Tien praktische tips om vandaag al je informatiebeveiliging te verbeteren!
Informatiebeveiliging kan soms aanvoelen als een abstract begrip. Ja, we willen allemaal de integriteit van onze data bewaken. Ervoor zorgen dat de business door kan blijven draaien. Maar hebben we de risico’s wel voldoende in het vizier, om dit goed te kunnen waarborgen? Het loont om een uitgebreide risico analyse te doen en prioriteiten te stellen, maar ook dat kan voelen als een grote stap. Begin daarom gewoon met een aantal praktische vraagstukken. We leggen je er tien voor in dit artikel.
#1 Omgang met wachtwoorden
We beginnen deze tip met een video:
Hoe herkenbaarder het filmpje, des te beter het is om vandaag nog je wachtwoord(en) aan te passen.. Houd daarbij rekening met deze tips, om toegang tot jouw accounts nog moeilijker te maken:
✔ Maak gebruik van multi-factor authenticatie
✔ Gebruik voor elk account een eigen wachtwoord
✔ Onthoud: lengte van je wachtwoord is belangrijker dan complexiteit
✔ Verzin wachtwoorden die moeilijk te raden zijn, maar makkelijk te onthouden..
✔ Overweeg het gebruik van een passwordmanager
✔ Deel je wachtwoord nooit met een ander!
#2 Updaten & Patchen
Daar waar men meestal de eigen besturingssystemen nog wel voorziet van de laatste updates, zien we dat dat voor applicaties al een stuk minder vaak gebeurt. Zoomen we nog wat verder in op de machines in een netwerk, dan zien we nog minder vaak bijgewerkte firmware.
Software én hardware continu blijven updaten, zorgt ervoor dat hackers zo min mogelijk de kans krijgen om gebruik te maken van bekende zwakheden in je software of hardware. Kijk daarbij dus, zoals gezegd, verder dan alleen de applicaties die op een device draaien. Elk apparaat in je netwerk is een potentiële bron van risico en verdient dus aandacht. Want wat dacht je bijvoorbeeld van je Wi-Fi printer?
#3 Encryptie
We zien het vaak: een goede beveiliging van het netwerk. In het pand een duidelijke bezoekersregistratie. Een passend wachtwoordbeleid.
Kortom; beveiliging heeft een aardige focus. Maar dan wordt er een laptop gestolen, of iemand raakt zijn mobiele telefoon kwijt. Hoe zit het dan met de data op die devices? Is die wel goed beveiligd?
Encryptie is hiervoor een oplossing. Encryptie is het proces van het omvormen van leesbare data naar een gecodeerde variant. Encrypted data kan daarmee alleen worden gelezen nadat het gedecodeerd wordt met een unieke sleutel.
Het versleutelen van je harde schijven zorgt ervoor dat je ook bij verlies of diefstal meer op je gemak kunt blijven. Door je opslagmedia te voorzien van encryptie, voorkom je dat gevoelige data direct beschikbaar is voor degene die jouw apparaat in handen heeft gekregen.
#4 Eerst checken, dan klikken!
De beste manier om te voorkomen dat je slachtoffer wordt van phishing of van het downloaden van malafide software, is jezelf aan te leren altijd eerst de link te controleren. Daarvoor hover je over de link; dus je zet je cursor erop, maar klikt je nog niet. Je browser of mail client zal je laten zien waar de link toe leidt.
✔ Ga je naar een domein dat je zou mogen verwachten? In een mail van je bank mag je een URL verwachten die bij je bank hoort, zonder rare andere toevoegingen.
✔ Linkt het naar een bestandstype? Verwacht je dat? Een link naar een pdf bestand is logisch als je een whitepaper wilt lezen. Een link naar een uitvoerbaar bestand is niet logisch als je een whitepaper wilt lezen.
Door altijd deze korte checks te doen, verklein je de kans op ongewenste toegang tot je gegevens en financiële schade.
#5 Backup!
Al je inspanningen ten spijt, het kan natuurlijk gebeuren dat je toch slachtoffer wordt van ransomware of malware. Een goede backup is dan essentieel. En dat lijkt misschien een open deur, maar we zien nog vaak genoeg dat backups niet of niet optimaal zijn ingericht.
Voorkom in ieder geval deze veel gemaakte vergissingen:
✔ De backup is niet ingesteld voor ALLE relevante data. Bijvoorbeeld door het ontbreken van beleid bij de inrichting van nieuwe servers of devices.
✔ Er is slechts één complete backup en op de kantoorlocatie. Wat is nu je scenario als er brand uitbreekt?
✔ Überhaupt vertrouwen op één backup. Fouten door menselijk toedoen, software bugs of hardware defecten: ze kunnen die ene backup in gevaar brengen. Zorg dus dat je je backup dubbel en fysiek gescheiden van elkaar uitvoert.
✔ De integriteit van de backup wordt niet gecontroleerd. Om zeker te weten dat je klaar bent voor calamiteiten, check je frequent het terugzetten van bestanden en kritieke applicaties. Zo ben je voorbereid op het moment dat het écht nodig is.
#6 Mobile Devices Policy
De veiligheid van de devices waarop in je organisatie wordt gewerkt, borg je grofweg op twee manieren:
✔ Door awareness te vergroten op individueel niveau. Om duidelijk te maken dat je je bluetooth niet standaard aan wilt hebben. Dat je liever niet verbindt met een onveilig WiFi netwerk. Om duidelijk te maken welke gegevens je wel en niet via Whatsapp uitwisselt.
✔ Door centraal maatregelen in te richten. Forceer een pincode of wachtwoord voor mobiele apparaten. Maak het op afstand wissen van het device mogelijk voor je systeembeheerders. Zorg voor encryptie én voor traceermogelijkheden bij diefstal of verlies.
Bij veel organisaties wordt al goed nagedacht over de centrale maatregelen voor de devices die zélf beschikbaar worden gesteld aan werknemers. Maar hoe borg je de veiligheid als medewerkers hun zakelijke mail op een privé device kunnen bekijken? Heb je die risico’s al in kaart?
#7 Laat een pentest uitvoeren
Om hem maar wat Cruijffiaans af te trappen: je weet niet, wat je niet weet. Het is goed mogelijk dat je naar eer en geweten én naar de kennis van de IT’ers in je organisatie de beveiliging van je bedrijfsgegevens hebt ingericht. Maar is het goed genoeg?
Een pentest kan uitkomst bieden. Je laat dan experts op verschillende niveau’s op zoek gaan naar kwetsbaarheden. Je kunt laten testen hoe veilig je data is voor kwaadwillenden van buitenaf. Maar ook intern, kunnen pentesters duidelijk maken welke toegangsrechten en mogelijkheden er zijn voor de diverse lagen in je organisatie. Is de salarisadministratie wel goed afgeschermd? Is de toegang tot de server met bedrijfskritieke processen wel afgeschermd?
De pentest zorgt er dus voor dat je te weten komt, wat je nog niet wist. Een goede pentester levert je een concrete lijst met zwakheden, die je vervolgens naar volgorde van risico kunt oppakken om de informatiebeveiliging naar een hoger plan te trekken.
#8 Least Privilege Principle
We zien het vaak: een applicatie of bedrijfsproces heeft meer rechten nodig, om goed te kunnen draaien. De operationeel verantwoordelijke vraagt rechten aan om zijn werk goed te kunnen doen. Om zeker te weten dat de gebruiker zijn werk kan uitvoeren, worden er de hoogste rechten toegekend. Een soepel draaiende applicatie als gevolg. Mooi, denk je wellicht. Maar wat te vinden van die medewerker in je organisatie met administrator rechten?
We pleiten dan ook voor het toekennen van rechten volgens het Least Privilege Principle. Hierbij zorg je er in de toekenning van de rechten voor dat gebruikers (en applicaties) nooit meer rechten krijgen, dan strikt noodzakelijk is voor het uitvoeren van de noodzakelijke taken. Een belangrijke security best practice, waarmee je risico’s én impact tot een minimum beperkt. Vraag dus volgende keer eens concreet door bij die Developer; wat moet hij precies testen? Welke rechten zijn daarvoor nodig? En beperk je daartoe!
#9 Exit Policy
Tijdens een dienstverband heb je de gebruikersrechten goed geregeld (zeker na het doorvoeren van de vorige tip). Je medewerkers kunnen alleen bij die informatie die voor hen bedoeld is, op devices waarover jij de regie voert. Op gepatchte hardware, in een veilig en regelmatig getest netwerk.
So far so good. Maar hoe gaat het op het moment dat de medewerker uit dienst gaat? Hoe lang mag een medewerker nog toegang hebben tot bedrijfsmiddelen? En tot welke? Welke actie zet een keten van vervolgacties in gang die leiden tot het correct afsluiten van een account?
Je doet er goed aan allereerst een beleid te formuleren en vervolgens zoveel mogelijk van deze acties te automatiseren, om menselijk handelen (en dus vergeten) zoveel als mogelijk uit te sluiten. Extra tip: maak ook beleid voor medewerkers die met een conflict uit dienst gaan. Daar wil je wellicht versneld te werk gaan..
#10 Awareness moet je trainen
Alle tips uit dit artikel zijn nuttig. Maar de rode draad is, dat je beveiliging slechts zo sterk is als je zwakste schakel. En die zwakste schakels, dat zijn wij zelf: de mensen die werken met systemen en informatie.
Je wachtwoord kan ijzersterk en onkraakbaar zijn, maar wat is dat waard als het op een post-it op je beeldscherm hangt? Je update beleid kan fantastisch zijn ingericht, maar wie checkt of het ook werkt? Of je daadwerkelijk bij bent?
Informatiebeveiliging moet top of mind blijven, om de kans te vergroten dat mensen ernaar handelen. En daarom moet je trainen. E-Learnings, live trainingen of spelvormen: allemaal middelen die je kunt én moet inzetten, om ervoor te zorgen dat je medewerkers de juiste keuzes blijven maken in de omgang met je bedrijfsdata.
Benieuwd hoe wij onze opdrachtgevers ondersteunen op het gebied van het vergroten van Security Awareness? Neem vooral contact op óf schrijf je in voor onze nieuwsbrief en ontvang meer nuttige tips.