan helemaal geen security strategie. Aanvallers omzeilen deze verdediging gemakkelijk, zodat het vertrouwensniveau van elk apparaat, elke gebruiker en elke toepassing voortdurend moet worden bewezen en gevalideerd.
#8 Geïsoleerde netwerken zijn niet automatisch veilig
Hoewel air gapped netwerken sterke security kunnen bieden als ze correct worden onderhouden, zijn succesvolle voorbeelden uiterst zeldzaam, omdat elk knooppunt volledig moet worden geïsoleerd van risico’s van buitenaf. Als security kritiek genoeg is om middelen op een geïsoleerd netwerk te plaatsen, moet je investeren in mitigaties om potentiële connectiviteit aan te pakken via methoden als USB-media (bijvoorbeeld vereist voor patches), bruggen naar het interne netwerk en externe apparaten (bijvoorbeeld laptops van leveranciers op een productielijn), en bedreigingen van binnenuit die alle technische controles kunnen omzeilen.
#9 Encryptie alleen is geen oplossing voor databescherming
Encryptie beschermt tegen out-of-band aanvallen (op netwerkpakketten, bestanden, opslag, enz.), maar gegevens zijn slechts zo veilig als de decryptiesleutel (sleutelsterkte + bescherming tegen diefstal/kopiëren) en andere geautoriseerde toegangsmiddelen.
#10 Technologie lost geen mensen- en procesproblemen op
Hoewel machine learning, kunstmatige intelligentie en andere technologieën geweldige sprongen voorwaarts betekenen op het gebied van beveiliging (mits correct toegepast), is cyberbeveiliging een menselijke uitdaging die nooit alleen door technologie zal worden opgelost.
Heb je een vraag?
Onze specialisten hebben een antwoord