Security: technische maatregelen informatiebeveiliging
Deze periode gaan wij dieper in op het thema security, ook wel informatiebeveiliging. In onze vorige blog "een introductie in informatiebeveiliging" leggen wij in begrijpbare taal uit wat de meest voorkomende bedreigingen (Malware, Ransomware, Phishing en Vulnerabilities) zijn. We leggen uit dat, naast technische maatregelen, het bewustzijn van medewerkers en collega's cruciaal een cruciaal onderdeel is van informatiebeveiling. In deze blog duiken we in de technische maatregelen die je als organisatie kan nemen.
Voordat je technische maatregelen kunt treffen moet je weten waar informatie opgeslagen wordt en welke toegangsmogelijkheden er zijn. Daarnaast moet bekend zijn wie toegang mag hebben tot bepaalde informatie. Als dat helder is, kan de beveiliging gestructureerd opgezet worden.
Informatie is voornamelijk terug te vinden op systemen (servers, desktops en laptops) en op online diensten (OneDrive, Dropbox, Google Drive). Om toegang tot een systeem of een online dienst te krijgen zijn account- en inloggegevens (identiteit) nodig en doorgaans ook een netwerkverbinding waarover informatie getransporteerd wordt. We onderscheiden een drietal beveiligingsgebieden:
1. Identiteiten. Account- en inloggegevens
2. Systemen. Werkplekken, servers, netwerkapparatuur en verbindingen
3. Informatie. Data in de vorm van bestanden en databases
Identiteiten beveiligen
Je identiteit geeft je toegang tot bepaalde informatie. Iemand die jouw digitale identiteit weet te achterhalen, heeft daarmee niet alleen toegang tot jouw informatie maar ook tot de informatie van de organisatie waar je toegang toe hebt. De onderstaande maatregelen zijn daarom aan te bevelen.
Maatregel |
Toelichting Maatregel |
| Sterk wachtwoord | De simpelste manier van identiteitsbeveiliging is het hanteren van een wachtwoord behorend bij je gebruikersnaam. Gebruik je een te simpel wachtwoord dan is dit relatief eenvoudig te raden door een hacker. Een sterk wachtwoord kan worden afgedwongen door de beheerder van het systeem. |
| Veiligere e-mail en Anti-Phishing | Aan een sterk wachtwoord heb je niets wanneer je onbewust je inloggegevens weggeeft als gevolg van een phishing mail. Door gebruik te maken van Anti-phishing software is het mogelijk een groot deel van phishing mails af te vangen. Kort door de bocht gezegd wordt inkomende mail vergeleken met bekende Phishing mails en afgevangen wanneer er een match is. Daarnaast wordt de e-mail nog veiliger gemaakt door bescherming te bieden tegen malware en virussen die via e-mail binnenkomen waarbij ook directe koppelingen naar kwaadaardige sites tegengehouden worden. |
| Voorwaardelijke toegang en tweetraps verificatie | Informatie in de Cloud is overal toegankelijk. Dit is een enorm voordeel, maar het brengt ook risico’s met zich mee. Met voorwaardelijke toegang bepalen we hoe ver we de deur vanuit de buitenwereld openzetten. Mag je vanaf ieder apparaat en netwerk inloggen op je account? Mag het ook vanuit het buitenland bijvoorbeeld? Veel hack aanvallen komen vanuit het buitenland en zijn dus op deze wijze simpel te blokkeren. Met een tweetraps verificatie is er naast een gebruikersnaam en wachtwoord een goedkeuring nodig die verstuurd wordt naar een persoonlijk device zoals een smartphone. Zonder goedkeuring geen toegang. Hiermee kan 99% van oneigenlijke aanmeldingen voorkomen worden, zelfs wanneer je een simpel wachtwoord hebt gekozen. |
"Naast technische maatregelen is bewustzijn cruciaal. Hoe volwassen is het informatiebeveiligingsbewustzijn binnen uw organisatie?"
Systemen beveiligen
Mensen werken tegenwoordig steeds vaker vanaf meerdere apparaten. Niet alleen vanaf de zakelijke laptop maar ook vanaf een smartphone bijvoorbeeld. Daarmee hebben zij via een netwerkverbinding toegang tot informatiesystemen die op een centrale locatie staan. De onderstaande maatregelen zijn daarom aan te bevelen voor het beveiligen van systemen:
Maatregel |
Toelichting Maatregel |
| Onderhouden van software | Hackers zijn op zoek naar kwetsbaarheden in software. Fabrikanten van software houden dit nauwlettend in de gaten en bieden zogenaamde patches (pleister) of updates (verbeterde versie) om een ontdekt ‘lek’ op een systeem snel te dichten. Wanneer nieuwe beveiligingspatches aangeboden worden, passen gebruikers deze niet altijd toe of ze stellen deze uit. Op het moment dat de fabrikant een patch vrijgeeft is direct voor de buitenwereld bekend wat het lek is. Daarmee is er sprake van een openbare kwetsbaarheid, die snel verholpen moet worden. Beveiligingsupdates moeten daarom altijd snel worden doorgevoerd, waarbij wel altijd een goede afweging moet plaatsvinden of dit niet leidt tot ongewenste uitval van systemen dan wel tot niet (goed) werkende bedrijfsapplicaties. Het is zaak dat hier centraal toezicht op wordt gehouden en dat het doorvoeren van patches en updates afgedwongen worden. |
| Antivirus en Anti-malware | De meeste mensen zijn bekend met het bestaan van antivirus software. Deze software scant op de aanwezigheid van virussen op de computer en doet dit vaak in combinatie met het scannen op aanwezigheid van malware. Bekende virussen en bekende malware wordt direct geneutraliseerd zonder tussenkomst van de gebruiker. Dagelijks worden nieuw geïdentificeerde virussen en malware opgenomen in een centrale databank waarlangs de scans plaatvinden. |
| Versleutelen van data | Fysieke opslag (harde schijven) van computers en mobiele apparaten dient versleuteld te worden, zodat zich daarop bevindende data niet gelezen kan worden in geval van verlies of diefstal van het apparaat. Dit wordt ook wel encryptie genoemd. Encryptie wordt in veel organisaties niet standaard toegepast. |
Informatie beveiligen
We hebben het tot nu toe gehad over het voorkomen van ongeautoriseerde toegang tot (gevoelige) informatie. Er zijn echter diverse oorzaken te bedenken waardoor dit toch kan gebeuren, zowel bewust als onbewust. Het kan bijvoorbeeld voorkomen dat iemand per ongeluk informatie deelt met een verkeerde persoon of een te grote groep personen.
Bewustwording en training zijn hier essentieel.
Naast de hiervoor beschreven maatregelen is er een aanvullende maatregel die we kunnen nemen om informatie te beschermen. Dit is het op basis van informatie classificatie verder aanscherpen van de beveiliging.
Met classificaties kunnen we onderscheid maken in de gevoeligheid van de informatie die er in een organisatie gebruikt wordt. Omdat aanvullende beveiliging invloed kan hebben op de gebruiksvriendelijkheid en extra complexiteit kan introduceren, adviseren wij meestal om klein te beginnen. Enkele voorbeelden van maatregelen die we kunnen toepassen op basis van informatiegevoeligheid:
Gevoelige informatie mag niet gekopieerd worden naar publieke sites zoals Twitter
Gevoelige informatie mag niet geprint worden
Gevoelige informatie mag niet gekopieerd worden naar Dropbox
Informatie met persoonlijk identificeerbare informatie mag alleen door de directie en HR ingezien worden
Externe gebruikers mogen informatie alleen inzien en niet wijzigen of kopiëren
Door deze aanvullende maatregelen omtrent informatiebeveiliging houdt uw organisatie controle over gevoelige informatie, zelfs wanneer documenten of e-mails de organisatiegrenzen verlaten.
Tot zover de maatregelen die getroffen kunnen worden om informatie beter te beschermen. Het is hierbij zaak erop toe te zien dat de genomen maatregelen effectief zijn. In onze volgende blog ‘Toezicht houden en inzicht krijgen’ vertellen we daar meer over.
Meer weten? Gebruik de chat of neem contact op via de mail of telefoon om verder te praten met één van de security specialisten van VX Company.
Wilt u direct ontdekken hoe het is gesteld met het informatiebeveiliginsbewustzijn van uw organisatie? Doe dan de gratis Security Awareness Scan en ontvang direct de resultaten.
