OGD ict-diensten: Beveilig je kritieke processen, want elk bedrijf is doelwit

Er is de laatste tijd weer volop aandacht voor de digitale beveiliging van bedrijven en organisaties. Die schiet vaak tekort, met alle (financiële) gevolgen van dien zodra het misgaat. Het beschermen van de kritieke processen die jouw bedrijf draaiende houden, kent natuurlijk zowel softwarematige als menselijke aspecten. Bij OGD ict-diensten is informatiebeveiliging dan ook een belangrijk onderdeel van de dienstverlening.

Vooral ransomware blijft onverminderd een risico en is vaak het gevolg van een phishing-aanval. Een crediteurenafdeling is bijvoorbeeld erg gevoelig voor spear phishing, want hier is informatie over financiële transacties te stelen. Criminelen werken hiervoor mede volgens de opensource-intelligencemethode: online is een schat aan informatie over jouw organisatie te vinden, wat zeer gerichte social engineering mogelijk maakt. Een mail met bedrijfsspecifieke kenmerken die afkomstig is van een gespoofde afzender komt mede hierdoor zeer overtuigend over.

Niet elk bericht wantrouwen

"Statistisch gezien is het aannemelijk dat je als organisatie een keer door een cyberaanval wordt getroffen", vertelt Richard Plug, Business Information Security Officer bij OGD. “Door de stortvloed aan werkmails is het immers logisch dat je niet ieder binnenkomend bericht wantrouwt. Je kunt er min of meer wel vanuit gaan dat iemand op een gegeven moment op een verkeerd linkje klikt. Zeker nu we meer thuiswerken en je minder persoonlijk contact hebt met je collega’s”.

Een anti-phishingcampagne kan helpen om de bewustwording rond dit onderwerp te vergroten, en dit is dan ook een van de diensten die OGD steeds vaker levert. Doel daarbij is om te onderzoeken hoe werknemers reageren op phishingberichten, ook al zijn die in dit geval ongevaarlijk. “Het gaat er daarbij niet om dat met vingers kan worden gewezen naar de mensen die erin tuinen”, legt Richard uit, “maar wel om het gesprek op gang te helpen en inzicht te krijgen in zwakke plekken die eerder buiten beeld bleven. Zie het als een logische eerste stap, waarna verbeterpunten kunnen volgen. Bijvoorbeeld in de vorm van een strategische roadmap.”

Nieuwe fundering leggen

Het andere deel van het verhaal ligt op het technisch vlak. Een goede anti-malwaretool is hierbij essentieel. Richard: “Je moet dan wel denken aan de wat duurdere oplossingen die niet alleen werken op basis van signatures of virusdefinities, maar ook patronen kunnen herkennen en alarm slaan zodra er bijvoorbeeld massaal aanpassingen worden doorgevoerd aan de extensies van bestanden op Sharepoint.”

OGD raadt aan om cruciale bedrijfssystemen te verdedigen met een combinatie van oplossingen die met elkaar kunnen integreren. Omdat ze goed op elkaar aansluiten, kunnen ze op allerlei gebieden - endpoints, cloudapplicaties, VM’s in Azure - een oogje in het zeil houden. De producten van Microsofts Defender Suite (waaronder Defender for Endpoint) zijn hier een goed voorbeeld van. De compatibiliteit tussen de verschillende onderdelen zorgt voor een sterke beveiliging op meerdere vlakken, en OGD assisteert organisaties bij de implementatie ervan.

Concludeer je uit het bovenstaande verhaal dat je huidige aanpak inderdaad niet meer voldoet, dan biedt een middel als applicatietransformatie uitkomst. Samen met OGD wordt daarbij geanalyseerd welke verouderde programma’s en diensten binnen jouw organisatie aan vervanging toe zijn. In het kader van optimalisatie worden apps uitgefaseerd die weinig toevoegen en ondertussen mogelijk een reëel veiligheidsrisico vormen. Daarna komen er alternatieven voor in de plaats die beter op elkaar inhaken en efficiënter zijn te beheren.

Kwetsbaarheden op elk niveau

Overigens is deze aanpak niet alleen van belang om kritieke systemen te beschermen tegen aanvallen van vandaag de dag; ook toekomstige dreigingen ben je er hopelijk een stap mee voor. Daarbij komen we weer terug op het thuiswerken dat ervoor heeft gezorgd dat we zakelijke apparaten vaker privé gebruiken - en vice versa. Daardoor ontstaan nieuwe trends op het gebied van cybercrime; een mobiele besmetting op je persoonlijke smartphone kan zomaar gevolgen hebben voor je werkomgeving. Goed mobile device management speelt hierdoor een steeds grotere rol, legt Richard uit.

Waar de zwakke plekken precies zitten, is niet altijd even duidelijk omdat het op veel fronten mis kan gaan. “Zwakke wachtwoorden, standaardinstellingen die nooit zijn aangepast en/of een gebrek aan back-ups zijn slechts enkele voorbeelden. Informatiebeveiliging is inmiddels geen luxeproduct meer, maar een noodzaak bij alle digitale werkzaamheden”, aldus Richard.

Uit de taboesfeer

Bij de ict-dienstverlening van OGD wordt dan ook op elk vlak rekening gehouden met dit soort beveiligingsvraagstukken. Zo heeft men intern een centraal meldpunt voor risicovermoedens bij systemen van klanten. Bij de aanpak daarvan blijft de werksfeer overigens informeel. Richard: “Een collega die bijvoorbeeld betrapt wordt op het achterlaten van een onvergrendelde werkplek, trakteert op stroopwafels. Vrijwel iedereen hier durft z’n mond open te trekken als er iets niet in de haak is.”

OGD is er dan ook voorstander van om het onderwerp uit de taboesfeer te trekken. Dat geldt evenzeer voor bedrijven die in het verleden al eens slachtoffer zijn geworden, maar dat verzwijgen uit angst voor imagoschade. Volgens Richard is van imagoschade juist geen sprake. “Hoe eerder je naar buiten treedt en hoe sneller je reageert op dit soort aanvallen, hoe beter het voor je reputatie is. Het geeft aan dat je het probleem serieus neemt, er bovenop zit en het niet nog een keer wil laten gebeuren.”

Benieuwd geworden naar OGD ict-diensten? OGD ict-diensten zal tijdens de Tweakers Meet-up Privacy & Security aanwezig zijn met een stand, dus loop vooral even langs! Meer weten over het programma van de Meet-up Privacy & Security? Check het hier!

Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij OGD ict-diensten en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].

Lees meer

Reacties (22)

okkies 6 november 2021 12:17

Whahhahahahaah ogd. Laat ze nou maar eerst hun mensen degelijk betalen. Een enorme leegloop bij die toko op dit moment. Welkom alle nieuwe collegas uit de stal van ogd

[Reactie gewijzigd door okkies op 23 juli 2024 09:32]

Bram S @okkies • 6 november 2021 12:48

OGD heeft een duidelijke strategische keuze gemaakt om niet te concurreren op salaris, maar op goed werkgeverschap. Alles eromheen is namelijk erg goed geregeld. Ja, er vertrekken ook mensen omdat ze elders beter kunnen verdienen. Ik ben één daarvan. Maar heb niets dan respect voor dit bedrijf dat goed weet wat ze doet, mensen met respect behandelt en intern alle ruimte geeft om zich enorm te ontwikkelen.

Sterker; een deel van waarom ik ook na OGD zulke stappen mooie stappen kon maken heb ik te danken aan de enorme kansen die me daar geboden werden en vaardigheden die ik daarbij heb opgedaan. Daarbij ken ik genoeg OGDers uit mijn tijd die er terecht nog met veel plezier werken.

Doe je ding OGD, dat doe je namelijk erg goed!

[Reactie gewijzigd door Bram S op 23 juli 2024 09:32]

Verwijderd @Bram S • 6 november 2021 17:20

Eens! Je kunt snel doorgroeien bij OGD, zowel qua inhoud als salaris. Prima werkervaring. Mooie nieuwe grote outsourcings klanten binnengehaald. Ze groeien hard, bijzonder fijne cultuur en de uitstroom is naar mijn weten niet hoger dan bij andere it-bedrijven…

Cergorach @Bram S • 6 november 2021 20:08

OGD heeft een duidelijke strategische keuze gemaakt om niet te concurreren op salaris, maar op goed werkgeverschap.

Here, have some more kool-aid! ;-)

Caelestis @Bram S • 8 november 2021 04:19

LMAO
Wat een managerial geblaat.
Even een tip voor je. De standaard werknemers praten niet zo over hun bedrijf en al helemaal niet als ze ergens anders zijn gaan werken.

lt_cmd_data @Bram S • 8 november 2021 12:20

Ik sluit mij hierbij aan, voor de start van je carrière zit je bij OGD goed, maar zorg wel dat je veel investeert in jezelf door certificeringen te behalen en actief de account managers op te zoeken zodat je bij interessante klanten de nodige ervaring op kan doen. Daarmee groeide ik hbo student af maximaal in salaris. Na aantal jaren werkervaring (eind medior) adviseer ik linkedin goed te verkennen, en te kijken wat je nu echt waard bent geworden. Je zal verbaast staan hoe je salaris achterloopt (10~15k bruto per jaar is echt geen uitzondering).

OGD heeft een groot sociaal hart door vele juniors en mediors een mooie kans te bieden en dat doen ze echt heel goed! Ook in tijden dan het economisch in NL 2008~2010 niet goed ging. Maar ze vergeten in mijn ogen de seniors ruimhartiger marktconform te betalen, omdat ze mogelijk gokken dat de loyaliteit sterker weegt.

Ik zag daarom ook vele talentvolle collega's destijds vertrekken, maar soms ook weer tijdelijk terug komen bij OGD als er geen match bleek. Ervaring uit < 2014.

SetsunaKaede @okkies • 6 november 2021 22:46

En waar heb jij die informatie vandaan? Bij mijn weten is de uitstroom niet hoger of lager dan bij andere ICT-toko's en de werksfeer is ook prima.
En tsjah, salaris. Tuurlijk kan het altijd hoger...

xavierk 7 november 2021 00:52

"De producten van Microsofts Defender Suite (waaronder Defender for Endpoint) zijn hier een goed voorbeeld van."
En als men nou eens niet voor een monocultuur van Microsoft oplossingen wil gaan?
Welke andere endpoint security oplossingen resellen jullie?

Deido 6 november 2021 08:07

Beveiliging je kritieke processen?

Moest daar beveilig staan?

benza2006 @Deido • 6 november 2021 08:17

Grootste risico is wat mij betreft geen ransomware maar hostileware. Al je data op straat is makkelijker en onopvallender uit te voeren. De ellende die je dan hebt is niet op te lossen door wat backups terug te zetten.

Verwijderd @benza2006 • 6 november 2021 11:08

hostileware

Dat woord kende ik nog niet, maar ik vraag mij af of dat de hele lading dekt. Bij een deel van de aanvallen wordt geen malware gebruikt; bijv. met boordmiddelen (zoals Bitlocker) kun je ook schijven versleutelen.

Al je data op straat is makkelijker en onopvallender uit te voeren. De ellende die je dan hebt is niet op te lossen door wat backups terug te zetten.

Eens.

De kern van het probleem is m.i. dat criminelen toegang krijgt tot één account, meestal gevolgd door toegang tot meerdere computersystemen (incl. cloud) van jouw organisatie, en het je niet lukt om dat in de kiem te smoren.

Met die toegang zijn de mogelijkheden voor criminelen legio om jouw organisatie (plus klanten, leveranciers en partners) schade toe te brengen. Bijv. voor het verzenden van spam vanuit jouw organisatie (Business Email Compromise, zoals "ons rekeningnummer is gewijzigd"), is geen malware nodig.

Daarbij, als er al sprake is van malware, lopen virusscanners in de meeste gevallen achter de feiten aan. En als het gebruikelijk is dat allerlei werknemers diverse soorten bestanden naar schijnbaar willekeurige clouddrives uploaden, wordt "behavioral detection" ook een lastig verhaal.

kodak

Privacy

@benza2006 • 6 november 2021 12:24

Leuk bedacht om een andere naam te gebruiken, maar effectief noem je op wat de wereld al onder ransomware verstaat. Ransomware is al jaren de situatie van diverse software op je systeem, waarbij criminelen niet alleen proberen te verdienen aan het slachtoffer door de gegevens ontoegankelijk te maken maar ook verdienen aan de gedownloade gegevens door deze zelf te gebruiken en of te verkopen aan anderen. Dat is ook wat de Autoriteit Persoonsgegevens al jaren duidelijk maakt.

The Lord @Deido • 6 november 2021 08:35

[flauw]
Processen om integriteit van informatie te borgen zijn goed op orde.
[/flauw]

Klopt! Aangepast:-) thanks

FrostyPeet 6 november 2021 13:46

Mijn tip: huur een Tweakers redacteur (of een andere journalist) in en laat die je "advertorial" proeflezen. Valt volgens mij winst te behalen in kort en bondig je diensten te presenteren.

armageddon_2k1 6 november 2021 17:51

In mijn tijd (2008-ish) was OGD een beetje het afvoerputje van studenten die hun studie niet echt afmaakte in Delft of het liefst lekker in een studentikoos wereldje wilden blijven leven. Is dat nog steeds?

Edit: ah, duidelijk door wie ik gedownvote word

[Reactie gewijzigd door armageddon_2k1 op 23 juli 2024 09:32]

okkies @armageddon_2k1 • 6 november 2021 22:07

ja klopt, is het nog steeds. maar het werkt voor ogd. er zitten zeker een aantal slimme gasten. Op deze manier kunnen ze de salarisen vrij laag houden, denk aan een max salaris sprong van 150 euro bruto per jaar.

kipjr @okkies • 7 november 2021 01:09

Ik zit me af te vragen of @okkies realistische en betrouwbare data heeft betreffende die ”150” per jaar. In deze gewilde tijd van IT is dat eerder een uitzondering.

okkies @kipjr • 7 november 2021 14:29

zeker, ik heb wat stukken gezien van het OR, waar deze max 150 euro stap werd besproken. dit moet net voor jullie salaris huis zijn geweest.

Dit salaris huis is tevens de reden dat veel ervaren mensen vertrekken bij OGD. al is dit wel een anekdotisch gegeven.

Verwijderd @armageddon_2k1 • 7 november 2021 10:40

Ik ken OGD niet. Boeit mij ook niet. Maar iemand hoeft niet bijzonder intelligent te zijn om de toon die jij hebt gebezigd op z'n minst denigrerend te vinden. Dat jij dat waarschijnlijk niet snapt en ook nog conclusies durft te trekken over wie jouw reactie naar beneden beoordeelt, zegt genoeg over jou.

Verwijderd @armageddon_2k1 • 7 november 2021 14:29

Op dit item kan niet meer gereageerd worden.