Tuesday, March 21, 2017

ISO-normen informatiebeveiliging EU-breed geaccepteerd (maart 2017)

ISO-normen informatiebeveiliging EU-breed geaccepteerd


Nationale normen ingetrokken

© Pixabay CC0 Public Domain
21 maart 2017
De normen voor informatiebeveiliging ISO 27001 en ISO 27002 zijn vanaf nu Europees geaccepteerde normen. Dat meldt het NEN.
De normen worden voortaan in alle Europese landen als nationale norm gepubliceerd. Mogelijk conflicterende nationale normen gelden niet meer en worden ingetrokken.
ISO 27001, de norm voor  ‘Informatietechnologie - Beveiligingstechnieken - Managementsystemen voor informatiebeveiliging – Eisen’, werd gepubliceerd in 2013 en wordt wereldwijd gebruikt als basis voor informatiebeveiliging. In 2015 werd de bijbehorende ISO 27002-norm voor ‘Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging’ gepubliceerd. Deze bestaat uit praktische handvatten voor de implementatie van ISO 27001.
Voor de Nederlandse markt verandert hierdoor overigens niets. Beide normen waren in Nederland al overgenomen als nationale NEN-norm. Inhoudelijk is niets gewijzigd aan de normen. Ze zijn nu wel als Europese norm gepubliceerd. Dat betekent dat er een voorwoord aan toegevoegd is, waarin de status van de Europese norm wordt toegelicht.
De normen zijn vanaf nu verkrijgbaar als NEN-EN-ISO 27001:2017 en NEN-EN-ISO 27002:2017.
Lees meer over

Monday, March 20, 2017

Meer prioriteit voor certificaat- en sleutelmanagement

Meer prioriteit voor certificaat- en sleutelmanagement


Het snelgroeiend gebruik van digitale certificaten en encryptie biedt kansen en bedreigingen. Kansen voor bedrijven en consumenten om zich beter te beschermen tegen cybercriminaliteit. Bedreigingen omdat criminelen dezelfde technologie kunnen benutten om onzichtbaar aan te vallen. Venafi’s Chief Security Strategist Kevin Bocek pleit ervoor certificaten en encryptiesleutels meer prioriteit te geven op de agenda van ICT- en securityverantwoordelijken, onder andere voor DevOps-ontwikkelingen.

Verkeerde, verlopen en nagemaakte certificaten

De laatste jaren worden steeds meer securityincidenten veroorzaakt door verkeerde, verlopen of nagemaakte certificaten. Zo is Symantec onlangs nog op de vingers getikt vanwege het uitgeven van ruim 100 verkeerde certificaten van juli 2016 tot januari 2017. Daarmee hebben ze de integriteit van versleuteld en geauthentiseerd Internetverkeer in diskrediet gebracht. “Meerdere CA’s, waaronder GlobalSign, Symantec en WoSign, hebben de afgelopen jaren kostbare fouten veroorzaakt met het uitgeven van certificaten”, licht Bocek toe. “Een trend die de komende jaren gaat toenemen door de groei van het Internet of Things, omdat fabrikanten voor hele series apparaten dezelfde certificaten gebruiken. Tegelijkertijd groeit op het dark web tevens de handel in nagemaakte certificaten.”
Voor zowel commerciële als non-profit organisaties is het belangrijk zichzelf en alle (klant)relaties beter te gaan beschermen tegen securityincidenten veroorzaakt door digitale certificaten en sleutels. Dat kan alleen als men in staat is ongeautoriseerde certificaten snel te ontdekken en te vervangen, of indien nodig van CA te veranderen. “Als organisaties van één CA afhankelijk zijn kunnen de gevolgen van een securityincident groot zijn, zoals onder andere bij het Nederlandse Diginotar is gebleken”, vervolgt Bocek. “Een ander voorbeeld is het vervangen van 9000 certificaten door GoDaddy omdat die door een softwarebug niet goed waren gevalideerd. Al deze incidenten ondermijnen het vertrouwen in digitale certificaten, waarop de Internet-security voor alle organisaties en mensen is gefundeerd.”

Achterdeurtjes, malware en ransomware

Andere grote veroorzakers van cybersecurityincidenten zijn alle achterdeurtjes in mobiele apps, desktopapplicaties, webservices en beveiligingsoplossingen en natuurlijk malware en ransomware. Wanneer de ontwikkelaar van soft- en hardware via een achterdeurtje toegang creëert tot de eigen producten, is het slechts een kwestie van tijd voordat cybercriminelen, ethische hackers en nationale veiligheidsdiensten dat ook kunnen. Achterdeurtjes leiden dus vrijwel altijd tot securityincidenten. De meeste organisaties hebben al decennialang securityoplossingen in gebruik die ze daartegen zouden moeten beschermen. Inderdaad ‘zouden moeten’, want als ICT-systemen en securityoplossingen zelf zwakheden bevatten, wordt elke gebruiker daarvan onbewust en ongewild kwetsbaar.
Een actueel achterdeurtje is de toegang van Facebook tot alle versleutelde Whatsapp-communicatie. Hoewel Facebook het bestaan daarvan ontkent, krijgen veel mensen het gevoel: waar rook is, is vuur. “Vanwege het grote aantal gebruikers is de kans op misbruik van een kwetsbaarheid in Whatsapp’s encryptie enorm”, zegt Bocek. “Gezien verschillende reacties hierover lijkt het slecht managen van alle encryptiesleutels een risico te zijn. Dit potentiële beveiligingslek in een app die meer dan een miljard mensen dagelijks gebruikt, moet voor bedrijven een duidelijke waarschuwing zijn voor de mogelijke businessimpact. Daar kan men zich alleen tegen beschermen met een systeem dat encryptiesleutels effectief beschermt of snel geautomatiseerd vervangt bij een incident.”

Kortere ontwikkel- en implementatiecycli

Kevin Bocek, vice president Security Strategy & Threat Intelligence van Venafi
Kevin Bocek
Securityverantwoordelijken staan dagelijks voor de uitdaging om zowel hun beveiligingsfundering te versterken als zo snel mogelijk te reageren op een toenemend aantal cyberincidenten. Tegelijkertijd verandert het ontwikkellandschap voor IT-toepassingen sterk, waardoor nieuwe risico’s ontstaan. Bedrijven hebben anno 2017 behoefte aan IT-services en -omgevingen die schaalbaar en snel zijn. Oftewel Amazon AWS-achtige functionaliteit en snelheid, voor de interne en externe IT-toepassingen. Om die behoefte in te vullen implementeren steeds meer bedrijven processen en tools voor tijdelijk te gebruiken virtuele machines, containers en micro-services, in plaats van oplossingen met een lange levenscyclus. Die ‘snelle’ toepassingen moeten echter wel de centrale security ondersteunen.
“Voor het snel kunnen implementeren van nieuwe ICT-toepassingen is een nauwe samenwerking tussen ontwikkeling en beheer nodig, afgekort als DevOps”, vervolgt Bocek. “Op DevOps-projecten worden aparte teams gezet, die zoveel mogelijk gebruik maken van bestaande automatiseringstools. Dezelfde aanpak is voor de security te gebruiken, namelijk een apart team voor het versterken en beheren van de aanwezige beveiligingsoplossingen en een SWAT-team dat direct kan reageren op incidenten. Daarbij is het noodzakelijk dat alle digitale sleutels en certificaten geautomatiseerd worden beheerd in een oplossing zoals het Venafi Trust Protection Platform. Dan kunnen securityverantwoordelijken namelijk alle policies centraal definiëren voor het gebruik ervan door de DevOps-teams.”

Snelle security voor snelle IT

Venafi’s Trust Protection platform biedt organisaties de mogelijkheid alle voordelen van snelle IT te benutten, zonder de beveiliging ervan in gevaar te brengen. Securityverantwoordelijken kunnen daarin centraal alle benodigde policies definiëren via de Venafi API, om DevOps te helpen correct gebruik te maken van securitypolicies en ‘best practices’. Oftewel voor DevOps faciliteren vanaf het begin ingebouwde security toe te passen. Daarvoor biedt het platform als voordelen:
  • Unieke sleutels en certificaten zijn binnen seconden uit te geven
  • Hetzelfde centrale platform is zowel te gebruiken door DevOps-teams als securityverantwoordelijken en systeembeheerders
  • Eenduidig inzicht in de securitypositie en -compliance via integratie met helpdesksystemen en SIM/SIEM-omgevingen
  • Geautomatiseerde sanering en nieuwe uitrol bij veranderende policies en standaarden
  • Automatische meldingen over gedetecteerde afwijkingen binnen of buiten de organisatie
  • Vrijwel ongelimiteerde schaalbaarheid zonder extra administratieve overhead

Back to the basics: 3 security questions for executives

About a year ago on this blog, we discussed five cybersecurity questions of importance to every CEO. Those five fundamental questions are still relevant and important, but it should come as no surprise that there are many additional security topics that corporate executives need to exploreAn AT&T Cybersecurity Insights report that focuses on protecting data suggests that corporate executives should also be asking the following three questions. 
  1. What is my organization’s most sensitive data, where does it reside and over which networks does it travel? CEOs of course, can’t answer these questions themselves (other than, perhaps, which corporate data is most sensitive and valuable). But they can require that their IT departments and business units collaborate to find the answers.  
    Cybersecurity initiatives are doomed to fail if your company doesn’t know exactly what digital resources you’re protecting and where that data is located at any point in time. Given the huge volumes of business data being stored, transmitted and processed nowadays, this initial survey of your data landscape can prove as challenging as actually protecting your most-critical data.  
  1. How is the threat universe changing, in types and volumes of attacks as well as in attack objectives? If you want to know how cyberthreats are evolving, you can start by tracking how IT and corporate structures are changing. One pervasive operational change has been the rise of mobile workers using mobile devices. In bring-your-own-device (BYOD) companies, those mobile laptops, smartphones and tablets serve as both personal and corporate devices, making them especially vulnerable if poorly configured and managed. One-third of mobile devices have a medium-to-high risk of data exposure, according to one study. 
    The rise of Internet of Things (IoT) sensors and devices – some mobile, others not – has also greatly increased the attack surface at many firms. Is your company among them? CEOs need to make sure that any IoT initiatives include strong security controls built in to both the endpoint devices and the networks over which IoT data travels. Otherwiseanticipated benefits can be quickly overshadowed by distributed denial of service (DDoS) attacks, unauthorized data access, and even the malfunctioning or shutting down of IoT machines and vehicles.  
  1. What new or emerging cybersecurity tools should we consider deploying? CEOs need to ask their security experts this question regularly, and be ready to weigh the costs of enhanced security against the costs of data breaches and other forms of attack. The portfolio of protections available to companies – including both internally deployed tools as well as cloud-based security services – is growing rapidly in diversity and sophistication. Staying abreast of these advances – whether it’s fine-grained data encryption services or threat-analytics systems infused with machine learning – is becoming a necessary element of an executive’s job. 
Ultimately, more important than any specific questions, is the need for CEOs and other business executives to be engaged with their IT and security teams about cybersecurity threats, solutions and strategies. Through such engagement, the executives may find that the threats their organizations face are even more frightening than they imagined. But they will also learn that the means to counter those threats are increasingly powerful and effective. 
 
Dwight Davis has reported on and analyzed computer and communications industry trends, technologies and strategies for more than 35 years. All opinions expressed are his own. AT&T has sponsored this blog post

Friday, March 17, 2017

Dun & Bradstreet database breached, 33.6M files vulnerable

Doug Olenick

Dun & Bradstreet database breached, 33.6M files vulnerable


California was the most represented state with 4 million files found in the database of its residents.
California was the most represented state with 4 million files found in the database of its residents.
A Dun & Bradstreet 52GB database containing about 33.6 million records with very specific details about each of the people involved from job title to email address has been exposed.
The database was sent to independent cyber researcher Troy Hunt who found the records contained not only dozens of specific details on each person, but  is organized in a way indicating the content was not pulled haphazardly from a corporation during a hack, but was instead properly curated and ready for distribution to a customer.
ZD Net was able to confirm that the content belonged to NetProspex, a company Dun & Bradstreet purchased in 2015 and is used by marketers looking to sell directly to specific types of people.
Although Dun & Bradstreet is investigating the incident, it is not known at this time how it was exfiltrated, ZD Net reported.
Dun & Bradstreet told SC Media in a statement that, "Based on our analysis, it is our determination that there has been no exposure of sensitive personal information from, and no infiltration of our system. The information in question is data typically found on a business card. As general practice, Dun & Bradstreet uses an agile security process and evaluates and evolves security controls to protect the integrity of our data."
Hunt said the files are from a wide spectrum of government and private entities. The Department of Defense is most heavily represented with 101,013 files includes, followed by the U.S. Postal Service, ATT&T and Wal-Mart. The data points are very specific about each individual. Stating the person is a “soldier” with the position “ammunition specialist”, Hunt said.
“We've been bombarded by news of state sponsored hacking recently and frankly, if I was a foreign power with a deep interest in infiltrating US military operations, I'd be very interested in a nicely curated list pointing me directly to hundreds of intelligence analysts,” Hunt wrote.
Taking another view on the data loss was Brian Vecci, tech evangelist at Varonis, who noted that with all of the other breaches that have taken place over the last several years it's likely this data is already public.
“Thirty-three million records of government and large corporate employees have been compromised; honestly, is there anything in these leaks that isn't already out there about most of these individuals,” he said.
With that said, Hunt believes the data included here is so narrow that it would allow a malicious actor to know exactly who to target for spearphishing.
“For example, there's everyone in the C-suite, but that's a pretty openly accessible set of data anyway. So go down a rung and you've got 45 Vice Presidents; Senior Vice Presidents, Assistant Vice Presidents, Executive Vice Presidents, all with names and email addresses alongside job titles. The value for very targeted spear phishing is enormous because you can carefully craft messages that refer to specific individuals of influence and their roles within the organization,” he wrote.

https://www.scmagazine.com/dun-bradstreet-database-breached-336m-files-vulnerable/article/644419/

US-CERT Warns HTTPS Inspection May Degrade TLS Security

US-CERT Warns HTTPS Inspection May Degrade TLS Security




ecent academic work looking at the degradation of security occurring when HTTPS inspection tools are sitting in TLS traffic streams has been escalated by an alert published Thursday by the Department of Homeland Security.
DHS’ US-CERT warned enterprises that running standalone inspection appliances or other security products with this capability often has a negative effect on secure communication between clients and servers.
“All systems behind a hypertext transfer protocol secure (HTTPS) interception product are potentially affected,” US-CERT said in its alert.
HTTPS inspection boxes sit between clients and servers, decrypting and inspecting encrypted traffic before re-encrypting it and forwarding it to the destination server. A network administrator can only verify the security between the client and the HTTP inspection tool, which essentially acts as a man-in-the-middle proxy. The client cannot verify how the inspection tool is validating certificates, or whether there is an attacker positioned between the proxy and the target server.
A paper titled “The Security Impact of HTTPS Interception” and published in January by prominent researchers and academics establishes that these appliances “drastically reduce” the security of TLS connections, and that 62 percent of traffic has reduced security and 58 percent of connections between appliances and target servers have “severe vulnerabilities.”
“Because the HTTPS inspection product manages the protocols, ciphers, and certificate chain, the product must perform the necessary HTTPS validations,” US-CERT said in its alert Thursday. “Failure to perform proper validation or adequately convey the validation status increases the probability that the client will fall victim to [man-in-the-middle] attacks by malicious third parties.”
Two years ago, the Software Engineering Institute at Carnegie Mellon University published its own cautionary report on the risks posed by inspection tools. Will Dormann, the SEI report’s author and senior vulnerability analyst, told Threatpost that HTTPS inspection serves a purpose in providing visibility into encrypted traffic, but it does come at a cost.
“From the client perspective, I can only see what happens between me and the inspecting devices. I have no idea what happens on the other side of that device,” Dormann said. “The browser can tell me I’m using a secure cipher, TLS 1.2, or SHA256, but the problem is where the appliance is deployed. I don’t know what’s happening on the other side of it. It could be using old SSL or weak ciphers. There are a number of things happening behind the scenes putting traffic risk.
“When I wrote that blog, I was not saying no one should do HTTPS inspection or that it’s inherently a bad thing,” Dormann said, offering as an example a situation where a client is infected and using HTTPS to communicate, and a network admin might appreciate that visibility into the encrypted tunnel. “They do give you visibility into things you could not otherwise see. I wanted to make sure people were aware that they’re not getting that ability for free. The cost is that with HTTPS inspection, you are decreasing the security of HTTPS in the end.”
TLS is supposed to ensure clients securely communicate with servers and validate the target server is indeed the intended destination. With HTTPS inspection appliances and software, clients don’t talk directly to the target server.
“By the whole definition of HTTPS, intercepting devices violate the underlying capability TLS aims to give you. Am I talking to the server I think I’m talking to? If you’re doing HTTPS inspection, you’re not talking to the server, the appliance is,” Dormann said.
Venafi, a vendor whose platform does HTTPS inspection, said Thursday’s alert ignores a critical role they play.
“It’s just not about employee use of the Internet–it’s also about threats from web applications that seek to hide, move, and expand across networks,” said Kevin Bocek, Venafi’s chief security strategist.
“Organizations need SSL inspection to examine application, cross-network, cross-cloud, cross data center and IoT communications. Failing to inspect these communications makes the security technology businesses rely on to protect them from cyber attacks far less effective,” Bocek said. “SSL inspection is the only way to protect against threats hiding in incoming and cross-network encrypted traffic.”
The January paper—written by researchers at Google, Mozilla and Cloudflare, and academics from the University of Michigan, the University of Illinois, the University of Cal-Berkeley and the International Computer Science Institute—points out that many inspection products do not properly verify the server’s certificate chain before forwarding client data. Also, certificate-chain verification errors are forwarded to the client, fooling the client into thinking the operations went as planned.
“Organizations using an HTTPS inspection product should verify that their product properly validates certificate chains and passes any warnings or errors to the client,” US-CERT said.
Dormann, meanwhile, said it would be difficult to determine whether an attacker could directly target this scenario, but should an attacker be aware of an interception proxy, he could realize the client would be less likely to detect an attack.
“The general idea for anyone doing HTTPS inspection or interception, it’s really removing the client’s ability to tell if anything bad is happening,” Dormann said. “If you’re talking to the server directly, your browser warns you about weak crypto or an untrusted CA, and the user could say something was going on. The problem with networks and enterprises that have these appliances doing HTTPS inspection is that it removes the ability for the client to tell them anything fishy is going on.”

https://threatpost.com/us-cert-warns-https-inspection-may-degrade-tls-security/124375/

Wednesday, March 15, 2017

De top 5 IAM functionaliteiten die u niet mag missen

De top 5 IAM functionaliteiten die u niet mag missen

              
Identity & Access Management (IAM). Voor velen een onbekende term en een ver van je bed show. Voor anderen een dagelijkse bezigheid. Hoe dan ook een onderwerp binnen de IT waar u dagelijks mee te maken hebt en welke steeds belangrijker wordt. Belangrijker omdat bedrijfsdata steeds vaker open staat voor hackers. Maar ook omdat u vanuit de (nieuwe Europese) wetgeving allerlei verplichtingen hieromtrent hebt. In mei 2018 wordt de Europese wetgeving (de General Data Protection Regulation) doorgevoerd, vanaf dan bent u verplicht uw organisatie afdoende te beveiligen. Een ontoereikend beveiligingsbeleid kan u zomaar 4% van de totale internationale jaaromzet kosten.
IAM helpt organisaties om in controle te komen en blijven zodat gebruikers vanaf het juiste device, de juiste en veilige toegang krijgen tot beveiligde applicaties. Naast het tijdig en gestandaardiseerde beheer van gebruikersaccounts en toegangsrechten biedt het met bijvoorbeeld rapportage mogelijkheden ook ondersteuning bij het naleven van wet- en regelgeving.
Identity & Access Management is bedrijfsbreed. Elke medewerker en administrator heeft er mee te maken. Maar wat zijn nou de onderdelen die u absoluut zou moeten hebben als u aan de slag gaat met Identity & Access Management? Wij hebben een top vijf voor u opgesteld:
  1. Provisioning
  2. Data Access Governance
  3. Single Sign On
  4. Self Service
  5. Privileged Access Management
  1. Provisioning

Hier wordt het HR proces gedigitaliseerd. Het proces van in-, door- en uitstroming van medewerkers wordt op basis van business regels geautomatiseerd. Er is dus geen tussenkomst meer nodig van een IT-afdeling of applicatiebeheer om de benodigde accounts te beheren. Het IAM systeem kan gekoppeld worden aan uw HR systeem. Deze koppeling zorgt ervoor dat alle wijzigingen die HR maakt automatisch worden doorgevoerd. Een nieuwe medewerker komt binnen en krijgt direct een account met de juiste rechten. Een medewerker verandert van functie en zijn rechten worden direct aangepast. Een medewerker verlaat het bedrijf en zijn account wordt direct inactief gezet.
Het inregelen van provisioning op deze manier zorgt ervoor dat handmatige acties niet meer nodig zijn. Menselijke fouten van het verkeerd kopiëren van bijvoorbeeld de naam zijn uitgesloten. Naast veel tijd maakt het uw omgeving ook een stuk veiliger. De rechten van een medewerker worden direct goed gezet en bij het verlaten van het bedrijf zijn deze ook niet langer actief. Voor u geen verhalen meer zoals de ex-politieman die nog toegang had tot gevoelige informatie.
De voordelen op een rij:
  • Snellere doorlooptijd
  • Tijdsbesparing
  • Minder foutgevoelig
  • Betere beveiliging van data
  1. Data Access Governance

Data Access Governance is het beheren en onderhouden van toegangsrechten tot applicaties en van gebruikersrechten binnen applicaties. Gebruikerstoegang en -rechten van medewerkers worden via een uniform beheermodel uitgegeven, gewijzigd en ingetrokken. Medewerkers krijgen de juiste autorisaties zoals deze bij hun rol horen. Dit wordt ook wel Role Based Access Control (RBAC) genoemd. Op basis van de rol die de medewerker heeft wordt met een autorisatiematrix bepaald tot welke systemen en applicaties de medewerker toegang krijgt. Een andere variant hiervan is Attribute Based Access Control (ABAC). Het systeem registreert alle acties van gebruikers automatisch, net als de tijdstippen, hierdoor kunt u de benodigde rapporten maken voor de audit.
De voordelen op een rij:
  • Betere beveiliging van data
  • Tijdsbesparing
  • Meer inzicht door rapportage mogelijkheden
  1. Single Sign On

Een term die u ongetwijfeld kent. Met slechts één keer inloggen direct toegang tot meerdere applicaties op een veilige manier. Een veelgehoorde wens vanuit de medewerkers, eenvoudig in te regelen via een IAM systeem.
U koppelt applicaties aan het IAM systeem welke alle accounts en wachtwoorden beheert. Met bijvoorbeeld het Active Directory account welke ook gekoppeld is aan het IAM systeem kunnen gebruikers na eenmalig inloggen (bijvoorbeeld op de PC) vrij toegang krijgen tot alle gekoppelde applicaties.
Een koppeling met applicaties van externe organisaties of cloud applicaties is mogelijk met federatie service. Hierdoor kunnen gebruikers met hun eigen gegevens inloggen in applicaties van andere organisaties. Ook is het mogelijk om dan bijvoorbeeld MultiFactor Authentication (MFA) te implementeren. DigiD is hiervan een voorbeeld voor verschillende overheidsapplicaties.
De voordelen op een rij:
  • Gebruikersgemak
  • Tijdsbesparing
  • Meer veiligheid
  1. Self Service

Een helpdesk die een groot deel van zijn tijd kwijt is aan het resetten van wachtwoorden herkenbaar? Selfservice voor gebruikers maakt het mogelijk dat gebruikers zelf hun wachtwoord kunnen resetten op een beveiligde manier en hun persoonlijke informatie zelf kunnen onderhouden zonder tussenkomst van anderen. Maar ook kan er bijvoorbeeld Self service ingericht worden voor het aanvragen van toegang tot een applicatie, facilitaire services of het inzien van rapportages. Het goedkeuringsproces wordt vastgelegd in gestructureerde workflows. De manager kan de aanvraag direct goed- of afkeuren en laten doorvoeren via het IAM systeem. Tussenkomst van de IT afdeling is dan niet meer nodig.
De voordelen op een rij:
  • Gebruikersgemak
  • Tijdsbesparing
  1. Privileged Access Management

Diefstal van privileged logingegevens, zoals van uw beheerders, is een groot gevaar voor elke organisatie. Uw bedrijfskritische data inclusief persoonsgegevens wilt u tenslotte niet op straat hebben. Privileged Access Management (PAM) beschermt de privileged logingegevens en verdient een prioriteit. Geïntegreerd met het IAM systeem biedt het een solide uitgangspunt voor uw beveiliging. Het helpt u bevoorrechte toegangen binnen uw bestaande Active Directory Domain Server (ADDS) te beperken. Dit kunnen zowel interne als externe gebruikers zijn, denk maar eens aan de remote IT-support die uw organisatie wellicht inschakelt (zoals 92% van alle organisaties doet).
PAM monitort en logt het gebruik van privileged logingegevens en levert gedetailleerd inzicht in wie van uw beheerders wat en wanneer doet. Er wordt dus meer controle door monitoring en logging toegevoegd en u krijgt gedetailleerde rapportagemogelijkheden. Aanvallen zijn hierdoor vele malen sneller op te sporen. Bovendien kunt u zo ook beter aan de meldplicht datalekken voldoen.
De voordelen op een rij:
  • Voldoe aan compliance eisen en wetgeving
  • Meer inzicht door rapportages
  • Beter beveiliging van data
Naast deze vijf functionaliteiten is er nog veel meer mogelijk. Denk aan het beheren van mobiele devices. IAM wordt de spin in het web van uw IT organisatie. Of u nu de keuze maakt voor IAM on premise of in de cloud: met een goed ingericht IAM systeem bent u klaar voor de toekomst.


Georg Grabner is Managing Partner van IonIT. IonIT is gespecialiseerd in Identity & Access Management, Cloud Enablement en Enterprise Mobility. Als technologie onafhankelijke dienstverlener automatiseert IonIT IT-processen zodat gebruikers op tijd de juiste en veilige toegang krijgen tot de toepassingen en diensten die zij nodig hebben en bedrijven het inzicht en controle hierover krijgen.

Wednesday, March 8, 2017

What is the motivation behind data security?

What is the motivation behind data security?
With an increasing number of data breaches splashed across front page news, not only in the UK but also across the world, companies have good reason to take security seriously


What is the motivation behind data security?
Legislation should be regarded not as a stick to beat companies into compliance, but as a framework upon which to base a full data security strategy. So that when your company is targeted by fraudsters, as it almost inevitably will be, you have the processes in place to withstand it
The story of Tesco Bank suffering a data breach that exposed 20,000 of its customers’ accounts to theft is a perfect illustration of a headline grabbing crisis that can severely damage brand image, and probably comes close to being every CEO’s worst nightmare.
From such serious reputational damage to punitive fines, the pressure to protect customers is increasing from all sides.
Yet, some organisations are still resistant, whether through reluctance to invest in something that doesn’t directly generate revenue, or sometimes simply because of inertia. So, which are the factors that finally drive directors to take action?
>See also: Tesco Bank accounts have been compromised
If reputational damage doesn’t top the list, organisations could easily assume that financial losses might play the biggest part in a businesses decision to bolster data security.
A staggering £399.5 million was lost due to fraud in the first half of 2016 in relation to payment cards, remote banking and cheques. What’s more, this represented an increase of 25% from the same period in 2015, when the figure was £320.3 million.

It’s all about the rules

But according to a recent report, neither of these scenarios is the leading reason that drives organisations to invest in security measures.
A survey of 126 large companies (those with more than 2,000 employees) has shown that the number one motivator for the people in charge of protecting sensitive information is in fact regulatory compliance.
The study indicated, moreover, that the importance of regulations had increased nine-fold in just over two years.
The regulations that drive businesses to act cover a wide spectrum. From the Health Insurance Portability and Accountability Act (HIPAA) regulations in the US to the Financial Conduct Authority (FCA) in the UK or the Payment Card Industry Data Security Standard (PCI DSS) worldwide, every sector has its own regulator, with varying degrees of power.
One that every organisation should take heed of, however, is the European Union’s new General Data Protection Regulation (EU GDPR).

The EU GDPR is almost upon us

The biggest, and some would say most intimidating, regulation on the horizon is the EU GDPR. After four years of discussions and debates, the new legislation has been signed and sealed and will officially be delivered in 2018.
This regulation, which is unlikely to be toned down by Brexit, will issue severe penalties on organisations that fail to protect customer data. A breach could result in a fine of €20 million or 4% of annual turnover, whichever is highest.
>See also: What are US companies’ view on GDPR?
Similar fines will come into force for neglecting to report a data breach to the relevant Data Protection Authority (DPA) within 72 hours. An estimate of the aforementioned Tesco Bank breach suggests that it would have cost the company £1.94 billion in fines had the EU GDPR already come into effect today.
With this staggering figure out in the public domain, company boards would do well to take notice and start planning now for how they will adhere to the latest data regulation.
To further concentrate the minds of business leaders, the UK Information Commissioner’s Office recently recommended that company directors be held personally liable for data breaches.

Doing the right thing

In the world of global business, where short-term profit is highly valued, perhaps we should not be surprised that many organisations will not take action until they are forced to do so by regulators.
But common sense tells us that the more enlightened will be aware that there is a bigger picture. A financially-damaging, one-time penalty is a terrible thing, but long-term distrust and bad-will among your customer base could be fatal.
>See also: Change is coming: the GDPR storm
Legislation should be regarded not as a stick to beat companies into compliance, but as a framework upon which to base a full data security strategy. So that when your company is targeted by fraudsters, as it almost inevitably will be, you have the processes in place to withstand it.
Don’t wait until a new regulation forces you into action; sort out your security measures now. You owe it to your customers – and to your employees – to protect the data you handle.

Sourced by Tim Critchley, CEO, Semafone