Category Archives: Beveiliging

IT-beveiliging is serious business

Digitale beveiliging is niet langer een technisch onderwerp. Door de technologische ontwikkelingen raakt het onderwerp digital security tegenwoordig de hele organisatie. Het beveiligingsbeleid moet daarom niet door IT, maar door de business opgesteld worden. Een goede afstemming met IT is uiteraard wel noodzakelijk. Onderwerpen als bedrijfsstrategie, enterprise architectuur en governance spelen bij het opstellen van het beveiligingsbeleid belangrijke rollen.

Digitaal leven en werken

Dat beveiliging niet langer alleen een IT-aangelegenheid is heeft drie belangrijke redenen. De eerste reden is dat ons leven de laatste jaren veel digitaler is geworden. Steeds meer werkprocessen of delen van werkprocessen worden met behulp van computers of mobiele devices uitgevoerd en het digitale werken vindt ook steeds meer zowel op kantoor als buiten in het veld plaats. IT heeft daarmee een centrale rol in de hele organisatie gekregen en is overal aanwezig. Tegelijkertijd heeft digitale technologie ook in ons privéleven een steeds grotere rol gekregen. Bijna iedereen heeft tegenwoordig een smartphone of tablet en de meeste mensen kunnen bijna overal en altijd online zijn. Beide werelden, privé en zakelijk, zijn door het gebruik van digitale technologie meer en meer verweven geraakt en door elkaar heen gaan lopen.

Het karakter van cybercrime is veranderd.

Het karakter van cybercrime is veranderd. De beveiliging is niet alleen een verantwoordlijkheid voor IT.

Malware, DDoS, hacks, social engineering

Een tweede reden is dat het karakter van cybercrime veranderd is. De manier waarop organisaties worden aangevallen is anders dan een paar jaar geleden. Voorheen hadden organisaties vaak te maken met virussen. De laatste jaren is de aandacht verschoven naar aanvallen met ransomware en naar het hacken van omgevingen. De nadruk ligt tegenwoordig minder op het beschadigen of vernietigen van gegevens en meer op het blokkeren van toegang tot gegevens en systemen of diefstal van persoonlijke gegevens. Malware – met name ransomware – vormt een steeds grotere bedreiging voor organisaties. Toegang tot bedrijfsgegevens wordt hierbij geblokkeerd door deze gegevens te encrypten. Tegen betaling van ‘losgeld’ kunnen de gegevens weer worden vrijgegeven. Ook DDoS-aanvallen nemen in aantal en omvang toe. Bij dit soort aanvallen wordt een zeer groot aantal vragen aan een systeem gesteld waardoor dit systeem door overbelasting tijdelijk onbruikbaar of ontoegankelijk wordt. Een andere grote bedreiging vormt de diefstal van enorme hoeveelheden, vaak privacygevoelige, gegevens. Via hacks verschaffen aanvallers zich toegang tot een systeem waarbij de data worden buitgemaakt. Deze gegevens kunnen later verhandeld worden of via openbare websites publiek bekend gemaakt worden. Een laatste verandering is dat het gevaar voor aanvallen niet langer vooral van buiten de organisatie komt meer in toenemende mate van binnenuit de organisatie komt. Social engineering speelt hierbij een steeds grotere rol. Via medewerkers wordt geprobeerd om op sluwe wijze toegang tot bedrijfssystemen te verkrijgen. Medewerkers worden hierbij misleid of soms zelfs gechanteerd.

Aangescherpte wetgeving

Een laatste reden dat digitale beveiliging niet langer primair een verantwoordelijkheid voor IT is, komt door de veranderde wetgeving rond dit onderwerp. Er gelden strengere regels, zoals bijvoorbeeld beschreven in de ‘Meldplicht datalekken’ en boetes voor overtredingen zijn erg hoog. Ook zijn er veel verschillende wetten en regels, zowel vanuit de landelijke overheid maar ook vanuit de EU, zoals de algemene verordening gegevensbescherming. Deze strenge regels gaan de hele organisatie aan. Iedereen heeft de plicht om op een veilige manier met privacygevoelige gegevens om te gaan en om verantwoord met digitale technologie te werken.

Voor digitale veiligheid is nieuw beleid en mogelijk zelfs een aangepaste bedrijfsstrategie nodig.

Voor digitale veiligheid is nieuw beleid en mogelijk zelfs een aangepaste bedrijfsstrategie nodig.

Beleid en bedrijfsstrategie

Digitale veiligheid is een complex onderwerp geworden, waarvoor nieuw beleid en mogelijk zelfs een aangepaste bedrijfsstrategie nodig is. De verantwoordelijkheid hiervoor ligt daarom dan ook bij de business, waardoor IT-beveiliging serious business is geworden.

 

Jack van der Horst blogt vanaf nu met regelmaat over onderwerpen binnen het thema informatiemanagement. Heeft u een vraag over informatiemanagement of wilt u reageren op deze blogpost? E-mail naar jvanderhorst@esri.nl

Het ArcGIS-platform biedt een ruime keus aan mogelijkheden om aan de specifieke wensen en eisen van een organisatie op het gebied van security tegemoet te komen. Er is daardoor ook niet één antwoord op de vraag hoe de beveiliging van een Web GIS ingericht moet worden. De specialisten van Esri kunnen helpen bij het maken van de juiste keuzes en het toepassen van best practices. 

LinkedInFacebookTwitterDeel deze blogpost
Posted in Beveiliging | Plaats een reactie

Beveiligingsvraag: mijn perceel, jouw perceel

Ik krijg ze regelmatig: vragen over beveiliging. Vaak biedt het ArcGIS-platform één of meerdere oplossingen die passen in de situatie van die organisatie, maar soms is het lastig. In die gevallen zijn organisaties verbaasd. Hoe kan dit? Die vraag zal toch wel vaker voorkomen?

In deze blogpost bespreek ik een situatie die weinig voorkomt, maar wel tot interessant inzicht leidt.

Beveiliging

Er zijn in Nederland organisaties die een GIS-systeem nodig hebben waarin honderden tot tienduizenden agrariërs met (landbouw)percelen werken. De featureservice ‘Perceel’ kan eenvoudig worden gemaakt en ArcGIS for Server kan zo worden ingericht dat tienduizenden gebruikers worden bediend. Maar bij de organisaties in dit voorbeeld is de beveiliging lastig, omdat de agrariërs ieder alleen hun eigen percelen mogen bekijken en wijzigen.

Om gebruikers toegang tot alleen hun eigen percelen te geven, heb je iets nodig wat in de databasewereld ‘row level security’ heet. Elke feature is een rij in een databasetabel en agrariërs zouden alleen toegang moeten krijgen tot de rijen waar hun eigen percelen in staan. In mainstream IT is dit gangbaar. Als je via een website een bestelling plaatst, dan kun je als klant alleen je eigen bestellingen raadplegen en wijzigen. Natuurlijk, daar staan we niet eens bij stil.

GIS is anders

Voor GIS komt deze vraag naar row level security weinig voor. Dit is een van de punten waar GIS fundamenteel anders is dan mainstream IT, om de eenvoudige reden dat we in GIS een ander soort problemen oplossen dan in mainstream IT. In GIS heb je ruimtelijke verbanden tussen objecten, zoals kabels die horen bij een lantaarnpaal. Een assetbeheerder kan in die gevallen het ene object niet verplaatsen zonder een ander object mee te verplaatsen.blog-mijn-perceel-jouw-perceel

Als je vlakdekkend werkt, zoals bijvoorbeeld in de BGT, dan heeft het weinig zin om een lock op precies één perceel te leggen. Een wijziging in de geometrie van een perceel is dan niet mogelijk zonder ook een wijziging te maken op een of meer aangrenzende percelen. Als een BGT-beheerder een kruising moet veranderen in een rotonde, dan heeft hij een lock nodig op de directe omgeving, niet op een enkel object.

Wijzigen op een gebied

Kortom, in GIS moet je wijzigingen vaak op een gebied maken, niet op een rij. En uiteraard biedt het ArcGIS-platform al lange tijd voorzieningen om wijzigingen op een gebied te maken: versioning. Voor de meeste organisaties biedt versioning ruim de mogelijkheden om met meerdere gebruikers wijzigingen te maken.

Voor de gevallen waar echt row level security nodig is in GIS, zoals de klanten die ik in begin noemde, is een aparte benadering mogelijk.

Posted in ArcGIS, Beveiliging | Tags: , , , , | Plaats een reactie