TSTC: Een horloge verschaft toegang tot de bedrijfsmail

Emile Kok, Directeur TSTC

Het cliché bestaat al dat je als ICT’er constant bij moet leren. Voor securityprofessionals geldt dat dubbel, vooral met ontwikkelingen als BYOD en IoT in volle vaart. Opleiders moeten daar net zo goed in mee gaan. Daarom dat een partij als TSTC zijn trainingsaanbod constant uitbreidt.

 

Organisaties gaan een grote uitdaging tegemoet als het gaat om gegevensbescherming, zo begint Emile Kok, de directeur van opleider TSTC, zijn verhaal. Daarom ook dat het aanbod van TSTC wordt uitgebreid. “We zijn al dertien jaar bezig met cybersecurity, waarbij je bijvoorbeeld moet denken aan trainingen in ethisch hacken”, zegt hij. “Dat blijft groeien. Maar door zaken als Internet of Things verandert de markt enorm omdat er nieuwe, onverwachte kwetsbare plekken ontstaan die via een omweg toegang kunnen geven tot belangrijke gegevens. Je ziet dat de trainingsmarkt langzaam maar zeker die kant op schuift. De trainingen die er nu zijn, spelen daarop in, maar het gaat niet zo snel. Daarom zetten we een nieuwe training op, noem het Cybersecurity 2.0, waarin we voornamelijk ingaan op IoT.”

Verdieping

Emile Kok

Het is een verdiepingsslag voor bestaande cursisten die in het verleden al zijn getraind in hoe ze ICT-omgevingen moeten beveiligen. “Ze weten al wat ze moeten doen om systemen dicht te zetten en hackers tegen te werken. Maar met de komst van mobiele telefoons en Bring Your Own Device is het allemaal al losser geworden. Daar moesten ze al op inspelen.” IoT is in schaal echter niet vergelijkbaar, met miljarden apparaten die wereldwijd opeens op bedrijfsnetwerken verschijnen. “Plotseling kun je via allerlei nieuwe manieren op het netwerk van bedrijven komen, en daarmee achter gegevens komen. Daar wordt nog te weinig aandacht aan besteed.”

Fataal

Als voorbeeld noemt hij IoT-devices die door medische organisaties worden gebruikt. “Daar kun je privacygevoelige gegevens van af halen. Maar het hacken van zulke devices kan wellicht ook fatale consequenties hebben voor de gezondheid van de patiënt. Mijn eigen smartwatch is bijvoorbeeld gekoppeld aan mijn telefoon en dus ook aan bedrijfsmail, en zo kun je dus via het horloge toegang krijgen tot het bedrijfsnetwerk.” De dynamiek betekent dat securityprofessionals constant moeten bijblijven, meer nog dan andere ICT’ers. “Ooit was de securityprofessional verantwoordelijk voor wat binnen het bedrijfsnetwerk gebeurt”, zegt Kok. “Nu moet hij veel alerter zijn op aanvallen die uit andere hoeken komen. Je moet dus op de hoogste zijn van nieuwe protocollen.”

Certifieringen

Het mag geen verrassing zijn. Al jaren geldt dat de eisen die leveranciers aan ICT-beheerders stellen steeds strenger worden. “Toen ik in deze branche begon, in 1993, werden mensen gewoon naar opleidingen gestuurd, zonder dat die de noodzaak ervan zagen”, vertelt Kok. Maar toen werden certificeringen belangrijk, vooral in Nederland. Dat zorgt voor motivatie, voor status. Een certificering behield je echter altijd als je het eenmaal had gehaald. Maar je moet nu aantonen dat je daadwerkelijk bij blijft. Je kan niet een cursus doen en denken dat je alles weet.”

Omdat security zo ontzettend breed is, vindt Kok het cruciaal dat professionals niet alleen de diepte opzoeken. “Toen wij begonnen had je één training, ethisch hacken. Ondertussen heb je er zestig tot zeventig. Je moet weten wat er zoal beschikbaar is”, zegt hij. “Een verdieping in cryptografie is bijvoorbeeld voor een kleine doelgroep, maar zeer interessant. De setting verandert, zoals we zien met IoT, dus je moet kennis blijven vergaren.”

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine 2019, nummer 2]

Lees het artikel hier in PDF