De security noodsloep :: e-SkillsBusinessToolbox

Startpagina > Security > De security noodsloep

Security maatregelen

Image courtesy of Luigi Diamanti at FreeDigitalPhotos.net

"We're Gonna Need a Bigger Boat"

De security noodsloep:

Vaak denkt men verkeerdelijk dat als je wat beveiligingsproducten aankoopt, zoals een antivirus, een antispam en een firewall dat je bedrijfsbeveiliging op orde is. Spijtig genoeg klopt dat helemaal niet. Je hebt immers acties te nemen op 3 beveiligingsdomeinen:

Producten
Security Policy
De Mens

In dit hoofdstuk bespreken we die verder. Als je bedrijven hierover ondervraagt valt het op dat "security policy" echt wel vaak ontbreekt:

Producten

Wat is de productfamilie die je voor beveiliging nodig hebt ?

Je moet 3 grenzen bewaken. Het is volstrekt fout slechts 1 of 2 van die grenzen te bewaken, want dan raken de hackers toch vlot binnen.

Die grenzen zijn:

Antimalware (antivirus + antispam +…)
Firewall (next generation)
Datacenter security (De servers dienen beveiligd, zowel op fysisch security gebied als de nodige beveiligingsoftware hebben)

Antimalware

Antivirus software. Best zowel op de PC's, tablets als op de servers. Bovendien best een verschillend "merk" op je servers dan op je PC's - immers een fabrikant van antivirussoftware kan een bepaald virus niet detecteren terwijl een andere dat wel doet. De challenge is hier BYOD (bring your own device). Je mag niet toelaten dat mensen met hun privé toestellen die geen antivirus hebben zomaar op je netwerk koppelen en zo virussen binnen brengen.

Antispyware. Antivirussoftware vervult meestal ook de rol van Antispyware, alhoewel er specifieke antispyware producten op de markt zijn. Bijvb.: (ad-aware, superantispyware,...). Spyware stuurt informatie over een persoon of organisatie zonder hun toestemming naar een andere partij, meestal om informatie voor marketingdoeleinden te verzamelen.

Antispam software: deze zit op je mailserver om spam tegen te houden

Wat is een firewall ?

Een firewall, vaak een combinatie van soft- en hardware, controleert zowel het dataverkeer dat binnenkomt als het verkeer dat buitengaat. Deze toepassing wordt ook wel eens omschreven als een elektronisch controlepunt. Zoals de naam zegt, plaatst een firewall een (virtuele) muur tussen het interne netwerk en de buitenwereld en/of andere interne segmenten, zoals het datacenter. Hierdoor wordt de beveiliging toegepast op de juiste plaats binnen uw organisatie,
namelijk op het kruispunt van de datastromen. Toch hebben ook individuele computers of andere endpoints nog altijd hun eigen beveiliging nodig en een "persoonlijke firewall"

Security Policy

De manier waarop een bedrijf omgaat met security ligt vast in de "security policy" van het bedrijf. Stap 1 is er uiteraard voor zorgen dat men een "security policy" heeft. Bij kleine organisaties ontbreekt die meestal...

Een studie van InSites Consulting leert dat slecht 21% van de Belgische bedrijven een seurity policy opgesteld hebben... Dit is ontstellend !

(bron: InSites Consulting, Smart Business Strategies, 2013, N=401)

In dezelfde studie werd ook gevraagd wat de investeringsprioriteiten voor de komende 12 maanden waren:

Wat moet een security policy doen?

Een beveiligingsbeleid of security policy geeft op een gestructureerde manier weer hoe uw bedrijf zijn waardevolle assets (data, maar ook processen) het best beschermt. Zo’n algemeen beveiligingsbeleid gaat vrij breed. Het omvat zowel de fysieke toegangscontrole over deuren en wie er sleutels krijgt voor welke gebouwen, als het IT-beleid. Wanneer het specifiek gaat over het beschermen van data, heeft men het meestal over information security policy. Deze policy omvat paswoord- en firewallbeleid, maar ook wie toegang krijgt tot en wat mag doen op bedrijfswebsites, bedrijfstoepassingen, systemen en processen, op welke manier data worden opgeslagen, wie er op het WiFi-netwerk van het bedrijf mag enzovoort. Vergeet ook nooit het fysieke aspect: als uw belangrijkste server op een onbewaakte, voor buitenstaanders bereikbare plek staat, zijn uw data niet veilig, hoeveel firewalls u ook gebruikt.

Wat staat er in?

Een beveiligingsbeleid moet in de eerste plaats antwoord geven op een aantal concrete vragen: wie is verantwoordelijk voor welk proces en wie moet dus ingrijpen bij problemen? Welke processen en IT-systemen zijn bedrijfskritiek en mogen nooit uitvallen? Wie mag ze gebruiken?, enzovoort.

Verregaande security policy's schrijven ook voor op welke manier hardware moet worden aangepakt of vernietigd,(een afgedankte PC weggeven aan een goed doel zonder bedrijfsgegevens te wissen is geen goed idee...) zodat de data die erop stonden zeker gewist zijn. Ook zullen ze encryptie- en veiligheidsmaatregelen voor toestellen zoals smartphones en laptops formuleren. Steeds meer bedrijven voegen aan hun beleid ook clausules toe over sociale netwerken zoals Facebook.

Waarom heb ik een uitgebreid beveiligingsbeleid nodig?

Om de haverklap verschijnen er in de media berichten over vertrouwelijke informatie die verloren is gegaan of openbaar werd gemaakt. Vooral de toegenomen mobiliteit van data door het gebruik van mobiele dragers zoals usb-sticks, smartphones, tablets en laptops brengt grotere risico’s met zich mee.
En met de toenemende populariteit van thuiswerk en BYOD (bring your own device), is extra beveiliging nog meer aangewezen.
Het is voor een bedrijf dan ook van het grootste belang dat het haar visie op beveiliging en de uitwerking van die visie duidelijk omschrijft, bijvoorbeeld wie toegang heeft tot welke data en welke beveiligingsmaatregelen daarvoor genomen moeten worden. Een goed beleid moet niet alleen regels vastleggen, het moet ook werknemers alert houden en hen bewustmaken van veiligheid. Zij moeten er immers aan denken om niet hun eigen naam als paswoord te gebruiken of hun wachtwoord niet op een briefje te schrijven en op hun bureau te leggen.

Paswoordpolitiek

Eén van de klassieke elementen die deel uitmaken van een security policy zijn paswoordregels:

Een goede paswoord politiek dient aan volgend "regeltje van 3" te voldoen:

Er moet een wijzigingsinterval zijn waarna je paswoord vervalt (vb: 60 dagen). Deze regel zorgt er automatisch voor dat als een paswoord toch uitlekt het niet zo lang bruikbaar zal zijn. Dit helpt ook om accounts van verdwenen medewerknemers te deactiveren ook al was men dit vergeten.
Deel je paswoord NOOIT met een ander. De enig juiste manier is toegang aanvragen voor die ander met zijn eigen login.
Een minimale complexiteit voor het paswoord dient opgelegd (combinatie van cijfers, symbolen en letters, minimum lengte, geen bestaande woorden,...)

Gebruik niet hetzelfde paswoord op verschillende websites, sociale media, mail, paypal, enz. Dit is uiteraard levensgevaarlijk. Bedenk een algoritme waardoor je wachtwoord per website verandert en je enkel het startpaswoord en het algoritme hoeft te onthouden. (bijv..: De 2e letter van de naam van de website wordt de laatste letter van mijn paswoord) Of gebruik een paswoordmanager, bijv. https://www.password-depot.com/

Updates & Patches

Het is veel makkelijker om geen security updates op geautomatiseerde wijze in je bedrijf uit te voeren - denken velen. Bij overwerkte ICT organisaties is dat inderdaad vaak het geval: men wacht lang voor men nog eens updates uitvoert. Die traagheid verhoogt in hoge mate de kwetsbaarheid van het bedrijf en is niet toelaatbaar. Hier dient management in te grijpen bij ICT indien geen professionele attitude aanwezig is.

Uit "besparingsredenen" blijven bedrijven vaak stokoude versies van software gebruiken, terwijl de fabrikant reeds lang met de ondersteuning gestopt is. Dit is levensgevaarlijk!. Heel wat overheden, ziekenhuizen, bedrijven die die fout gemaakt hebben door net Windows XP nog te gebruiken midden 2017 hadden goed prijs met het WannaCry ransomware incident:

bron: https://www.mirror.co.uk/tech/how-many-computers-still-running-10425650

Je kunt op de link https://www.netmarketshare.com/operating-system-market-share opzoeken wat het markaandeel van oude operating systemen vandaag is. Onderstaande tabelletje voor 8/maart/2018. Er zijn veel meer Windows XP systemen dan gloednieuwe MAC's.......

Wat is identity & access management (IAM)?

In zijn meest elementaire vorm is identity & access management beperkt tot het opslaan van identiteitsgegevens en het raadplegen ervan wanneer een gebruiker of toestel zich probeert aan te melden. En zal IAM vervolgens dan al of niet toegang bieden. In dat geval bestaat IAM enkel uit basistaken zoals het toekennen, beheren en wijzigen van wachtwoorden.
In grotere ondernemingen komt er echter heel wat meer bij kijken, zoals het toekennen van de juiste machtigingen aan nieuwe personen (vaak provisioning genoemd), het terug wegnemen van die machtigingen (deprovisioning) wanneer een persoon het bedrijf verlaat of het doorvoeren van de nodige wijzigingen wanneer iemand van functie verandert. Daarnaast is ook het beheer van externe gebruikers een steeds belangrijker onderdeel van identiteitsbeheer, bijvoorbeeld om partners of klanten toegang te bezorgen op uw systeem.

Mensen

Bijna zonder uitzondering zijn uw medewerkers de zwakste veiligheidsschakel. Zolang zij niet begrijpen dat die virusscanner heel wat meer doet dan de laptop vertragen, gaan ze hem misschien proberen uit te schakelen. En zonder duidelijke communicatie over mp3-spelers, usb-sticks en digitale camera’s mag het u niet verbazen als iemand op die manier per ongeluk een virus binnensmokkelt. Bijscholing, procedures, communicatie en geregelde (externe) audits leveren soms sneller resultaat op dan de pure implementatie van technische oplossingen.

Ook de grootste bron van datadiefstal zijn je eigen medewerkers. Let vooral op voor situaties waar iemand het bedrijf zal verlaten. Vaak grist men dan klantenbestanden, offertes e.d. mee om die bij de nieuwe werkgever te gebruiken of voor zichzelf als men als zelfstandige start.

Onderzoek: Wat zijn de grootste security riscio's in mijn bedrijf ?

Virussen & malware 18%
Hackers 14%
Eigen personeel 48%
Panne (disk crash…) 20%

Bron: Smart Business, ZDNet.be, InfoSecurity, N = 185