Themablog: Integratie van fysieke en digitale security blijft een uitdaging

Elke maand verschijnt er een blog waarbij een specifiek onderwerp binnen integrale veiligheid wordt besproken met een specialist. Het biedt je een kijkje in de wereld van een IVK’er. Ditmaal het woord aan Dominique Ros, Sales Consultant Cyber Security en Risk Management bij Hoffmann.

Eerst wat achtergrondinformatie over Hoffmann

Hoffmann is een onderzoeksbureau gericht op fraude, integriteit en (informatie)veiligheid. We doen zo’n 1.200 onderzoeken per jaar en hebben daarmee veel inzicht hoe incidenten in een organisatie ontstaan en hoe we het risico hierop (zo veel mogelijk) kunnen voorkomen.

Wat houdt jouw rol in?

In mijn rol als Sales Consultant Cyber Security en Risk Management help ik bedrijven om hun uitdagingen zo scherp mogelijk te definiëren en onze diensten daarop af te stemmen. Daarbij is de centrale vraag altijd: “Wat is het grootste risico voor een organisatie en hoe kunnen we bij Hoffmann op preventief niveau helpen om dit risico zo veel mogelijk in te perken?” Het mooie is dat ik een team van technische experts, gedragswetenschappers en organisatie- en risk specialisten kan raadplegen om verschillende aspecten van risico te ondervangen.

Hoe en waarom ben je in het integrale veiligheidsdomein terechtgekomen?

Na mijn studie politicologie ben ik bij de provinciale overheid aan het werk gegaan. Daar heb ik een handelsmissie mogen organiseren naar China en kwam het thema economische veiligheid prominent naar voren. Tijdens de corona pandemie heb ik mij verder verdiept in criminologie en cybersecurity. De stap naar een onderzoeksbureau dat in de breedte werkt, was daarna snel gemaakt.

Fysieke en digitale veiligheid, hoe zie jij dat? 

De relatie tussen fysieke en digitale veiligheid is essentieel. Hoewel dat in theorie heel duidelijk is, blijkt dat in praktijk nog best een uitdaging. Grotere organisaties hebben de fysieke en digitale veiligheid vaak bij andere afdelingen belegd, (digitaal bij ICT, fysieke beveiliging bij facilitair) terwijl ze zeker van invloed op elkaar kunnen zijn.

In de digitale veiligheid, voeren we vaak zogenaamde pentesten uit. Dit zijn onderzoeken naar de technische kwetsbaarheden van de ICT infrastructuur. In toenemende mate, zien we dat de buitenste schil goed beveiligd is (MFA, VPN, etc.). De lockdown heeft hier zeker voor een versnelling gezorgd omdat we allemaal thuis moesten werken. Wat we nog vaak tegenkomen is dat de kantooromgeving als een veilige (werk)omgeving wordt gezien en dat de beveiligingsmaatregelen voor thuis worden losgelaten. Veelal uit praktische overwegingen en voor het gemak. Dat maakt het voor kwaadwillende interessant om bijvoorbeeld fysiek de organisatie te benaderen en vanuit daar ‘over te springen’ naar het digitale domein. 

Wat zijn de belangrijkste uitdagingen binnen fysieke en digitale security?

Veiligheid is een complex en veelomvattend thema dat zowel fysieke als digitale aspecten kent. Een van de grootste uitdagingen is de onderlinge communicatie en samenwerking tussen verschillende departementen, zie onderstaand de uitdagingen:

  • Organisatorische uitdagingen

Verschillende departementen: Uit onderzoek blijkt dat slechts 45% van de organisaties een geïntegreerde aanpak voor fysieke en digitale beveiliging heeft (Bron: Gartner, 2022). De scheiding tussen deze twee aspecten in verschillende departementen maakt het lastig om een samenhangend beleid te vormen.

  • Menselijke factoren

Vertrouwen op de werkplek: Studies wijzen uit dat medewerkers tot wel 30% minder waakzaam zijn op kantoor dan wanneer ze elders werken (Bron: PwC, 2021). Dit ongegronde vertrouwen kan de veiligheid in gevaar brengen.

  • Technologische uitdagingen

Kantoor-Whitelisting en open laptops: Uit een recent rapport blijkt dat 60% van de beveiligingsincidenten intern plaatsvindt, waarvan een groot deel te wijten is aan open laptops en whitelisting binnen het kantoornetwerk (Bron: Verizon, 2022). Op kantoor is het bewustzijn over veiligheid vaak lager, wat het makkelijker maakt voor kwaadwillenden om toe te slaan.

Dominique

Domique Ros

Waarom is dit een uitdaging? 

Een kwaadwillende die jouw organisatie gericht target, zal daarvoor de makkelijkste weg kiezen. Dit kan dus ook prima fysiek zijn.

Hoe pak je dit aan?

Afstemming tussen verschillende afdelingen op operationeel en strategisch niveau. Tevens is regelmatige toetsing aan te raden. Goed voorbeeld is de zogeheten red teaming activiteiten ter voorkoming van een ‘false sense of security’. Daarbij ondergaat een organisatie een echt aanvalsscenario, waarbij zowel de mens, techniek en organisatie getoetst worden. Dit wordt uitgevoerd door een expertisebedrijf die daarna ook aanbevelingen kan doen.

Heb je daar een mooi voorbeeld van? 

Een middelgrote organisatie met verschillende locaties heeft recentelijk een pentest (penetratietest) laten uitvoeren. Tijdens deze test vond onze ethical hacker een technische kwetsbaarheid, waardoor hij toegangscodes bemachtigde voor de geautomatiseerde deuren van een locatie. Deze code heeft de inloop expert gebruikt om binnen te komen. In dit scenario komen kwetsbaarheden van de techniek, organisatie en de mens bij elkaar. Als je binnen bent, is de vraag welke waardevolle informatie op bureaus of niet-afgesloten computers staat bijvoorbeeld.

Waar ben je het meest trots op? 

Het geeft me veel voldoening wanneer een organisatie veiliger is aan het einde van een traject. De echte beloning is echter wanneer we een langdurige relatie opbouwen en het vertrouwen van een organisatie winnen voor meer dan alleen één opdracht. Een specifieke casus waar ik trots op ben, is het volgende: er werd informatie gevonden op het dark web over een klant, maar de risico’s bleven beperkt omdat ze net een uitgebreid preventief onderzoek hadden laten uitvoeren op hun technologie en processen, en onze aanbevelingen hadden opgevolgd. Het besef dat we mogelijk hebben geholpen bij het voorkomen van een ransomware-aanval is heel tof.

Wat zijn de trends binnen integrale veiligheid voor 2023 en 2024? 

Migratie richting cloud zorgt voor minder prominente aandacht op fysieke locaties op cyber niveau, maar maakt de essentie van het menselijk gedrag daar niet minder belangrijk voor digitale toegangsverschaffing.

Hoe blijf je op de hoogte van de laatste ontwikkelingen? Hoe laat je je inspireren? 

Tijdens gesprekken met klanten vang ik regelmatig nieuwe ontwikkelingen en uitdagingen in hun specifieke markt op. De markt overschrijdende trends deel ik met collega’s. Daarnaast zijn evenementen en sprekers een mooie manier om op de hoogte te blijven van nieuwe ontwikkelingen. Nog dichterbij de bron, geven de rapportages van onze onderzoekers ook veel inzicht, zowel van de fraude-, als de preventieve afdeling. Als het even kan ben ik daarom van begin tot eind bij een project betrokken. Begin dit jaar heeft Hoffmann ook de podcast Fraudesignalen gemaakt. Die geeft een interessant kijkje in de keuken van fraude- en integriteitsonderzoeken in combinatie met preventief advies. Daarnaast lees ik berichten en rapportages van het NCSC, IBD, ISACA en mijn persoonlijke netwerk.