Blog Layout

Security by design (English Version)

Casper

More than just a lock on the door.

Lately I've been hearing a lot about it in the media; - data leaks -. We store a lot of data in systems that are relatively easy to use. On top of that, working from home also reduces social control. This combination appears to be sensitive to data misuse. What can you do as an organization to prevent this?


To answer this question it is good to divide it into a number of parts;

  • Technical; hardware (infra) and software (applications)
  • Process-based; functions, processes and "ease-of-use"
  • Social; awareness and culture


The first category (Technical) is the easiest in my opinion as a CTO. Set up Identity and Access Management properly (IAM, management of identification and access). Limit and segment your infrastructure and hardware so that you don't have one large network to which everything and everyone can access. Try to realize that at the hardware level as well. A step higher to applications, in addition to identification, access to the application, it is also important that you set up authentication. Easy to remember: identification says something about IF someone has access. Authentication says something about WHERE someone has access to. I always recommend setting up the second (authentication) in such a way that it remains workable (and not everyone still needs the heaviest authentication) but still create clear segments in line with functions and processes. Strive for a clear role separation, but more on that later. Do not forget to set up and record supervision, especially with sensitive data: “who looked at what when”. Also have a process in place to detect and follow up on abuse. In films I often see that someone logs into the computer of the FBI and immediately all flashing lights go off and people are alarmed.


In addition to the above, the process-based design of your organization with regard to security is at least as important. After all, the dutch saying goes “… opportunity makes the thief…”. Make sure that functions are coordinated in such a way that they need, supplement and control each other. Also make sure you don't put up too few barriers, but not too many. When there are too many barriers, you often see that it is difficult to be authorized during a leave or vacation of a colleague and that the identification and authorization of the colleague is then used. Well then the technology does not help against this either. "On-boarding" and "off-boarding" are also important. When someone starts working, but more importantly when someone stops working and leaves the organization. What goes wrong even more often is when someone is promoted and goes to work at another department to adjust his authentication (throughput). On-, off-boarding and promotion must be well anchored in the processes of the organization.


As a last point I would like to emphasize the social. The organization must invest in a safety culture. A culture in which employees are aware of and care about the dangers and risks. Make sure that this awareness is close to the individual norms and values. Management must also listen to employees and take steps when matters are raised correctly. Downplaying is detrimental to all of the foregoing, if the boss doesn't care about security, why should we? So you see again that the keyword is cooperation!


 


Casper.

https://www.casperotto.nl/en-gb/home

https://www.casperotto.nl/en-gb/blog



Photo: The New Dutch Waterline;

https://nieuwehollandsewaterlinie.nl/

https://odeaandehollandsewaterlinies.nl/


Blog

Productontwikkeling (deel 4);

Productontwikkeling (deel 4); "Doorontwikkeling"

door Casper 26 september 2021
Eindelijk is het zo ver. Na lang testen, veranderen en ‘bij-’schaven kunnen we starten met de onthulling. Na maanden gewerkt te hebben aan het product gaat de wereld er kennis mee maken. Hoe pak je dat aan. In dit vierde deel van de reeks wil ik daar dieper op in gaan.
Productiewaardig maken

Productontwikkeling (deel 3); "Productiewaardig maken"

door Casper 16 mei 2021
Het idee is geboren, de ooievaar is geland. Hoe pak je als organisatie door? Welke stappen moet je nemen om het idee een goede overlevingskans te geven?
Productontwikkeling Creativiteit

Productontwikkeling (deel 2); "Creativiteit"

door Casper 5 april 2021
Dit blog is de tweede in de serie en gaat over creativiteit in relatie tot productontwikkeling.
Productontwikkeling

Productontwikkeling (deel 1); "De harde aspecten"

door Casper 21 maart 2021
Productontwikkeling het begint vaak met een idee, een gedachte aan iets nieuws, beetje in de zin van; “Wat zou het mooi zijn als …..”. Hoe ga je daarmee om binnen een organisatie. Deel 1; "De harde aspecten".
Security by design

Security by design

door Casper 31 januari 2021
Laatste tijd hoor ik er veel over in de media; - datalekken -. We leggen veel data vast in systemen welke relatief makkelijk zijn in gebruik. Wat kun je als organisatie doen om misbruik tegen te gaan?
Schaalbare Architectuur

Schaalbare Architectuur

door Casper 6 december 2020
Een ' must have ' voor iedere organisatie. (click here for English version)

Big Data

door Casper 4 oktober 2020
Websites, slimme apparaten, het internet der dingen (IOT) het lijkt wel een stofzuiger voor het verzamelen van data, veel data. Als je naar de curves in de grafieken kijkt van hoeveelheden data die worden opgeslagen zie je dat exponentieel toenemen; “Big Data”.
User eXperience

User eXperience

door Casper 19 september 2020
Dit blog gaat over het ontstaan van een digitaal platform, in mijn subtitel aangegeven als ‘woud’. Steeds meer organisaties ontdekken de meerwaarde van een digitaal platform, maar worstelen met de invulling ervan.
Omnichannel

Omnichannel

door Casper 23 augustus 2020
De afgelopen periode zijn er veel apparaten en mogelijkheden bijgekomen. We leven in een technologie tijdperk. Soms vraag ik me wel eens af of de techniek er is om ons te helpen of andersom? Omnichannel Strategie kan je daar bij helpen, mits je hem aanvliegt vanuit de gebruiker.
Headless Architecture

Headless Architecture

door Casper 1 juni 2020
Nu er veel nagedacht wordt over Digitale Transitie rijst de vraag; “ Wat doen we met al die digitale gegevens? ” Waar vroeger de website het eindstation was zijn er anno 2020 betere oplossingen. Waarom je beperken tot een website, of mobiel? “ -- Mobile first -- ” is een veel gehoorde kreet. Ik pleit er voor dat om te bouwen naar “ -- API-first -- ” (API staat voor; Application Programming Interface). Als we de software architectuur verdelen in een voor- en achterkant en we zetten daar een laag tussen die dat allemaal verbindt. We waren immers toch al bezig met het schaalbaar maken van de backend systemen (achterkant) in het kader van de digitale transformatie (Lees ook mijn blog over Digitale Transformatie , https://www.casperotto.nl/digitale_transformatie ). Hoe mooi is het als je een API-laag creëert waarop je alles zou kunnen aansluiten: een website of een mobiele applicatie of een koppeling met een ander platform of ….. wat je maar wil. Je bent flexibel om te doen wat voor jouw bedrijf het beste is. Bijvoorbeeld voor klanten een portaal realiseren waar ze zaken zelf kunnen regelen. Of koppelen met een ander portaal van een partner bedrijf. Ongekende mogelijkheden. Van belang is wel om de digitale transformatie goed door te voeren. Als systemen op een goede manier gekoppeld zijn heb je daar veel profijt van. Belangrijke vraagstukken zul je moeten beantwoorden (onder andere); • Welke delen van de architectuur gedragen real time, welke niet? • Waar leg ik gegevensverzamelingen aan? • Waar moet ik buffers creëren om niet (te) afhankelijk te zijn van andere systemen? • Waar maak ik gebruik van API’s en waar van (micro) services? Belangrijk is om goed het evenwicht in het oog te houden. Net als met alle goede apparaten moeten de componenten in balans zijn. Alleen dan werkt het optimaal samen. Naast het technische is het ook belangrijk dat je een groep met de juiste mensen samen stelt. Met focus op techniek, business en financiën. Multi disciplinair, laat ze samen werken, stel kaders op maar zo min mogelijk doelen. Laat het team dat doen, je kunt de uitkomst toetsen aan de strategie welke je voor ogen hebt. Misschien word je wel verrast met een uitkomst die je niet voor mogelijk had gehouden. Dat geeft je als ondernemer ook een boost, nieuwe terreinen verkennen, nieuwe dingen leren en ontdekken. Iedere disruptieve gebeurtenis, hoe vervelend ook, opent de deur voor nieuwe kansen en oplossingen. Laten we er wat mee doen! Casper. https://www.casperotto.nl/ https://www.casperotto.nl/blog
Meer posts
Share by: