Security maatregelen
"We're Gonna Need a Bigger Boat"
De security noodsloep:
Vaak denkt men verkeerdelijk dat als je wat beveiligingsproducten aankoopt, zoals een antivirus, een antispam en een firewall dat je bedrijfsbeveiliging op orde is. Spijtig genoeg klopt dat helemaal niet. Je hebt immers acties te nemen op 3 beveiligingsdomeinen:
- Producten
- Security Policy
- De Mens
Producten
- Antimalware (antivirus + antispam +…)
- Firewall (next generation)
- Datacenter security (De servers dienen beveiligd, zowel op fysisch security gebied als de nodige beveiligingsoftware hebben)
Antimalware
Wat is een firewall ?
namelijk op het kruispunt van de datastromen. Toch hebben ook individuele computers of andere endpoints nog altijd hun eigen beveiliging nodig en een "persoonlijke firewall"
Security Policy
De manier waarop een bedrijf omgaat met security ligt vast in de "security policy" van het bedrijf. Stap 1 is er uiteraard voor zorgen dat men een "security policy" heeft. Bij kleine organisaties ontbreekt die meestal...
Een studie van InSites Consulting leert dat slecht 21% van de Belgische bedrijven een seurity policy opgesteld hebben... Dit is ontstellend !
(bron: InSites Consulting, Smart Business Strategies, 2013, N=401)
In dezelfde studie werd ook gevraagd wat de investeringsprioriteiten voor de komende 12 maanden waren:
Wat moet een security policy doen?
Een beveiligingsbeleid of security policy geeft op een gestructureerde manier weer hoe uw bedrijf zijn waardevolle assets (data, maar ook processen) het best beschermt. Zo’n algemeen beveiligingsbeleid gaat vrij breed. Het omvat zowel de fysieke toegangscontrole over deuren en wie er sleutels krijgt voor welke gebouwen, als het IT-beleid. Wanneer het specifiek gaat over het beschermen van data, heeft men het meestal over information security policy. Deze policy omvat paswoord- en firewallbeleid, maar ook wie toegang krijgt tot en wat mag doen op bedrijfswebsites, bedrijfstoepassingen, systemen en processen, op welke manier data worden opgeslagen, wie er op het WiFi-netwerk van het bedrijf mag enzovoort. Vergeet ook nooit het fysieke aspect: als uw belangrijkste server op een onbewaakte, voor buitenstaanders bereikbare plek staat, zijn uw data niet veilig, hoeveel firewalls u ook gebruikt.
Wat staat er in?
Een beveiligingsbeleid moet in de eerste plaats antwoord geven op een aantal concrete vragen: wie is verantwoordelijk voor welk proces en wie moet dus ingrijpen bij problemen? Welke processen en IT-systemen zijn bedrijfskritiek en mogen nooit uitvallen? Wie mag ze gebruiken?, enzovoort.
Waarom heb ik een uitgebreid beveiligingsbeleid nodig?
Om de haverklap verschijnen er in de media berichten over vertrouwelijke informatie die verloren is gegaan of openbaar werd gemaakt. Vooral de toegenomen mobiliteit van data door het gebruik van mobiele dragers zoals usb-sticks, smartphones, tablets en laptops brengt grotere risico’s met zich mee.
En met de toenemende populariteit van thuiswerk en BYOD (bring your own device), is extra beveiliging nog meer aangewezen.
Het is voor een bedrijf dan ook van het grootste belang dat het haar visie op beveiliging en de uitwerking van die visie duidelijk omschrijft, bijvoorbeeld wie toegang heeft tot welke data en welke beveiligingsmaatregelen daarvoor genomen moeten worden. Een goed beleid moet niet alleen regels vastleggen, het moet ook werknemers alert houden en hen bewustmaken van veiligheid. Zij moeten er immers aan denken om niet hun eigen naam als paswoord te gebruiken of hun wachtwoord niet op een briefje te schrijven en op hun bureau te leggen.
Paswoordpolitiek
- Er moet een wijzigingsinterval zijn waarna je paswoord vervalt (vb: 60 dagen). Deze regel zorgt er automatisch voor dat als een paswoord toch uitlekt het niet zo lang bruikbaar zal zijn. Dit helpt ook om accounts van verdwenen medewerknemers te deactiveren ook al was men dit vergeten.
- Deel je paswoord NOOIT met een ander. De enig juiste manier is toegang aanvragen voor die ander met zijn eigen login.
- Een minimale complexiteit voor het paswoord dient opgelegd (combinatie van cijfers, symbolen en letters, minimum lengte, geen bestaande woorden,...)
Gebruik niet hetzelfde paswoord op verschillende websites, sociale media, mail, paypal, enz. Dit is uiteraard levensgevaarlijk. Bedenk een algoritme waardoor je wachtwoord per website verandert en je enkel het startpaswoord en het algoritme hoeft te onthouden. (bijv..: De 2e letter van de naam van de website wordt de laatste letter van mijn paswoord) Of gebruik een paswoordmanager, bijv. https://www.password-depot.com/
Updates & Patches
Uit "besparingsredenen" blijven bedrijven vaak stokoude versies van software gebruiken, terwijl de fabrikant reeds lang met de ondersteuning gestopt is. Dit is levensgevaarlijk!. Heel wat overheden, ziekenhuizen, bedrijven die die fout gemaakt hebben door net Windows XP nog te gebruiken midden 2017 hadden goed prijs met het WannaCry ransomware incident:
bron: https://www.mirror.co.uk/tech/how-many-computers-still-running-10425650
Je kunt op de link https://www.netmarketshare.com/operating-system-market-share opzoeken wat het markaandeel van oude operating systemen vandaag is. Onderstaande tabelletje voor 8/maart/2018. Er zijn veel meer Windows XP systemen dan gloednieuwe MAC's.......
Wat is identity & access management (IAM)?
In zijn meest elementaire vorm is identity & access management beperkt tot het opslaan van identiteitsgegevens en het raadplegen ervan wanneer een gebruiker of toestel zich probeert aan te melden. En zal IAM vervolgens dan al of niet toegang bieden. In dat geval bestaat IAM enkel uit basistaken zoals het toekennen, beheren en wijzigen van wachtwoorden.
In grotere ondernemingen komt er echter heel wat meer bij kijken, zoals het toekennen van de juiste machtigingen aan nieuwe personen (vaak provisioning genoemd), het terug wegnemen van die machtigingen (deprovisioning) wanneer een persoon het bedrijf verlaat of het doorvoeren van de nodige wijzigingen wanneer iemand van functie verandert. Daarnaast is ook het beheer van externe gebruikers een steeds belangrijker onderdeel van identiteitsbeheer, bijvoorbeeld om partners of klanten toegang te bezorgen op uw systeem.
Mensen
Ook de grootste bron van datadiefstal zijn je eigen medewerkers. Let vooral op voor situaties waar iemand het bedrijf zal verlaten. Vaak grist men dan klantenbestanden, offertes e.d. mee om die bij de nieuwe werkgever te gebruiken of voor zichzelf als men als zelfstandige start.
Onderzoek: Wat zijn de grootste security riscio's in mijn bedrijf ?
- Virussen & malware 18%
- Hackers 14%
- Eigen personeel 48%
- Panne (disk crash…) 20%