Security
Bekijk alle channels
  • Home
  • Security
  • Vijf nieuwe stelregels tegen cyberdreigingen

Edzo Botjes

Xebia
34,5K

Channel

Security

Best practice -

Vijf nieuwe stelregels tegen cyberdreigingen

Privacy, persoonsgegevens, datalekken: het zijn zaken die steeds belangrijker worden. Het antwoord is vaak ‘meer beveiliging’, maar laten we eens pas op de plaats maken en de zaken opnieuw bekijken. Daarom: meer relativering en realiteitszin gevat in vijf nieuwe stelregels.

Sinds de start van het digitale tijdperk – maar eigenlijk ook al in de analoge wereld – zijn we altijd bezig met repressie als het om ‘beveiliging’ gaat. Zwaardere sloten. Betere encryptie. Alle poorten potdicht. En dan maar hopen dat het goed gaat. Dat alles veilig is. We beperken de risico’s een beetje, maar beperken vooral onszelf meer en meer. En telkens blijkt dat toch weer niet afdoende, waardoor weer een nog zwaardere maatregel moet volgen. Het wordt tijd dat we anders tegen security gaan aankijken.

1. Accepteer dat mensen onvoorspelbaar zijn

Zelfs in het geval van de meest cyberbewuste mensen moeten we gaan accepteren dat mensen feilbaar zijn. En onvoorspelbaar. Dat ze dingen doen waar je met de beste wil van de wereld niet van tevoren over na hebt kunnen denken. En we moeten accepteren dat dit automatisch tot problemen leidt. Acceptatie is de eerste stap in ieder verbeterproces.

2. Coach voor verbetering, niet voor correctie

De manier waarop we mensen feedback geven moet beter. Ze niet corrigeren, maar helpen om zichzelf te verbeteren, zodat ze iets minder onvoorspelbaar worden. Dat sorteert veel meer effect dan weer een zwaarder slot op de poort. Want als het slot niet gesloten wordt heb je er nog niks aan. Zet mensen op de eerste plaats. Bovendien heeft dat als voordeel dat je andere, betere mensen aantrekt.

3. Voorkom paniek bij uitlekken: maak gegevens niet belangrijker dan ze zijn

Nu schreef ik in regel 1 “dat dat automatisch tot problemen leidt”. Maar dat is eigenlijk ook een verkeerde instelling. Want ook daar moeten we ons anders gaan opstellen. Als je iets geen bedreiging noemt, dan is het ook geen bedreiging. Want hoe erg is het nou echt als er bepaalde gegevens van je uitlekken? Het uitlekken van je pincode is alleen een probleem als je ook je bijbehorende bankpas kwijt bent. En een belangrijk wachtwoord? Ook alleen maar als dit in combinatie met het uitlekken van andere gegevens gebeurt, bijvoorbeeld je gebruikersnaam. Want met alleen een wachtwoord kun je eigenlijk niks. En als dat wachtwoord verder nergens anders gebruikt wordt dan is de schade ook nog wel te overzien. Alleen het uitlekken van de combinatie van verschillende gegevens is riskant, bijvoorbeeld voor identiteitsfraude. Dus laten we vooral niet elk datalek als het einde van de wereld bestempelen.

4. Stop met opslaan van onnodige data

Ook hierin zit een enorm verbeterpunt. Want waarom slaan we eigenlijk al die data op? Waarom moet die webwinkel weten wanneer ik jarig ben? Om mij via een marketingactie te kunnen benaderen op mijn verjaardag. Maar negen van de tien keer zit ik daar helemaal niet op te wachten en heb ik me daar allang voor uitgeschreven. Toch blijft deze data hangen in systemen. We zouden ons in heel veel gevallen moeten beperken tot de opslag van alleen de broodnodige data voor een bepaalde dienst, en veel meer gegevens optioneel moeten maken zodat de gebruiker zelf bepaalt of dat wel of niet gedeeld wordt, of gegevens zelfs überhaupt niet uitvragen.

5. Niet alle data zijn ‘het nieuwe goud’

Daarmee tackelen we meteen nog een heel ander probleem. De manier waarop we vanuit de maatschappij data opslaan verandert. Vroeger volstond een ‘m/v’-vakje in een formulier, zodat we een geautomatiseerde mail met ‘geachte heer’ of ‘geachte mevrouw’ konden versturen. Organisaties zijn deze data belangrijk gaan vinden en voeren krampachtig trucjes uit om datasets bij elkaar te verzamelen. Ja, het klopt, data zijn het nieuwe goud, maar zelfs de beste goudzoeker zeeft 99 procent van zijn tijd zand en modder in zijn zeef. Mensen willen tegenwoordig de mogelijkheid om op andere manieren – of juist helemaal niet – vastgelegd te worden. Je kunt dus beter vragen hoe iemand aangesproken wil worden, de gebruiker kiest dan zelf hoe gedetailleerd de informatie is die wordt opgeslagen. Hoe minder data, hoe beter, dan kan het ook niet uitlekken.

Als een organisatie deze stelregels hanteert, dan kan die op een andere manier met gegevensbeveiliging omgaan. Het is dan mogelijk om security te benaderen vanuit de mensen: dus vanuit hun gedrag, in combinatie met de aard van de te beveiligen data. Vervolgens kun je dreiginsmodellen maken die mogelijke problemen identificeren voordat ze überhaupt problemen worden. Security is dan niet zomaar het maken van software. Het is een klein radartje in een veel groter proces, waarvan IT slechts een onderdeel is.

Over de auteur: Edzo Botjes is Antifragility architect / Variety engineer bij Xebia.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.

Gerelateerd event

Emerce E-commerce Live!

Innovation in e-commerce | Emerce E-commerce Live! 2024

Claim je early bird ticket
  • Locatie: Beurs van Berlage, Amsterdam
  • Datum: 5 juni 2024
Claim je early bird ticket

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond

Gerelateerde items
Security

Cyber-jaaroverzicht 2021 en een vooruitblik op 2022

2021 was wat cybercriminaliteit betreft een bewogen jaar: hacks en gijzelingen maar ook stappen in de preventie. 2022 belooft meer van hetzelfde.
Security

Voorspelling: 2022 wordt een jaar met veel security-hoofdpijn

Het nieuwe jaar is net begonnen en met de kennis van nu kunnen we inschatten hoe 2022 er mogelijk uit gaat zien. Hier mijn voorspellingen wat cybersecurity betreft.
Research and development

Investeer in digitale veiligheid van applicaties en voorkom herstelwerk achteraf

Een Low-Code Development Platform kan veel zorgen uit handen nemen bij het veilig houden van applicaties. Het helpt je zicht te houden op het totaal.