14 februari 2018

10 Tips voor een veiligere IT-omgeving

Informatiebeveiliging is binnen organisaties een steeds belangrijker onderwerp. En terecht! De bedreigingen nemen namelijk hand over hand toe. In het verlengde hiervan voert de toezichthouder de druk op om de zaken op orde te hebben. Hoewel informatiebeveiliging niet direct een activiteit voor de controller lijkt, is het wel goed om kritisch te zijn op eventuele tekortkomingen binnen de processen in uw organisatie.

Dit thema wordt besproken door Bjӧrn Walrave en Jan Hendrikx tijdens de training Hacking voor financials bij de VRC Finance Academy. Als voorproefje op het programma, geven zij u alvast tien tips om uw organisatie te wapenen tegen cybercriminelen.

1) Ken de IT-omgeving van uw organisatie

Hoe goed kent de eigen organisatie haar IT? Is alles netje gedocumenteerd en wordt de documentatie regelmatig bijgewerkt? Beschikt de organisatie over een inventarisatie van alle IT-componenten? Welke IT raakt of bewaakt de kroonjuwelen van de organisatie? Als u niet precies weet wat u aan IT in huis hebt, is de kans groot dat u dingen vergeet te beveiligen.

Ben ook beducht op zogenaamde schaduw-IT binnen uw organisatie. Dat is IT die buiten medeweten van de IT-afdeling is aangebracht. Het kan hierbij gaan om marketinginitiatieven, zoals een tijdelijke website voor een speciale actie, maar ook om een wireless access point dat door een medewerker is aangesloten op het bedrade bedrijfsnetwerk. Buiten de IT-afdeling om dingen doen lijkt vaak sneller en gemakkelijker, maar schaduw-IT wordt niet beheerd en zorgt voor achterdeurtjes in uw IT-omgeving.

2) Creëer bewustwording

Informatiebeveiliging is mensenwerk. Hoewel IT in grote mate steunt op de techniek, gaat het toch vaak mis vanwege menselijk falen. Train medewerkers daarom periodiek met behulp van zogenoemde awareness sessies. Maak ze bewust van de risico's die de organisatie loopt en hoe u wilt dat medewerkers omgaan met waardevolle data. Awareness sessies zijn tevens een goed moment om het informatiebeveiligingsbeleid voor te leggen aan medewerkers. Zorg tijdens de sessies voor voldoende interactie en ga daarbij in op actuele praktijkvoorbeelden.

Publiceer daarnaast periodiek op het intranet over informatiebeveiliging, geef tips en vertel wat medewerkers kunnen doen om risico’s te vermijden. Zorg ook voor een centraal punt binnen uw organisatie waar medewerkers beveiligingslekken kunnen melden.

3) Laat de IT-beveiliging van uw organisatie testen

Hoe weet u nu zeker dat de IT-beveiliging van uw organisatie op orde is? Soms is het goed om een onafhankelijke partij de IT te laten onderzoeken op eventuele tekortkomingen. Een frisse blik kan helpen om verborgen risico's op te sporen en te verhelpen. Verder toont u door het laten uitvoeren van een extern onderzoek aan dat uw organisatie informatiebeveiliging serieus neemt.

Testen kan op verschillende manieren. Naast puur technische tests kan ook worden gekeken naar de menselijke kant van de IT-beveiliging. Een social engineering test waarbij wordt geprobeerd medewerkers te bewegen vertrouwelijke gegevens, zoals wachtwoorden, af te staan, behoort hierbij tot de mogelijkheden. Resultaten van dergelijke tests dragen bij tot de bewustwording van medewerkers.

4) Zorg voor een communicatieplan

Soms gaat het, ondanks alle inspanningen, toch mis en wordt uw organisatie het slachtoffer van cybercriminelen. Dan is het waardevol een actueel communicatieplan klaar te hebben liggen. Een communicatieplan helpt u bij het ten tijde van het incident op een goede en gecontroleerde manier communiceren richting de buitenwereld. Richting bijvoorbeeld de pers of de autoriteiten die dienen te worden ingelicht over de aard en omvang van het incident. Goede en tijdige communicatie is noodzakelijk om eventuele reputatieschade zo beperkt mogelijk te houden.

5) Installeer tijdig updates

Het niet tijdig installeren van updates, zoals voor software of virusscanners, kan grote nadelige gevolgen hebben voor uw organisatie. Updates maken de systemen weerbaar tegen kwaadaardige software zoals malware. Test updates vooraf en probeer, indien mogelijk, gebruik te maken van een centrale uitrol van updates, zodat alle medewerkersystemen zoals laptops en desktops binnen uw organisatie automatisch worden geüpdatet. Er bestaat ook software die controleert of systemen die zich willen aanmelden op het bedrijfsnetwerk wel voorzien zijn van de noodzakelijk updates. Indien een systeem niet voldoet moet het eerst worden bijgewerkt, voordat het wordt toegelaten op het bedrijfsnetwerk.

6) Maak back-ups

Wij kunnen het niet vaak genoeg zeggen. Maak voldoende back-ups! In het geval dat uw organisatie slachtoffer wordt van gijzelsoftware die bestanden versleuteld, dan is uw organisatie namelijk afhankelijk van deze back-ups. Test ook periodiek of back-ups te restoren zijn en of dit binnen een acceptabele tijdsduur te realiseren is.

7) Voer periodiek risicoanalyses uit

Organisaties veranderen en de buitenwereld ook. Hou daarom periodiek risicoanalyses. Kijk naar wijzigingen binnen de organisatie en de buitenwereld en beoordeel of de bestaande maatregelen nog voldoende adequaat zijn om de geïdentificeerde risico's te mitigeren. Doe dit met een groep mensen met verschillende achtergronden om zo een vollediger beeld van mogelijke risico’s te krijgen.

8) Gebruik two-factor-authentication (2FA)

Implementeer 2FA binnen uw organisatie. Dit maakt dat medewerkers gebruik moeten maken van twee verschillende authenticatie mechanismen om toegang te krijgen tot een systeem of applicatie. Denk hierbij bijvoorbeeld aan een wachtwoord en een code die de medewerker krijgt via sms op het persoonlijke mobiele toestel. Mocht om welke reden dan ook het wachtwoord van een medewerker uitlekken, dan kan een aanvaller nog steeds niet inloggen.

9) Versleutel mobile devices

Organisaties maken steeds meer gebruik van mobile devices zoals smartphones, tablets en laptops. De kans dat een device wordt gestolen of zoekraakt in de buitenwereld neemt daardoor toe. Hierdoor kunnen vertrouwelijke gegevens uitlekken. Zorg daarom dat uw devices versleuteld zijn en dat u ze op afstand kunt wissen. Pas wanneer de medewerker de juiste code intoetst, kunnen de gegevens worden geraadpleegd.

10) Blijf op de hoogte

Door u te abonneren op nieuwsbrieven en nieuwsfeeds over informatiebeveiliging blijft u op de hoogte van kwetsbaarheden die uw organisatie mogelijk raken. Een voorbeeld van zo’n nieuwsfeed is die van het Nationaal Cyber Security Centrum (NCSC). Deze nieuwsfeed voorziet u naast actuele informatie over nieuwe kwetsbaarheden ook van advies over mogelijke oplossingen.

Er bestaan ook trainingen waarin de trends en ontwikkelingen op het vlak van informatiebeveiliging worden besproken. De opgedane kennis van zo’n training is direct bruikbaar binnen de periodieke risicoanalyse.

Ten slotte

Ondanks dat de bovenstaande tips allemaal bijdragen aan het wapenen van uw organisatie tegen cybercriminelen, loopt u nog steeds het risico slachtoffer te worden van cybercriminaliteit. De tips helpen weliswaar, maar bieden nooit absolute zekerheid. Tegelijkertijd geldt dat de toepassing van een combinatie van de besproken maatregelen sterker is dan iedere individuele maatregel op zichzelf.

Over de auteurs

Jan Hendrikx is ondernemer op het gebied van technische informatiebeveiliging. Hij voert technische beveiligingsonderzoeken uit en adviseert organisaties over de wijze waarop zij hun beveiliging tegen onder meer cybercriminaliteit kunnen optimaliseren.

Björn Walrave is zelfstandig gevestigd organisatieadviseur, docent, trainer en coach en daarnaast redactielid van Audit Magazine.

Tijdens de training Hacking voor financials leert u zelf de basisbeginselen van hacken. Daarnaast wordt u basiskennis voor het op een gecontroleerde wijze uitvoeren van penetratietesten aangereikt. U leert tijdens de training hoe deze wereld van hacking en cyber security in elkaar steekt en wat u eraan kunt doen om de informatie-infrastructuur van uw organisatie tegen cyberaanvallen te beschermen.

Zoek een RC