De nieuwste krantenkoppen zijn overspoeld met nieuws over inbreuken op de beveiliging bij grote bedrijven, waaronder Morrisons, Target en Kickstarter.

We spraken met Catalin Cosoi, Chief Security Strategist bij Bitdefender, over de vraag of bedrijven hun personeel beter kunnen opleiden om zich bewust te zijn van beveiliging, en hoe beveiligingsstrategieën kunnen worden vereenvoudigd ...

TechRadar Pro: kan de onderneming het beter doen als het gaat om de opleiding van personeel wat IT-beveiliging betreft?

Catalin Cosoi: De gemiddelde onderneming leidt geen algemeen personeel op in IT-beveiligingsaangelegenheden en dit is min of meer zoals het zou moeten zijn. Training moet worden beperkt tot vertrouwd te raken met werk-relevante beveiligingsprocedures, waarvan hoe minder er zijn, hoe minder er mis te krijgen. IT-personeel moet daarentegen meer veiligheidsbewust zijn.

TRP: Hoe moet training verschillen op verschillende niveaus van het bedrijf? Moeten alle werknemers hetzelfde opleidingsniveau hebben?

CC: Over het algemeen zal een aanvaller eerst op het 'laaghangende fruit' mikken en de secretaresse van de regisseur, niet de regisseur zelf, sporadisch zien te zijn, althans niet in eerste instantie. Een van de taken van IT-beveiliging is om ervoor te zorgen dat de winsten eveneens laag zijn en dat aanvallen met "privilege-escalatie" moeilijk zijn.

Dat gezegd hebbende, kan een kleine dosis operationele paranoia die wordt ingebracht in sleutelpersoneel wonderen verrichten. Om een ​​voorbeeld te geven waarom onderwijs op alle niveaus zo belangrijk is, was de HBGary "hack" alleen mogelijk omdat een beheerder een beetje teveel vertrouwde en accepteerde.

TRP: Wat zou Bitdefender beschouwen als de beste praktijk als het gaat om IT-beveiligingseducatie voor bedrijven en hun personeel?

CC: Stel vast wie moet worden opgeleid en denk vervolgens lang en diep na over wat je wilt leren. Het is bijvoorbeeld vaak nutteloos om mensen te trainen hun wachtwoorden te wijzigen, terwijl ze laten zien hoe speer-phishing werkt.

Houd er rekening mee dat er normaal gesproken een spanning bestaat tussen veiligheid en gemak en een gestoorde middenmanager zal altijd voor gemak kiezen, tenzij training hem of haar heeft overtuigd dat het nodig is om dergelijke beslissingen op een bewuste manier te nemen en dat het nemen van veiligheidsrisico's niet "gratis".

TRP: zou netwerkbeveiliging nu meer moeten zijn dan alleen wachtwoorden na het recente nieuws dat onderzoekers in Liverpool een computervirus hebben gemaakt dat zich via wifi kan verspreiden?

CC: Het potentieel van het Chameleon-virus om zich via netwerken te verspreiden "als een verkoudheid" benadrukt het belang van degelijke administratieve beveiligingsprocedures; een gebied dat door velen over het hoofd wordt gezien.

Organisaties moeten stappen ondernemen om ervoor te zorgen dat kritieke infrastructuur en routers hiervan worden beschermd, en vergelijkbare virusbedreigingen en technologie zouden het element moeten zijn dat het verschil maakt.

Thuisrouters en netwerken zijn eigenlijk beter dan de meeste IT-beheervaardigheden van mensen, en daarom hoeft de noodzaak om ze te beveiligen zich niet eens te registreren. Dit is de reden waarom wachtwoorden vaak niet veilig genoeg zijn.

Om echte bescherming te krijgen, moeten beveiliging en onderhoud zoveel mogelijk worden vereenvoudigd en geautomatiseerd. Dingen moeten gewoon veilig uit de doos werken, omdat de meeste mensen niet de tijd, zin of motivatie hebben om netwerkbeveiligingsprofessionals te worden.

TRP: Wat wordt beschouwd als industriegoud-standaard in de hedendaagse cloudbeveiligingsindustrie?

CC: Ondanks de inspanningen van de industrie moeten cloudproviders nog een standaardkader opzetten om de interacties tussen ondernemingen en cloudserviceproviders te sturen.

Er zijn een aantal organisaties die voorstellen voor open standaarden ratificeren en richtlijnen voor cloudbeveiliging ontwikkelen. Cloud Security Alliance (CSA) biedt een van de meest begrijpelijke set van best practices voor veilig cloud computing.

De CSA heeft een nalevingsnorm ontwikkeld die bekend staat als de CCM- of Cloud Control-matrix, die verschillende gebieden van cloudinfrastructuur beschrijft, inclusief risicobeheer en beveiligingsrisico's.