Regulering security moet prioriteit hebben bij organisaties
Door John Schaap
Communiceren vandaag de dag lijkt bijna een sprong in het diepe, zeker in de hyperverbonden wereld van vandaag. Vanaf het moment dat we wakker worden, tot het moment dat we naar bed gaan, verzamelen apparaten onze persoonlijke en zakelijke gegevens. Door dit toe te staan, erkennen we in feite dat we organisaties die we alleen van naam kennen vertrouwen. Voor ons gevoel zijn deze organisaties in staat om onze meest persoonlijke informatie te beschermen, maar dat blijkt vaak niet het geval.
Wat niet weet, wat niet deert
Met elke nieuwe technologie die opkomt en de bijbehorende privacy-schandalen, is het duidelijk dat maar weinig mensen daadwerkelijk nadenken over wie zorg draagt voor hun gegevens. In plaats daarvan denken ze dat hun informatie niet waardevol is of geven ze zich over aan het feit dat er weinig aan te doen is. Toch beginnen consumenten steeds meer kennis te nemen van de werkelijke waarde van hun data en hoe deze wordt gedeeld. Dit is een gouden kans voor organisaties, of het beginpunt voor hun uiteindelijke ondergang.
Dit begint met het idee dat er geen vertrouwen (zero trust) nodig is om überhaupt vertrouwen te hebben. Dit klinkt verwarrend, maar komt voort uit de simpele overweging dat vertrouwen centraal moet staan in elke interactie en transactie tussen organisaties en consumenten. Geloofwaardig vertrouwen hangt af van veiligheid, privacy en controle. Consumenten moeten geloven dat de organisatie hun gegevens beveiligt, deze alleen gebruikt wanneer dat nodig is, en dat de consument vrij kan beslissen waar die gegevens uiteindelijk naartoe gaan en hoe deze worden gebruikt – vooral als het gaat om cloudopslag.
Zero trust-model
Om die publieke opinie veilig te stellen, moeten organisaties een zero trust-model toepassen op basis van de cybersecurity-aanpak van continue identiteitsverificatie. Want als een identiteit eenmaal is aangetast, is alles open spel. En zoals consumenten keer op keer leren, verzamelt elk bedrijf een deel van hun identiteit, of het nu een fysieke foto, stem of zelfs DNA is, waardoor elk bedrijf een potentiële bedreiging vormt voor zowel privé- als zakelijk leven. Het is voor organisaties dus raadzaam om op veilig te spelen dan later spijt te krijgen. Het is niet voor niets dat cyber-incidenten in de top drie van de Allianz risicobarometer staan.
In de praktijk sluit continue identiteitsverificatie aan bij het zero trust-model. Zelfs nadat iemands identiteit bij het inloggen is geverifieerd (ongeacht of dat via tweefactor-authenticatie is of niet), is er nog steeds geen zekerheid dat de persoon wel is wie hij zegt dat hij is. In plaats daarvan verifieert het continue meerdere authenticatie-eigenschappen. Dit omvat wachtwoorden en andere traditionele beveiligingsgegevens, maar ook factoren zoals locatie, tijd, gebruiker en gedrag.
Hoewel dat misschien ingewikkeld lijkt, bestaan er een aantal eenvoudig te implementeren tools die continue identiteitsverificatie mogelijk maken. Tools kunnen via machine learning (ML) bijvoorbeeld de context integreren in toegangsverzoeken door een profiel van normaal gebruikersgedrag op te bouwen en in te grijpen wanneer er afwijkingen optreden. Dit betekent dat zelfs als een cybercrimineel bedrijfsinloggegevens en persoonlijke foto’s heeft verkregen door het uitvoeren van een malware- of phishing-aanval op een niet-gerelateerde externe app, de op ML gebaseerde tool de locatie van waar het verzoek afkomstig is nog steeds als verdacht zou markeren. Zodoende kan het een authenticatieverzoek uitsturen om de authenticiteit te waarborgen en data te beveiligen wanneer dit nodig is.
In de huidige verbonden wereld is het immers naïef om te denken dat het verzamelen van persoonlijke data ooit stopt, of dat kwaadwillenden vanzelf verdwijnen.
Het is nu tijd
Naarmate consumenten meer nadruk leggen op privacy en beveiliging, speelt de manier waarop organisaties persoonlijke gegevens verzamelen én beschermen een cruciale rol bij het bepalen van hun succes. Het laat ook zien welke bedrijven het niet gaan redden, aangezien slechte beveiliging hun reputatie schaadt en het vertrouwen in deze organisaties doet afnemen. Gebruikers vragen vroeg of laat naar aanvullende bescherming aangezien cybercriminelen hun tactieken blijven ontwikkelen. Het is dus van cruciaal belang om ervoor te zorgen dat platformen zero trust principes ondersteunen met artificial intelligence (AI) en machine learning (ML)-gestuurde, real-time evaluatie en een beleid dat eenvoudig aangepast kan worden.
Met andere woorden, het is nu tijd om vanaf het allereerste beginpunt beveiliging en controle in elk product, elke oplossing en elke dienst te verwerken. Dat is de enige manier om proactief tegemoet te komen aan de groeiende bezorgdheid van consumenten over dataprivacy bij bedrijven.
John Schaap is Senior Director Benelux & Nordics bij BlackBerry