Jasper Spaan Geschreven door Jasper Spaan op vrijdag 18 januari 2019 Veiligheid & Compliance

Volg ons

Informatiebeveiligingsbeleid dat elk bedrijf moet implementeren

4 minuten, 10 seconden leestijd

Bedrijven worden vaak bekritiseerd omdat ze geen strikt beleid voor informatiebeveiliging hebben. En vaak is dat ook zo. Belangrijke informatiebeveiliging wordt vaak over het hoofd gezien ondanks alle grote hacks die de afgelopen jaren zijn ontdekt. Het is jammer dat preventieve maatregelen vaak pas worden genomen na een verlammend incident.

Het zijn niet alleen de hacks die bedrijven over de hele wereld bedreigen. Malware is misschien een nog grotere bedreiging. Je kent vast nog de wereldwijde Wannacry-malware-aanval waarbij verschillende bedrijven werden uitgeschakeld. Omdat online aanwezigheid een noodzaak wordt voor zelfs kleine bedrijven, hebben malware ontwikkelaars nog meer prikkels om aanvallen uit te voeren. Als gevolg hiervan moeten bedrijven hun beveiligingsbeleid aanscherpen voordat het te laat is. Laten we met dat in gedachten eens enkele belangrijke beleidsmaatregelen bekijken die bedrijven in dit verband in overweging moeten nemen.

Toegangscontrolebeleid

Toegangsbeheerbeheer is een van de belangrijkste beleidslijnen die elk bedrijf moet implementeren. Weten wie toegang zou moeten hebben tot wat. Dit wordt nog belangrijker omdat het 'menselijke element' vaak de oorzaak is van de inbreuken. Social engineering is vandaag een van de grootste bedreigingen voor bedrijven. Op rollen gebaseerd toegangsbeheer wordt vaak toegepast in ondernemingen waar verschillende rollen vereist zijn om toegang te hebben tot alleen de functionaliteit die relevant is voor hun werk.

Een ander belangrijk beleid is single sign-on (SSO), waarmee een medewerker toegang heeft tot al zijn accounts (zelfs accounts van derden) met slechts één gebruikersnaam en wachtwoord of sleutelpaar. Dit stelt de systeembeheerder in staat om geen directe referenties aan systemen bloot te stellen en maakt het mogelijk om wachtwoorden en sleutels periodiek te vernieuwen zonder afhankelijk te zijn van de werknemers om het zelf te doen. Verificatie door derden via SSO zorgt ervoor dat de referenties binnen de bedrijfslocaties blijven. SSO wordt meestal geïmplementeerd met LDAP, maar andere authenticatieschema's zoals OAuth en OpenID Connect winnen ook terrein.

Multi-factor authenticatiebeleid

MFA Authenticatie

Onrechtmatige accounttoegang kan zo goed als worden voorkomen als alle accounts zijn beveiligd met multi-factor authenticatie. Het is belangrijk om te weten dat SMS (sms-berichten) in veel gevallen onveilig is gebleken. TOTP en HOTP zijn betere alternatieven voor op OTP gebaseerde multi-factor authenticatiesystemen. Verschillende applicaties die deze schema's implementeren zijn beschikbaar in de markt. Een andere manier om authenticatie met twee factoren mogelijk te maken, is door fysieke sleutelkaarten zoals Yubikey te gebruiken, die kunnen worden geprogrammeerd om verschillende authenticatieschema's in te schakelen. Zelfs interne, op e-mail gebaseerde multi-factor authenticatie is veel beter dan helemaal geen e-mail.

Periodiek back-upbeleid

Wannacry versleutelde alle gegevens over geïnfecteerde machines en verwijderde de sleutel. Sommige beveiligingsonderzoekers hebben de verwijderde sleutel uit het geheugen kunnen reconstrueren, maar deze oplossing werkt alleen in oudere versies van Windows en zelfs dan nog niet vaak. Voor degenen die periodieke back-ups van hun gegevens hebben gemaakt, was dit slechts een ongemak. Maar voor anderen betekende het voor altijd afscheid nemen van die gegevens. Daarom zijn geautomatiseerde, redundante en periodieke back-ups van alle belangrijke documenten en databases een must. Het is vrij eenvoudig om automatisch back-ups te maken. Er zijn namelijk genoeg aanbieders zoals DesktopToWork die je hier bij kan helpen.

Periodiek veiligheidscontrolebeleid

Voor grote bedrijven is het raadzaam om een intern team te hebben dat alleen werkt aan beveiligingsaudits van alle systemen. Voor kleinere bedrijven zijn er externe auditors in te huren.

Installatiebeleid op locatie

Verschillende externe systemen bieden licenties voor installatie op locatie van hun producten. Ondernemingen zijn vaak bijzonder geïnteresseerd in dit soort regelingen omdat ze niet willen dat hun gegevens hun omgeving verlaten. On-premises installaties zijn niet geschikt voor alle bedrijven, met name bedrijven die op kleine schaal werken, vanwege de overhead van onderhoud.

Geautomatiseerd update beleid

Microsoft heeft enkele dagen voordat Wannacry begon te verspreiden een beveiligingspatch uitgegeven. Degenen die deze patch hebben toegepast, werden niet beïnvloed door de malware. Geautomatiseerde updates zijn in dat opzicht een belangrijke stap. Dit betekent niet dat de systeembeheerder alle beschikbare updates moet installeren, alleen dat ze updates op alle systemen tegelijk kunnen installeren zonder handmatig iets te hoeven configureren.

Incident rapportages

Incidentenrapporten kunnen van pas komen bij rampenbeheersing. Elk bedrijf moet gedetailleerd beleid opstellen over het schrijven van incidentmeldingen, zodat medewerkers weten hoe ze een bepaalde situatie moeten aanpakken als deze zich opnieuw voordoet. In de loop van de tijd ontstaat een waardevolle opslagplaats van informatie.

Bug bounty-programmabeleid

Bug bounty-programmabeleid

Bug bounty-programma's zijn een win-win voor iedereen. Ze stellen een bedrijf in staat om de expertise van buitenstaanders te gebruiken om tekortkomingen in hun toepassingen aan te wijzen en ook een stimulans te geven aan beveiligingsonderzoekers om op bugs te jagen. Verschillende bedrijven voeren bug bounty-programma's uit met geldprijzen. Het is zelfs eenvoudiger gemaakt door platforms zoals Hackerone die beide partijen bij elkaar brengen.

Het negeren van informatiebeveiliging is tegenwoordig vergelijkbaar met het op straat laten slingeren van jouw gegevens. Als je het niet actief beschermt, krijgt iemand er op de een of andere manier toegang toe. Het is veilig om te veronderstellen dat bedrijven te allen tijde worden aangevallen door kwaadwillende vroeg of laat kan het jou ook overkomen.

Waarmee kunnen wij jou helpen?

Online Werkplek

Online Werkplek

Zoek je het nieuwe werken anno nu? Je wenst overal en altijd te kunnen werken om jouw productiviteit te verhogen en te versimpelen?

Lees meer!
Office 365

Office 365

Geen eigen investeringen meer in hardware en licenties. Verlaag kosten en downtime, en verhoog de mogelijkheden en veiligheid van je e-mail. Office 365 is uiteraard inclusief support.

Lees meer!
VoIP en Mobiel

VoIP en Mobiel

VoIP geeft je de vrijheid die je nodig hebt. Iedereen is overal bereikbaar en gemiste gesprekken behoren tot het verleden. Vanaf nu bepaal je zelf waar je werkt en wanneer je bereikbaar wilt zijn.

Lees meer!
Connectiviteit

Connectiviteit

Verbinding is belangrijk! DesktopToWork levert een veilige en optimale oplossing rondom netwerken en Access Points(WiFi). We helpen je tevens bij het selecteren van een juiste internet lijn.

Lees meer!