White Best practices voor databescherming en bedrijfscontinuïteit in een mobiele wereld Gids voor kleine en middelgrote organisaties Juni 2015

White paper Best practices voor databescherming en bedrijfscontinuïteit in een mobiele wereld Gids voor kleine en middelgrote organisaties Door Colm Keegan, senior analist, Dan Conde, analist, en Leah Matuson, onderzoeksanalist

Juni 2015

Deze ESG whitepaper is gemaakt in opdracht van Hewlett-Packard en wordt gedistribueerd onder licentie van ESG. © 2015 The Enterprise Strategy Group, Inc. Alle rechten voorbehouden

Whitepaper: Best practices voor databescherming en bedrijfscontinuïteit in een mobiele wereld

2

Inhoud Inleiding: de waarde van bescherming van IT en bedrijfsassets voor het MKB ........................................... 3

MKB-bedrijven kampen met een kritisch tekort aan IT-vaardigheden .................................................................... 4 Trends als werkplekmobiliteit en bring-your-own-device (BYOD) brengen kansen en risico's met zich mee ............ 5 Oplossingen voor veilige datamobiliteit en remote databescherming .................................................................... 6

Het veilige netwerk: een krachtig fundament voor bedrijfsbescherming ................................................... 7

De noodzaak om het bedrijf op meerdere niveaus te beveiligen ............................................................................ 7 Integratie van beveiligings- en beheertools om zichtbaarheid en bescherming te waarborgen ............................ 8 Conformeren aan industriestandaarden en -processen is essentieel ...................................................................... 9 De noodzaak van real-time bescherming tegen bedreigingen............................................................................... 10

Extra IT-factoren rond bedrijfsbeveiliging .................................................................................................. 11 Continue beschikbaarheid is een essentieel concurrentiemiddel ......................................................................... 11 On-demand schaalbare IT-infrastructuur ............................................................................................................... 12 Uniforme, gecentraliseerde databescherming is essentieel .................................................................................. 12 End-to-end professionele ondersteuningsservices ................................................................................................ 13

Beter inzicht ................................................................................................................................................ 14

Alle handelsmerken en merknamen zijn het eigendom van de betreffende ondernemingen. De informatie in deze whitepaper is afkomstig uit bronnen die The Enterprise Strategy Group (ESG) als betrouwbaar beschouwt, maar ESG staat niet in voor de juistheid ervan. De in deze publicatie vervatte meningen van ESG kunnen aan verandering onderhevig zijn. Deze publicatie valt onder het auteursrecht van The Enterprise Strategy Group, Inc. Elke vorm van reproductie of verspreiding van deze publicatie, geheel of gedeeltelijk, op papier, elektronisch of anderszins, naar personen die niet gerechtigd zijn deze informatie te ontvangen is, zonder uitdrukkelijke toestemming van de The Enterprise Strategy Group, Inc., strijdig met de Amerikaanse wet op het auteursrecht en leidt tot civielrechtelijke en indien van toepassing tot strafrechtelijke vervolging. Indien u vragen heeft, kunt u contact opnemen met ESG Client Relations op 508.482.0188.

© 2015 The Enterprise Strategy Group, Inc. Alle rechten voorbehouden.


3

Inleiding: de waarde van bescherming van IT en bedrijfsassets voor het MKB Kleine en middelgrote bedrijven (MKB-bedrijven) moeten heel wat doen om gezond, vitaal en succesvol te zijn en te blijven. Tussen een aantrekkende economie, toenemende concurrentiedruk, een voortdurend veranderende marktdynamiek en continue bedreigingen van de informatiebeveiliging moeten MKB-bedrijven een betrouwbare en effectieve oplossing vinden om hun bedrijfsgegevens te beschermen. MKB-bedrijven kunnen in principe flexibeler en sneller op de behoeften van klanten en op nieuwe kansen inspelen dan grote organisaties. Zij hebben echter minder geld om te investeren in IT-infrastructuur en het personeel dat hun onderneming 24x7 in bedrijf moet houden. Daarbij verwachten klanten en partners dat MKB-bedrijven hun overal en met elk apparaat snel toegang bieden tot bedrijfsinformatie en -diensten en zoeken werknemers (met of zonder toestemming van de IT-afdeling) naar manieren om hun productiviteit te verhogen. Veel MKB-bedrijven gaan van start met initiatieven als applicatiemobiliteit ter ondersteuning van hun klanten, partners, werknemers en eindgebruikers. Dit brengt echter nieuwe uitdagingen met zich mee, zoals de vraag hoe zij hun bedrijfsdata veilig kunnen delen zonder dat beveiligingslekken ontstaan. En de vraag hoe zij hun data op de vele, geografisch verspreide applicatieservers en eindgebruikersdevices kunnen beschermen. Om aan nieuwe bedrijfseisen te voldoen, concurrerend te blijven en nieuwe marktkansen te benutten hebben MKB-bedrijven behoefte aan een flexibele applicatie-infrastructuur die kan groeien zonder veel complexer of duurder te worden. Zoals reeds gezegd is het belangrijkste probleem dat de meeste MKB-bedrijven niet al hun tijd en resources kunnen inzetten om aan alle IT-vereisten te voldoen en tegelijkertijd voldoende aandacht besteden aan hun kerntaken. Om de problemen en risico's van het digitale tijdperk te overwinnen en het succes van hun bedrijf te waarborgen, moeten MKB-bedrijven samenwerken met professionele serviceorganisaties die over de juiste expertise beschikken om te zorgen dat zij de volgende zes cruciale IT-doelen bereiken: •

Datamobiliteit. Nu BYOD (bring-your-own-device) niet meer weg te denken is, moeten bedrijven policy's creëren en handhaven om de productiviteit van werknemers te verbeteren en tegelijkertijd gevoelige bedrijfsinformatie te beschermen.

•

Krachtige informatiebeveiligingsstructuur (tegen externe en interne bedreigingen). Elk bedrijf moet zijn gevoelige en bedrijfskritische data goed beschermen. Of de bedreiging nu van buiten de firewall of uit het bedrijf zelf komt, wanneer de bedrijfsdata gevaar lopen bestaat het risico op inkomstenderving, verlies van het vertrouwen van klanten en reputatieschade bij klanten en het publiek.

•

24x7 applicatiebeschikbaarheid. MKB-bedrijven moeten zorgen dat hun bedrijfsapplicaties 24x7 beschikbaar en toegankelijk zijn. Nu overal en op elk moment zaken worden gedaan, dienen organisaties hun werknemers, klanten en potentiële klanten continu betrouwbare, veilige toegang tot hun applicaties te bieden.

•

Schaalbare infrastructuur. Om uw organisatie te laten groeien moet u gelijke tred houden met de veranderende bedrijfsbehoeften. Uw organisatie heeft een schaalbare infrastructuur nodig om de CapEx- en OpEx-kosten te beperken, minder tijd en mankracht in te zetten en de eindgebruiker een consistente, productieve ervaring te bieden.

•

Complete end-to-end databescherming. Informatie moet overal actief worden beschermd: in gecentraliseerde datacenters, in andere kantoren en op de devices van eindgebruikers. Om het operationele beheer te vereenvoudigen is een gemeenschappelijke back-up- en recoverystructuur nodig.

•

End-to-end professionele services. MKB-organisaties moeten samenwerken met partners die advies, training en dagelijks onderhoud kunnen bieden. Daarnaast kunnen zij ook financiële diensten leveren, waardoor een MKB-bedrijf in staat is de apparatuur aan te schaffen die noodzakelijk is voor bedrijfsgroei.



4

MKB-bedrijven kampen met een kritisch tekort aan IT-vaardigheden De meeste organisaties beschikken niet over de noodzakelijke IT-kennis om in essentiële behoeften van hun bedrijf te voorzien. In een onderzoek van ESG onder IT-professionals was het meest gegeven antwoord op de vraag naar het nijpendste IT-tekort in hun organisatie – voor het vierde jaar op rij – informatiebeveiliging (zie afb. 1). 1 MKB-bedrijven met onvoldoende kennis van beveiliging zijn kwetsbaar voor hackers en diefstal van data (zowel intern als extern), waardoor de beschikbaarheid van bedrijfsapplicaties en informatie in gevaar komt, of erger. Sommige organisaties hebben ook niet de juiste kennis van het ontwerpen van een IT-architectuur, het beheer van mobiele devices en de implementatie van mobiele applicaties. Deze vaardigheden worden steeds belangrijker nu bedrijven manieren zoeken om hun eindgebruikers en klanten een betere ervaring te bieden en nieuwe marktkansen te benutten. MKB-bedrijven moeten een holistische benadering kiezen wanneer zij proberen de noodzakelijke expertise in te schakelen om groei te stimuleren en hun IT-omgeving te beveiligen. Om dat te bereiken is een juiste combinatie van intelligente hardware- en softwaretechnologie nodig. Het is ook cruciaal om samen te werken met partners die de professionele services en expertise kunnen bieden om een hoog presterende, hoog beschikbare, schaalbare en veilige infrastructuur met end-to-end databescherming te creëren. Tenslotte kunnen MKB-bedrijven via door partners geleverde professionele trainings- en certificeringsprogramma's de interne expertise opbouwen die nodig is om autonoom te opereren. Afb. 1. Technologiegebieden met een problematisch gebrek aan kennis en vaardigheden Op welke van de volgende gebieden heeft uw IT-organisatie momenteel een problematisch tekort aan kennis? (Percentage van de respondenten, N=591, meerdere antwoorden toegestaan) 28%

Informatiebeveiliging 23%

IT-architectuur/planning Beheer van mobiele devices Ontwikkeling van mobiele applicaties Servervirtualisatie/private cloudinfrastructuur

19%

Applicatieontwikkeling

19%

22% 21%

18%

Business Intelligence/data-analyse Databescherming (back-up en recovery)

17% 17%

Netwerkbeheer Serverbeheer Databasebeheer Helpdesk/servicedesk Compliancebeheer, -bewaking en -rapportage Storagebeheer Social enterprise/samenwerkingstechnologie

16% 16% 16% 15% 13% 13%

Socialmedia-/marketingtechnologie Wij hebben geen tekort aan IT-kennis

13%

3

13% 0%

5%

10%

15%

20%

25%

30%

Bron: Enterprise Strategy Group, 2015.

1

Bron: Onderzoeksrapport van ESG 2015 IT Spending Intentions Survey, februari 2015.



5

Trends als werkplekmobiliteit en bring-your-own-device (BYOD) brengen kansen en risico's met zich mee Werkplekmobiliteit spoedt zich in hoog tempo over de technologiesnelweg. Dankzij de grote variëteit aan mobiele devices (laptops, thin clients, tablets en smartphones) en tal van tools voor samenwerking en het delen van bestanden kunnen mensen altijd en overal op ieder device zakendoen. Om concurrerend te blijven moeten MKB-bedrijven hun werknemers, partners en klanten de mogelijkheid bieden om veilig de juiste data te bereiken. Deze trend biedt kansen om de productiviteit van werknemers en de ervaring van klanten te verbeteren, maar brengt ook het risico op lacunes in de databeveiliging en bedreigingen van de informatiebescherming met zich mee. Databescherming buiten (en binnen) de firewall Doordat regelmatig verhalen over geraffineerde dataschendingen het nieuws halen, weten de meeste organisaties maar al te goed wat er kan gebeuren als hun data niet goed beschermd zijn. Kritische en gevoelige informatie komt dan op straat te liggen, met reputatieschade, verlies van het vertrouwen van klanten en inkomstenderving als resultaat. Dergelijke inbreuken en de gevolgen daarvan komen niet alleen bij mondiale ondernemingen voor. MKBbedrijven moeten hun data en hun netwerken net zo goed beschermen. MKB-bedrijven moeten zichzelf niet alleen beschermen tegen bedreigingen van buiten hun firewall, maar ook tegen gevaren vanuit de organisatie. Werknemers met speciale rechten hebben toegang tot gevoelige, bedrijfskritische informatie, financiële dossiers en intellectueel eigendom. Gebruikers zonder die rechten kunnen proberen met de inloggegevens van anderen toegang te verkrijgen tot gevoelige informatie van de organisatie. Daarom moeten de bescherming van het bedrijf en de beveiliging van data voor elk bedrijf de hoogste prioriteit hebben. Het feit dat werknemers soms bestanden synchroniseren via de cloud in plaats van met door het bedrijf verstrekte programma's en applicaties delen om gevoelige of bedrijfskritische informatie op te slaan en op te halen, maakt het er voor IT niet gemakkelijker op. Deze gebruikers brengen bedrijfsdata in gevaar en zetten de deur wagenwijd open voor kwaadaardige aanvallen. De trend om altijd, overal en met ieder apparaat te werken en zaken te doen dwingt MKB-bedrijven om policy's te creëren en toe te passen voor het beschermen van bedrijfskritische en onmisbare data. Dit alles naast de dagelijkse bedrijfsvoering, het reduceren van de kosten en het winnen en vasthouden van klanten. Dat lijkt een onmogelijke opgave, maar hoeft het niet te zijn. Mobiliteit en informatiebeveiliging MKB-bedrijven zoeken manieren om de gebruikersproductiviteit te verhogen en het voor partners en klanten gemakkelijker te maken zaken met hen te doen. MKB-bedrijven moeten applicatiemobiliteit omarmen om hun concurrentiepositie te verbeteren en nieuwe inkomstenbronnen aan te boren. De uitdaging voor IT is dat naarmate meer apparaten verbinding maken met het netwerk van de organisatie ook het risico op niet-geautoriseerde toegang tot gevoelige bedrijfsdata toeneemt. Gevoelige data zijn bijvoorbeeld creditcardnummers van klanten, bankgegevens, salarisadministratie en intellectueel eigendom. MKB-bedrijven moeten bovendien bedacht zijn op het feit dat diefstal van data net zo goed intern kan plaatsvinden als extern door een hacker die zich van buiten de firewall toegang verschaft tot het netwerk van de organisatie. Volgens recent onderzoek van ESG gaf 29% van de ondervraagde IT-professionals aan dat in hun organisatie meerdere datainbreuken waren voorgevallen die veroorzaakt waren door een onveilig mobiel device, terwijl nog eens 18% dit tenminste eenmaal had meegemaakt (zie afb. 2). 2 MKB-bedrijven hebben oplossingen met meerdere beveiligingslagen nodig om hun bedrijfsdata goed te beschermen. Dit omvat:

2

Bron: Onderzoeksrapport van ESG, The State of Mobile Computing Security, februari 2014.



6

1. Netwerkbeveiliging: het gebruik van intelligente netwerkapparatuur die in real-time als eerste verdedigingslinie fungeert. Netwerkapparaten zetten alle gebruikers eerst in quarantaine totdat hun autorisatie geverifieerd is en verlenen vervolgens toegang tot bepaalde data. 2. Software-Defined Networking (SDN): automatische end-to-end beveiliging van netwerkswitches, routers en draadloze access points als bescherming tegen botnets, malware en spyware. SDN kan het netwerkverkeer prioriteren, bijvoorbeeld bedrijfskritisch boven social media, om te zorgen dat aan kritische data de meeste netwerkresources worden toegewezen. SDN kan individuele devices isoleren en inspecteren om te waarborgen dat alleen geautoriseerde gebruikers toegang krijgen tot vertrouwelijke applicaties en data. 3. Beveiligingsanalyse: niet-intrusieve virtuele netwerkprobes kunnen data analyseren wanneer deze verstuurd worden. Deze probes vergelijken verkeerspatronen met bekende, normale activiteit en markeren/isoleren netwerkverkeer als er sprake is van abnormale activiteit, bijvoorbeeld DDoS-aanvallen (distributed denial-of-service). 4. Multi-factor authenticatie (MFA): applicatiesoftware die detecteert of een aanmeldingsverzoek van een gebruiker afkomstig is van een onbekend device of een onbekende locatie (buitenland). Door de gebruiker te vragen een extra toegangscode in te voeren die wordt verstuurd naar het bekende e-mailaccount van de gebruiker, vermindert MFA datadiefstal. Uiteindelijk gaat het erom te weten wie er contact maakt en welke rechten elke gebruiker heeft voordat deze toegang krijgt tot gevoelige bedrijfsapplicaties. 'Vertrouwen maar controleren' is de vereiste strategie, terwijl ook de juiste beveiligingsinfrastructuur aanwezig moet zijn. Afb. 2. Zijn bedrijven het slachtoffer geworden van inbreuken op de beveiliging door onveilige mobiele devices? Heeft er, voor zover u weet, in het afgelopen jaar in uw organisatie een inbreuk op de beveiliging plaatsgevonden die veroorzaakt werd door een onveilig mobiel device? (Percentage van de respondenten, N=242) Weet het niet: 0,03

Ja, verschillende keren: 0,29

Nee: 0,5 Ja, één keer: 0,18


Oplossingen voor veilige datamobiliteit en remote databescherming MKB-bedrijven moeten vertrouwde oplossingen gebruiken die veilige datamobiliteit en remote databescherming ondersteunen, de operationele complexiteit en kosten reduceren en compliance met weten regelgeving waarborgen. Deze oplossingen dienen een proactieve bescherming te bieden bij het beveiligen van data, applicaties en systemen en moeten het volgende omvatten:



7

•

Netwerkswitches met ingebouwde beveiligingsintelligentie. Beveiligingskenmerken zoals VLAN's scheiden het verkeer op een netwerk en ACL's (toegangslijsten) verlenen de gebruikers toegang. Deze oplossingen maken het mogelijk apparaten te scannen en te identificeren wanneer deze verbinding maken met het netwerk en dan toegangsrechten te verlenen op grond van de gebruiker (bv. gast/bezoekersaccount of werknemer).

•

Automatische updates van kwetsbaarheidsprofielen en patches. Zodra nieuwe virussen gevonden worden, moeten organisaties hun virusprofieldatabases onmiddellijk bijwerken om zo kort mogelijk risico te lopen.

•

Tools voor wissen op afstand. Omdat data zich in een organisatie overal en op elk device kunnen bevinden, moeten MKB-bedrijven een apparaat, ongeacht waar het zich bevindt, op afstand kunnen wissen. Deze functionaliteit beschermt de data op apparaten die verloren of gestolen zijn.

•

Veilige applicatie-authenticatie. MKB-bedrijven willen hun werknemers, partners en klanten graag op afstand toegang geven tot hun netwerk, maar dat schept nieuwe risico's. Mobiele access points kunnen worden gekraakt, dus moet IT een veilige methode voor applicatie-authenticatie hanteren. De BYODtrend maakt het voor IT nog lastiger om bedrijfsdata te beveiligen en daarom is multifactor-verificatie nodig als extra beschermingslaag.

•

Professionele supportservices. MKB-bedrijven hebben behoefte aan professionele servicepartners die hen – van het eerste ontwerp, de configuratie en installatie tot dagelijkse support – helpen een betere beveiliging en automatisering te implementeren en continue bescherming van het bedrijf te waarborgen.

Het veilige netwerk: een krachtig fundament voor bedrijfsbescherming De noodzaak om het bedrijf op meerdere niveaus te beveiligen Beheer en beveiliging van het netwerk zijn kritische elementen van de IT-infrastructuur in iedere organisatie. MKBbedrijven hebben IT-generalisten nodig die veel rollen kunnen vervullen, bijvoorbeeld die van netwerkbeheerder, beheerder van draadloze apparatuur en beveiligingsbeheerder. De behoefte aan eenvoudig IT-beheer is extra belangrijk omdat (zoals te zien in afb. 1) volgens onderzoek van ESG veel organisaties onvoldoende kennis bezitten over informatiebeveiliging en het beheer van mobiele devices. Door de grote diversiteit aan BYOD-apparaten en de brede adoptie van Wi-Fi voldoen de traditionele beveiligingssystemen, die ontworpen waren voor homogene omgevingen, niet langer. Een aanpak op meer niveaus is nodig om het bedrijf te beschermen, ongeacht de manier waarop een device of gebruiker verbinding maakt met interne resources en bedrijfsdata. Met alleen een krachtige beveiliging aan de rand is het bedrijf kwetsbaar voor bedreigingen als er meer ingangen zijn. Een niet goed beveiligd mobiel BYOD-device kan een potentiële bedreiging introduceren via een Wi-Fi access point. Meer specifiek moeten MKB-bedrijven als zij netwerkbeveiliging implementeren rekening houden met de volgende factoren: •

Apparatuur van eindgebruikers. IT moet controle houden over de toelating van eindgebruikersapparatuur op het bedrijfsnetwerk.

•

Simpele toegang. Als het device en de gebruiker eenmaal toegelaten zijn op het netwerk, moet de toegang verder eenvoudig zijn. Extra authenticatie bij elke stap is vervelend en belemmert de productiviteit. Als een device eenmaal door het netwerk geïdentificeerd is, moet het niet steeds opnieuw zijn identiteit hoeven te bewijzen.

•

Identificatie van eindgebruikers. Gebruikers moeten geïdentificeerd zijn wanneer zij door het netwerk navigeren. Toegang tot resources in een netwerk heeft een bepaald doel en moet daarom gecontroleerd worden.

•

Identificatie van bedreigingen. Onbekende verzoeken om toegang tot belangrijke resources moeten worden geïdentificeerd en in quarantaine worden geplaatst.



8

De noodzaak om de infrastructuur, devices en informatie te beschermen – ongeacht of het gaat om mobiele werknemers, andere kantoorvestigingen of het bedrijfsnetwerk zelf – is geïllustreerd in afb. 3. Afb. 3. Beveiliging moet op alle netwerkniveaus worden toegepast

Bron: Hewlett-Packard, 2015.

MKB-bedrijven moeten met nog meer zaken rekening houden wanneer zij een beveiligingsstrategie met meerdere lagen ontwikkelen. Ten eerste is er training van medewerkers. Medewerkers moeten getraind worden om essentiële best practices voor beveiliging toe te passen: bijvoorbeeld hun laptops met een wachtwoord beveiligen, sterke wachtwoorden gebruiken voor bedrijfssystemen (en die regelmatig wijzigen) en geen programma's van onveilige websites downloaden. Dat is een belangrijke eerste verdedigingslinie om het bedrijf te beschermen. Ten tweede hebben MKB-bedrijven niet de luxe van een groot team specialisten voor elk aspect van de netwerkbeveiliging. Professionele serviceverleners kunnen op vele gebieden helpen, variërend van netwerkbeveiligingsassessments tot infrastructuurimplementatie en andere dagelijkse operationele taken. Door hulp van externe partijen wordt een geïntegreerde oplossing met meerdere lagen gecreëerd en stijgt de effectiviteit van de eigen werknemers.

Integratie van beveiligings- en beheertools om zichtbaarheid en bescherming te waarborgen Nu bedrijven steeds meer devices dagelijks toestaan verbinding te maken met hun netwerk, is het voor IT lastig om die apparaten individueel te beheren. Daarom moeten zij beschikken over één weergave voor het netwerkbeheer. Omdat elk systeem zo sterk is als zijn zwakste schakel, is een overzicht van het netwerk noodzakelijk voor alomvattende beveiliging. De hardware en de beheersoftware moeten geïntegreerd zijn om deze overzichtsweergave mogelijk te maken. Het gebruik van een heterogene set beheertools is niet praktisch en vertraagt de responsiviteit doordat routinetaken steeds herhaald moeten worden. Zonder integratie wordt netwerkbeheer een knelpunt dat de implementatie van nieuwe services en applicaties hindert en het risico op handmatige fouten vergroot omdat incidenten en data uit verschillende tools niet gecoördineerd worden. Uit onderzoek van ESG blijkt dat een geïntegreerde netwerkbeveiligingsarchitectuur een van de belangrijkste factoren in de netwerkbeveiligingsstrategie van een organisatie is (zie afb. 4) 3.

3

Bron: Onderzoeksrapport van ESG, Network Security Trends in the Era of Cloud and Mobile Computing, augustus 2014.



9

Ingebouwde beveiligingsfunctionaliteit in netwerkapparaten levert organisaties veel voordelen op. Voorbeelden daarvan zijn: VLAN's om netwerksegmenten te scheiden, ACL's voor controle op het netwerkverkeer en IEEE 802.1x voor netwerkauthenticatie. Een organisatie die bestaande apparatuur heeft moet deze functionaliteit gebruiken. Organisaties die nieuwe apparatuur evalueren moeten apparaten kiezen die tenminste VLAN's, ACL's en IEEE802.1x bieden. Zoals eerder opgemerkt zijn bescherming tegen DDoS (distributed denial-of-service) aanvallen en toegangscontrole op meer niveaus belangrijk als extra beveiliging. Voor IT-generalisten is het aantrekkelijk om de netwerkinfrastructuur centraal te beheren vanaf een geïntegreerde managementconsole. IT kan eindgebruikers de juiste zelfbeheertools bieden en hoeft daarom minder routinematige beveiligingstaken uit te voeren. Daarmee kunnen eindgebruikers niet alleen zelf hun BYOD endpointdevices bij het netwerk registreren, maar kunnen nieuwe gebruikers ook sneller worden toegelaten. Afb. 4. Factoren die de meeste invloed hebben op de netwerkbeveiligingsstrategie van een organisatie Welke van de volgende factoren heeft de meeste invloed op de ontwikkeling van de netwerkbeveiligingsstrategie in uw organisatie? (Percentage respondenten, N=397, vijf antwoorden toegestaan} Voorkomen/detecteren van malwarebedreigingen

52%

Noodzaak om een geïntegreerde netwerkbeveiligingsarchitectuur te bouwen met centrale controle en gedistribueerde policyhandhaving

48%

Ondersteuning voor mobiele gebruikers

46%

Behoefte aan flexibelere netwerkbeveiliging ter ondersteuning van dynamische bedrijfsprocessen

43%

Ondersteuning voor cloud computing-initiatieven

43%

Voldoen aan regelgeving

43%

Meer inzicht verkrijgen in het netwerkgedrag om incidenten te detecteren en op te lossen

37%

Noodzaak om de netwerkbeveiliging aan te passen aan toenemend netwerkverkeer

36%

Netwerktoegang verlenen aan niet-werknemers

24% 0%

10%

20%

30%

40%

50%

60%


Conformeren aan industriestandaarden en -processen is essentieel De configuratie van netwerkapparaten varieert: vast of draadloos (Wi-Fi), fysiek of virtueel (VLAN of SDNgebaseerd). Hoewel alle kenmerken van het netwerk afzonderlijk moeten worden beheerd, is het van groot belang om een uniform overzicht te hebben. Organisaties kunnen niet langer verschil maken tussen door het bedrijf verstrekte IT-apparatuur zoals bedrijfslaptops en de BYOD-devices van gebruikers, zoals tablets en smartphones. IT moet alle soorten devices consistent behandelen.



10

Beveiligingstools moeten gebruiksvriendelijk zijn voor de eindgebruikers. Wanneer nieuwe werknemers worden toegelaten of personeel van een externe serviceverlener betrokken wordt bij een project, is het niet efficiënt om die eerst te trainen in nieuwe interfaces of complexe beveiligingsprocessen. Organisaties die bekende beheerprocessen toepassen, werken efficiënter. Het gebruik van algemeen bekende standaarden in technologie en processen zorgt voor complete dekking, waarbij geen enkel deel van de infrastructuur over het hoofd wordt gezien.

De noodzaak van real-time bescherming tegen bedreigingen Beveiligingsproblemen in het netwerk moeten in real-time proactief worden opgelost. Indringers worden steeds geraffineerder en veranderen hun methoden voortdurend. Daarom bieden detectiesystemen op basis van bekende bedreigingen alleen niet langer voldoende bescherming voor het netwerk. Malwaredetectie moet ook plaatsvinden op grond van real-time kennis van de nieuwste bedreigingen. Tal van malwareactiviteiten zoals dataexfiltratie, losgeldgijzelingen of klikfraude moeten worden voorkomen. IT-beheerders in het MKB kunnen niet al hun tijd besteden aan het bijhouden van de nieuwste laagdrempelige beveiligingsproblemen. Met een geautomatiseerde infrastructuur die de beveiliging van het netwerk en applicaties handhaaft, hebben zij tijd voor belangrijker taken. Hoewel het aantal bedreigingen ontelbaar is en er voortdurend nieuwe bijkomen, kan een bedrijf een effectieve, uitgebreide verdediging creëren die risico's beperkt zonder de bedrijfsactiviteit te belemmeren. Kies daartoe oplossingen met een meerlaags end-to-end benadering van beveiligingsbeheer en werk samen met serviceorganisaties die deze technieken kunnen aanpassen aan de unieke behoeften van uw bedrijf. Meer dan beveiliging Beveiliging is slechts het eerste stukje van de grote IT-infrastructuurpuzzel. Om hun onderneming operationeel te houden, moeten MKB-bedrijven hun data overal beschermen waar deze zich bevinden. IT moet in staat zijn data snel on-demand terug te zetten en applicatiehardware snel, gemakkelijk en voordelig uit breiden om aan nieuwe bedrijfsbehoeften te voldoen. Hoe belangrijk een veilig netwerk ook is, het is slechts één aspect van een uitgebreide IT-strategie om een onderneming te beschermen en in bedrijf te houden (zie afb. 5). Afb. 5. De pijlers van bedrijfsbeveiliging in het MKB

Werknemerstraining en best practices (beveiliging, compliance, mobiliteit)

Veilig netwerk

(VLAN's, identiteitsbeheer, meervoudige authenticatie, enz.)

Continue beschikbaarheid

(redundante infrastructuur, bedrijfscontinuïteit/ disaster recovery plan)

Schaalbare infrastructuur

(netwerk, server, storage)

Uitgebreide databescherming (alle applicaties, apparaten, locaties)

Bron: Enterprise Strategy Group, 2015. © 2015 The Enterprise Strategy Group, Inc. Alle rechten voorbehouden.


11

Extra IT-factoren rond bedrijfsbeveiliging Continue beschikbaarheid is een essentieel concurrentiemiddel In een zeer dynamische bedrijfsomgeving is downtime geen optie. Voor een succesvolle bedrijfsvoering moeten de bedrijfsapplicaties van een organisatie continu 24x7 beschikbaar zijn. Kritische bedrijfsservices moeten robuust zijn en bestand zijn tegen allerlei storingen. Onderbrekingen in de applicatiebeschikbaarheid of, erger nog, verlies van kritische informatie kunnen resulteren in productiviteitsverlies, verlies van het vertrouwen van klanten en onherstelbare reputatieschade. MKB-bedrijven moeten eerder proactief dan reactief te werk gaan om het risico van applicatieservicedowntime te beperken. Een goede planning en voorbereiding op 'wat als' scenario's zijn essentieel. In de praktijk zijn veel rampen het gevolg van alledaagse problemen zoals een storing in de elektriciteitsvoorziening, het per ongeluk wissen van data of een corrupte database en niet van natuurrampen zoals aardbevingen of orkanen. De IT-infrastructuur van een organisatie moet ingebouwde databescherming bieden die zorgt voor een snel herstel van informatie in geval van dataverlies door een menselijke fout, een hardwarestoring of een kwaadaardige aanval. Volgens een recent onderzoek van ESG is voor de ondervraagden het verbeteren van databack-up en recovery een van de topprioriteiten van IT. Alleen informatiebeveiliging scoort hoger (zie afb. 6). 4 Afb. 6. Top 10 van belangrijkste IT-prioriteiten voor 2015 Top 10 van IT-prioriteiten voor de komende 12 maanden. (Percentage respondenten, N=601, tien antwoorden toegestaan) Informatie beter beveiligen

34%

Betere databack-up en -recovery

26%

Omgaan met datagroei

26%

Gebruik van servervirtualisatie uitbreiden

25%

Desktopvirtualisatie

25%

Cloudinfrastructuurservices gebruiken

25%

Voldoen aan weten regelgeving

24%

Programma's voor bedrijfscontinuïteit/disasterrecovery

23%

Private cloudinfrastructuur bouwen

22%

Samenwerking eenvoudiger maken

22% 0%

10%

20%

30%

40%


Om de beschikbaarheid van de IT-infrastructuur en informatie verder te verbeteren, kunnen MKB-bedrijven gebruikmaken van datareplicatietechnologie waarmee kritische bedrijfsgegevens voortdurend naar een tweede 4

Bron: Onderzoeksrapport van ESG 2015 IT Spending Intentions Survey, februari 2015.



12

datacenter op een andere locatie worden gekopieerd. De inkomsten-genererende applicaties van het bedrijf kunnen dan snel worden teruggezet als een complete locatie uitvalt door een menselijke fout (doorsnijden van een telcokabel tijdens bouwwerkzaamheden) of een natuurramp (overstroming, orkaan, enzovoort). MKB-bedrijven moeten een goed doordacht, volledig gedocumenteerd plan voor disaster recovery en bedrijfscontinuïteit opstellen, compleet met servicedraaiboeken waarin precies staat wat er moet worden gedaan om de activiteiten na een storing of ramp te hervatten. Professionele serviceorganisaties kunnen de juiste best practices, databeschermings- en herstelmethoden bieden om te zorgen dat de IT-investeringen van MKB-bedrijven in een robuuste infrastructuur zich terugbetalen.

On-demand schaalbare IT-infrastructuur Om slagvaardig te kunnen opereren en een concurrentievoorsprong op te bouwen, hebben organisaties behoefte aan computerresources – server, storage en netwerk – die eenvoudig on-demand schaalbaar zijn om in bestaande en nieuwe bedrijfsbehoeften te voorzien, zowel in virtuele als in fysieke serverinfrastructuuromgevingen. Met virtualisatie kan IT nieuwe applicaties gemakkelijk, kosteneffectief, in minder tijd en met minder mankracht ondemand in werking stellen dan met een traditionele fysieke infrastructuur. Zo wordt de efficiency verbeterd zonder nadelige gevolgen voor de applicatieperformance. De voordelen van virtualisatie zijn onder meer: minder rackruimtebeslag, lagere kosten voor voeding en koeling en veel snellere configuratie en provisioning van nieuwe applicatieserverresources. Deze flexibele computerinfrastructuur maakt het bedrijf flexibeler en biedt eenvoudige schaalmogelijkheden voor de toekomst. MKB-bedrijven die het hoogst mogelijke rendement op hun investeringen in virtualisatie willen halen, hebben schaalbare computerplatformen nodig die een hogere applicatie-serverratio ondersteunen. Anders gezegd: hoe meer applicaties het onderliggende serverplatform kan ondersteunen, des te hoger de potentiële ROI is in termen van besparingen op operationele kosten en kapitaalkosten. Een goede manier om deze voordelen te realiseren is door samen te werken met ervaren serviceorganisaties met expertise in het bouwen en implementeren van gevirtualiseerde omgevingen.

Uniforme, gecentraliseerde databescherming is essentieel Zoals reeds gezegd blijkt uit onderzoek van ESG steeds weer dat databescherming een hoge prioriteit heeft voor MKB-bedrijven. Ongeacht waar de informatie zich bevindt (in het datacenter, in andere kantoren, op apparaten van eindgebruikers of in de cloud), is een eenvoudige, gestroomlijnde, centrale oplossing voor het betrouwbaar beschermen en beheren van sterk gedistribueerde data een eerste vereiste voor MKB-bedrijven. Als back-upprocessen te ingewikkeld zijn, kost dat IT-beheerders teveel tijd en ontstaan er lacunes in de bescherming. Daardoor wordt de organisatie kwetsbaar voor dataverlies, stijgen de operationele kosten en hebben de IT-medewerkers onvoldoende tijd voor belangrijke bedrijfsactiviteiten. Een gebruiksvriendelijke, automatische, centraal beheerde back-upoplossing bespaart het IT-team veel tijd en mankracht, die voor strategische bedrijfsactiviteiten kunnen worden ingezet. Een automatische back-upoplossing maakt niet alleen het leven van IT gemakkelijker en efficiënter, maar ook de eindgebruikers profiteren ervan. Werknemers gebruiken tegenwoordig allerlei apparaten, zoals laptops, thin clients, tablets en smartphones, waarvan regelmatig een back-up moet worden gemaakt. Als automatische back-upoplossingen op de achtergrond draaien, is het proces transparant voor de eindgebruikers en heeft het geen invloed op de prestaties van apparaten of applicaties.



13

Een goede back-upoplossing moet het volgende bieden: •

Mogelijkheid om het effect van dataverlies te beperken. Door de effecten van dataverlies te beperken, worden onderbrekingen in de bedrijfsvoering of de productiviteit geëlimineerd of tot een minimum beperkt.

•

Mogelijkheid om zelf data terug te zetten. Door eindgebruikers zelf, zonder tussenkomst van IT, verzoeken om het terugzetten van bestanden te laten indienen, wordt veel tijd en mankracht bespaard. Werknemers zijn ook veel sneller weer productief.

•

Mogelijkheid voor werknemers om data te herstellen na verlies/diefstal van een device. Met de juiste back-upoplossing kan een eindgebruiker zijn data gemakkelijk, zonder speciale training en zonder hulp van IT niet dagen maar in enkele uren op een nieuw device terugzetten.

•

Redundantie voor extra bescherming en om tijd en resources te besparen. Door de cloud op te nemen in de back-upoplossing creëert IT de redundantie van een externe locatie voor extra databescherming zonder tijd en geld te investeren in het opzetten van een aparte DR-omgeving.

End-to-end professionele ondersteuningsservices Grote ondernemingen hebben vaak veel verschillende professionals in dienst die gespecialiseerd zijn op diverse gebieden. MKB-bedrijven hebben meestal een kleine IT-afdeling met enkele generalisten en misschien één expert op een bepaald gebied. Daardoor is de interne IT-ondersteuning beperkt en heeft IT weinig armslag. Hoe kunnen MKB-bedrijven zonder een uitgebreid bestand technologie-experts toch concurrerend en slagvaardig blijven, profiteren van nieuwe kansen en de veiligheid van bedrijfskritische en operationele data waarborgen? Het antwoord: professionele services van derden. IT-organisaties moeten beschikken over een breed scala aan IT-professionals die kennis overdragen en de interne medewerkers trainen en helpen met alles van technologie- en supportservices tot financiële diensten. Van professionele services voor infrastructuurimplementaties tot uitgebreide ondersteuning op topniveau, training/kennisoverdracht en financiële dienstverlening – MKB-bedrijven kunnen ervan profiteren. Zoals eerder vermeld menen veel organisaties, volgens onderzoek van ESG, dat hun eigen medewerkers bepaalde vaardigheden missen om het bedrijf te beschermen en te laten groeien. Dit gebrek aan kennis varieert van informatiebeveiliging tot het beheer van mobiele devices en private cloudtechnologie (virtualisatie). 5 MKB-bedrijven zonder deskundige medewerkers die getraind zijn in moderne beveiligingstools kunnen externe deskundigen en getrainde professionals inschakelen als aanvulling op hun eigen IT-team. Externe professionele serviceleveranciers zijn precies wat een MKB-bedrijf nodig heeft. Deze kunnen de IT-medewerkers laten zien hoe zij technologiesystemen effectief implementeren en onderhouden, maar ook helpen om systeemproblemen snel te identificeren en op te lossen. Ondersteuningsservices van derden kunnen MKB-bedrijven helpen met het volgende:

5

•

Snellere inbedrijfstelling met opstart-, installatie- en implementatieservices.

•

Bescherming van bedrijfskritische en operationele data door bewaking op afstand en andere proactieve diensten.

•

Snel en gemakkelijk oplossen van hardware -en softwareproblemen. Dat resulteert in minder risico op downtime (productiviteitsverlies, verlies van het vertrouwen van klanten, inkomstenderving) en meer uptime, waardoor klanten, partners en werknemers tevredener en productiever zijn.

•

Onsite ondersteuning naar behoefte van het bedrijf: continu, per project, naar behoefte of op maat.

Bron: Ibid.



14

•

Training voor interne medewerkers over servers, storage, beheer en open-source gerelateerde gebieden waarmee deze essentiële kennis verwerven zonder het bedrijf te verlaten.

•

IT-financieringsprogramma's speciaal voor MKB-bedrijven, waarmee deze meer kunnen kopen en hun bedrijf kunnen uitbreiden.

Uiteindelijk kunnen professionele dienstverleners de efficiëntie van MKB-bedrijven verbeteren door de interne medewerkers te helpen sneller, efficiënter en productiever te werken en kosten te besparen.

Beter inzicht Organisaties van elke omgang moeten voorbereid zijn op alles wat hun bedrijfskritische en gevoelige data kan bedreigen. MKB-bedrijven moeten bij de bescherming van hun organisatie rekening houden met een aantal factoren. Zij moeten een totaalplan maken voor het beschermen van data en om te waarborgen dat het bedrijf optimaal blijft presteren ondanks de talloze gevaren waardoor het dagelijks wordt bedreigd. Allereerst hebben MKB-bedrijven behoefte aan een uitgebreid plan voor het volgende: •

Datamobiliteit. Nu BYOD steeds onmisbaarder wordt om de productiviteit op de werkplek en de tevredenheid van klanten en partners te waarborgen, zijn krachtige policy's nodig om bedrijfskritische data en gevoelige informatie te beschermen.

•

Proactieve beveiliging. Wij horen veel over geraffineerde dataschendingen door externe hackers, maar beseffen niet dat inbreuken ook vaak intern plaatsvinden. Kennis is macht en MKB-bedrijven moeten een oplossing hebben die hen tegen externe én interne bedreigingen beschermt.

•

24x7 continue werking. Welke systemen moeten worden geïnstalleerd om een bedrijf in staat te stellen continu 24x7 met weinig of geen downtime te opereren? Hoe wordt het bedrijf beveiligd en bewaakt en door wie – intern, door een extern bedrijf of door een combinatie van beide?

•

Schaalbaarheid. Hoe kan het bedrijf snel de gevirtualiseerde en de fysieke IT-infrastructuur uitbreiden om altijd aan de groeiende behoeften te voldoen? Welke systemen, hardware of software dragen momenteel bij aan de schaalbaarheid en welke extra tools/oplossingen zijn nodig?

•

End-to-end databescherming. Omdat data zich overal bevinden, moet u zeker zijn dat deze beschermd worden, zowel in centrale datacenters en kantoorvestigingen als op de devices van eindgebruikers. Eenvoudig operationeel beheer en een gemeenschappelijke back-up- en recoverystructuur zijn een essentieel onderdeel van end-to-end databescherming.

•

End-to-end professionele services. Omdat MKB-bedrijven niet de tijd en de mankracht hebben om alles zelf te doen, moeten zij samenwerken met partners die advies-, trainings- en onderhoudsservices kunnen leveren. Daarnaast kunnen financiële diensten van derden MKB-bedrijven helpen operationeel te blijven, te groeien en het bedrijf verder te ontwikkelen.

Hewlett-Packard's 'Just Right IT'-oplossingen bieden een uitgebreide set IT-infrastructuurhardware- en softwareoplossingen die volledig kunnen worden aangepast aan de behoeften van het MKB. In combinatie met professionele en financiële diensten van partners kunnen MKB-bedrijven hun meest urgente bedrijfsinitiatieven, zoals BYOD en webmobiliteit, realiseren. Zo kunnen zij hun bedrijf uitbouwen en hun concurrentiepositie versterken zonder de databeveiliging, informatiebescherming en applicatiebeschikbaarheid in gevaar te brengen. HP's Just Right IT-oplossingen stellen MKB-bedrijven in staat zich bezig te houden met activiteiten die inkomsten genereren in plaats van met de structurele integriteit en de beveiliging van hun IT-omgeving.


HP documentnummer 4AA5-8753NLE

20 Asylum Street | Milford, MA 01757 | Tel: 508.482.0188 Fax: 508.482.0218 | www.esg-global.com

White Best practices voor databescherming en bedrijfscontinuïteit in een mobiele wereld Gids voor kleine en middelgrote organisaties Juni 2015

Recommend Documents