DE 5 GROOTSTE SECURITYRISICO'S

Judith de Heus 6-10-2017 10:29
Categorieën: Ontwikkelingen in ICT

Het is belangrijk je te realiseren dat het niet de vraag is óf je slachtoffer wordt van een datalek, maar wannéér. Daarom is het nodig maatregelen te nemen om de impact van zo'n beveiligingslek te minimaliseren. Neem een risico assessment om te weten waar nu eigenlijk je meest waardevolle data staat en wat er aan maatregelen zijn getroffen om die data te beschermen.
Heeft jouw ICT-bedrijf een noodplan met daarin de maatregelen die getroffen worden wanneer er een datalek is? Zorg er in ieder geval voor dat onderstaande factoren zo klein mogelijk zijn om het bedrijf optimaal te beschermen.

Risicofactor 1: aanvallen van binnenuit
Ontevreden werknemers zelf vormen de grootste security risico’s. Medewerkers binnen ICT hebben toegang tot netwerken, admin-accounts en vertrouwelijke informatie, waarbij ze veel schade kunnen aanrichten. Door standaard controles voor alle accounts in te stellen, kan er snel ingegrepen worden bij misbruik.

Werknemers zijn over het algemeen niet (goed) getraind om geheime informatie ook daadwerkelijk geheim te houden, denk hierbij aan een telefoon zonder vergrendeling die een werknemer laat liggen in een café. Ook schimmige websites of spam openen op de server van het bedrijf kunnen gevaren vormen.

Om deze gevaren uit de weg te gaan moet je werknemers trainen hoe om te gaan met beveiliging. Leer hen basisvaardigheden over hoe de beste wachtwoorden samen te stellen en meld dat deze wachtwoorden elke 30 tot 60 dagen veranderd moeten worden. Daarnaast kan het handig zijn om werknemers te leren waar ze op moeten letten op internet, zodat ze ook daar van alle ins en outs op de hoogte zijn.

Risicofactor 2: BYOD
Zoals bij risicofactor 1 genoemd: werknemers gebruiken vaker hun eigen laptop, tablet of smartphone (BYOD = bring your own device). Deze laptops en smartphones zijn vaak minder goed beschermd dan devices van het bedrijf zelf, omdat bedrijfseigen devices op beveiligde netwerken zitten, goede security software hebben en eigen devices meestal niet

Bedrijven moeten weten wat er aan e-mails en documenten op laptops en smartphones van werknemers komt te staan. Dit geeft inzicht in de risico’s van dataverlies. Handig is om privédata en bedrijfsdata gescheiden te houden en de bedrijfsdata te vergrendelen met een wachtwoord.

Risicofactor 3: data in de cloud
Data staat vaak opgeslagen in de cloud, maar wanneer deze data niet versleuteld is met een wachtwoord, is ze alsnog toegankelijk voor derden. Om data die in de cloud staat te vergrendelen, is een AES 256-bit sleutel of soortgelijke vergrendeling veelal voldoende.

Risicofactor 4: externe dienstverleners
Uitbesteed aan derden is een gebruikelijke oplossing voor zaken als het bereiken van schaalgrote en kosten verlaging of het oplossen van kennis problemen. Hoe goed werknemers hun privédata en bedrijfsdata ook beschermen, dit hoeft niet te betekenen dat leveranciers geen fouten maken. Als hackers eenmaal een veelgebruikt wachtwoord hebben van dienstverleners op afstand, zullen ze niet direct de belangrijkste server aanvallen, maar hebben ze wel toegang tot minder goed beschermde informatie. Zelfs moderne print- en kopieermachines slaan informatie op, dit betekent dat een servicemonteur hier “zomaar” bij zou kunnen. Als bedrijf moet je je ervan verzekeren dat derden voor elke klant unieke inloggegevens gebruiken en dat wanneer een derde partij niet meer nodig is, alle toegangsmogelijkheden afgesloten worden. Als er ook nog gecontroleerd wordt op mislukte inlogpogingen, zullen daar in de toekomst minder risico’s in schuilen.

Risicofactor 5: unsupported systems
Door gebruik te maken van verschillende producten, kan het over het hoofd gezien worden als een product niet meer voorzien wordt van nieuwe releases. Als bijvoorbeeld een firewall niet meer wordt geupdate, dan kan verouderde software ervoor zorgen dat het gemakkelijker voor hackers is om binnen te komen en naar de grote servers te zoeken.

Noodplan
Zorg vervolgens voor een noodplan waarin je duidelijk omschrijft hoe je op een dergelijk incident moet reageren en zorg ook voor een disaster recovery-plan en/of een business continuityplan. Betrek de juiste mensen erbij (IT, juridisch, PR, tussenmanagement) en blijf trainen en testen.

Deze blog is een vrije bewerking van een artikel op www.cio.nl

Reageer

CAPTCHA ImageNieuwe codeSpeel de code af