Security kwam ruim drie jaar geleden bovenaan op de directieagenda staan bij veel organisaties. Dat kwam door de invoering van de AVG-wetgeving. Gezien de vele berichten in de media over ransomware, toenemende vormen van cybercriminaliteit en het feit dat er door de coronacrisis massaal thuisgewerkt wordt is het onderwerp security nog uitdagender geworden. Waarom dat zo is en wat je eraan kunt doen, dat lees je hier.
Uitdagingen van security
Onbewust verslapt vaak de aandacht; IT zal het wel goed geregeld hebben. Cybercriminelen worden steeds slimmer, maar zijn we zelf ook in kennis meegegroeid om ons te wapenen? Wil je dat kunnen doen, dan zal er extra budget moeten worden vrijgemaakt. Helemaal veilig krijg je het nooit, want er kan altijd een medewerker zijn die ergens een datalek veroorzaakt. Zeker nu je er als werkgever minder zicht op hebt door het thuiswerken. Ons inziens moet security gericht zijn op het voorkomen van dataverlies en borgen dat de impact, als er onverhoopt toch een security-issue is, zo klein mogelijk is.
Security-by-design
Wij vinden dat techniek een cruciale rol speelt bij security. Sterker nog we vinden dat de basis goed geregeld moet zijn en dat daar geen discussie over mag bestaan. ‘Security-by-design’ noemen we dat in vakjargon. Zo is het vanzelfsprekend dat de internetverbindingen beveiligd worden door een moderne firewall en dat toegang tot bedrijfsdata wordt afgeschermd. Om security goed voor klanten te regelen werkt The Sourcing Company met securitybaselines. Bij onze baselines gaan we uit van best practices aangevuld met eigen ervaringen en kennis. We toetsen continu of nog voldaan wordt aan de nieuwste inzichten. Indien nodig worden security onderdelen aangepast of aangescherpt.
Risico’s classificeren volgens een stoplichtmethode
We gaan bij onze baselines uit van een stoplichtmethode en maken onderscheid in items die verplicht (secure-by-design) en niet aanpasbaar zijn (rood). Items die belangrijk zijn waarin wij adviseren, maar waarin je als klant een keuze hebt zijn oranje en items die volledig vrij te kiezen zijn groen. Voor de gebruikersomgeving gaan we bij een werkplek bijvoorbeeld altijd uit van encryptie (rood item), zijn lokale rechten (wel of niet local admin) op de werkplek bespreekbaar (oranje) en is de keuze van een bureaubladachtergrond helemaal vrij (groen). De securitybaseline sluit naadloos aan op onze visie dat security gaat over mensen, processen en techniek. Omdat security meer is dan een “IT feestje” gaan we er daarom dieper op in:
1: Mensen
Dataverlies kan optreden als gevolg van cybercriminaliteit maar ook door het onbewust lekken van data voor medewerkers. Hoe vaak gebeurt het niet dat een e-mail aan de verkeerde persoon gericht is, of dat een smartphone kwijtraakt? Of er wordt per ongeluk een hele map gedeeld in plaats van een los bestand. Maar er valt meer te melden; mensen werken namelijk thuis.
De kans dat er allerlei onveilige privé-apparatuur wordt gebruikt is groot. Een extra risico is dat medewerkers op Cloud gebaseerde diensten zonder tussenkomst van IT afdelingen razendsnel kunnen downloaden. Weet je dan zeker of applicaties als Dropbox, WeTransfer, Zoom, Miro en Trello ook veilig gebruikt worden of dat er niet per ongeluk ergens een onveilige app gebruikt wordt?
Los van onwenselijke tools worden er ook nog regelmatig bestanden naar privéadressen gemaild of op een USB-stick meegenomen om er thuis verder aan te kunnen werken. Het wordt schaduw IT genoemd en bevindt zich buiten het zicht van de IT-afdeling. Het vormt daarmee een onzichtbaar risico, waarmee het aanvalsoppervlak voor cybercriminelen vergroot wordt.
Bewustzijn als ‘Human firewall’
Bewustzijn is hierin het toverwoord, zorg dat je medewerkers op de hoogte zijn van de risico’s, biedt veilige alternatieven aan en zorg dat ze met vragen terecht kunnen bij IT en dan snel en adequaat geholpen worden. Vaak zal blijken, zeker wanneer gebruik gemaakt wordt van de Microsoft 365 suite, dat veilige functionaliteiten beschikbaar zijn maar dat gebruikers ze niet kennen. Zorg ook dat medewerkers bekend zijn met de risico’s van cybercriminaliteit en leer hoe zij malware en andere cybercriminaliteit kunnen herkennen. Medewerkers die zich bewust zijn van de risico’s en gevaren vormen in combinatie met de juiste techniek een bijna onneembare ‘human firewall’. Desgewenst helpen we om ook voor jouw organisatie een bewustzijn-sessie in te plannen.
2: Processen
Bewustzijn creëren begint met processen en beleid op orde te hebben. Techniek kan uiteraard helpen om beleid te borgen. Te vaak zien wij dat organisaties onvoldoende nagedacht hebben over het gebruik of werken met privé-apparatuur. Er zijn geen duidelijke afspraken over gemaakt en procedures zijn niet vastgelegd. Onze tips zijn om in ieder geval een helder wachtwoordbeleid te borgen en ervoor te zorgen dat er geen twijfel bestaat over het wel of niet lokaal opslaan van data. Dus het delen van data en het gebruik van gegevensdragers (bijvoorbeeld USB-sticks) en privé-apparatuur verbieden voor zakelijke doeleinden. Techniek helpt om het beleid te borgen of (deels) af te dwingen. We merken dat onze securitybaseline, met name het samen afstemmen van de oranje items, organisaties helpt bij het opstellen of aanscherpen van beleid, processen en procedures.
3: Techniek
Om echt veilig te zijn moet er ook naar de techniek gekeken worden, bijvoorbeeld wat er technisch voor de back-up geregeld is. Dataverlies kan een serieus probleem zijn en wordt niet alleen door dreigingen van buitenaf veroorzaakt. Vaak treedt het op doordat medewerkers onbewust of op ongeoorloofde wijze e-mails, mappen en bestanden verwijderen die nog steeds relevant zijn voor organisatie. Het is daarom belangrijk om over een betrouwbare back-up te beschikken. Daardoor ben je in staat om data volledig te herstellen of het verlies te beperken. Techniek ontwikkelt zich steeds verder; er zijn tegenwoordig back-ups, die bescherming bieden tegen ransomware of het per ongeluk verwijderen van de back-up!
Meer doen aan back-up voor Office 365
Vaak wordt gedacht dat cloudleveranciers zorgen voor een goede back-up. Lang niet altijd is die aanname terecht. Microsoft biedt bijvoorbeeld allerlei mogelijkheden om data (losse items) gedurende een bepaalde periode te herstellen, maar voorziet niet in een echte back-up waarbij je terug kunt naar een punt in de tijd voor al haar producten. Het is dus belangrijk om over een goede back-up te beschikken. Ook voor de back-up van Microsoft 365 (SharePoint Online, OneDrive, Teams en Exchange Online) is het mogelijk om uit te gaan van een back-up die beveiligd is tegen ransomware en het per ongeluk wissen van de back-up. Onze consultants adviseren hierin graag zodat er een back-up gerealiseerd wordt die aansluit bij de eisen en wensen van jouw organisatie.
Ook zin in security-by-design?
Wil je meer weten over onze securitybaselines, hulp bij het opstellen van beleid en procedures, geïnformeerd worden over back-upmogelijkheden of de nieuwste trends en ontwikkelingen? Neem dan contact met ons op. We verbinden je dan met een van onze security experts.
