25 jun Next generation security? Breng eerst de basis maar eens op orde!
Naar mate informatiebeveiliging meer aandacht krijgt, komen er steeds meer leveranciers van producten en diensten die iets met ‘cyber’ doen. De ene oplossing is nog mooier dan de andere. Er zijn dienstverleners die darkweb monitoring voor je kunnen doen, anderen doen weer advanced threat analytics en er zijn er een aantal die een ‘next generation’ security dienst leveren. Ga er maar aan staan als afnemer van securitydiensten, wat moet je kiezen om veiliger te worden?
Naar mijn mening is het overgrote deel van de organisaties helemaal niet toe aan de volgende stap in security. Waarom niet? Omdat ze de basis nog lang niet op orde hebben! Hieronder licht ik toe wat ik daarmee bedoel.
Asset management
Om je organisatie te kunnen beschermen, moet je eerst weten wat je hebt. In de meeste organisaties is asset management totaal afwezig, of is de registratie achterhaald. Cloud diensten en bring your own device maken het er voor de IT-afdeling niet makkelijker op: netwerken zijn steeds dynamischer. Om ervoor te zorgen dat je niets vergeet, is het zaak dat je regelmatig een scan uitvoert om te achterhalen welke apparatuur aan je netwerk verbonden is, zodat je weet wat je moet beveiligen. Ook is het goed om regelmatig te toetsen welke systemen aan internet gekoppeld zijn, terwijl dit misschien helemaal de bedoeling niet is.
Patchen en updaten
Hoewel een groot aantal softwareleveranciers regelmatig patches en updates uitbrengt, kost het organisaties moeite om dat bij te houden. Dit betekent niet dat IT-afdelingen dit niet in de smiezen hebben, het laten werken van legacy systemen en maatwerk software kan een motivatie zijn om (nog) niet te patchen of updaten. Je moet er echter wel voor zorgen dat je dan andere maatregelen treft om te voorkomen dat deze systemen door kwaadwillenden gecompromitteerd worden. Voor het overige geldt: patch en update zo snel mogelijk nadat een fabrikant een update heeft uitgebracht! Hoe je weet dat er een patch of update is? Veel grote softwaremakers brengen daar nieuwsbrieven over uit of hebben een vaste dag waarop alle updates worden aangeboden. Voor andere pakketten is dat helaas niet zo duidelijk en moet je uit meerdere bronnen putten om hiervan op de hoogte te zijn. Gelukkig zijn er systemen die je hierbij kunnen helpen en het laten weten als er een patch of update is uitgebracht.
Wachtwoordbeheer
Voor gebruikers blijven wachtwoorden lastige en irritante dingen. Hoewel verschillende softwarehuizen aan een alternatief werken, moeten we er voorlopig nog wel mee dealen. Binnen veel organisaties is er geen goed wachtwoord beleid aanwezig: wachtwoorden zijn te zwak, worden hergebruikt, worden gedeeld tussen collega’s en niet gewijzigd na een breach bij een derde partij. Voor kwaadwillenden zijn er wachtwoord databases beschikbaar die miljarden wachtwoorden bevatten die bij verschillende breaches zijn buitgemaakt. Er helpt geen geavanceerde securitydienst als een kwaadwillende een legitieme gebruikersnaam en wachtwoord combinatie heeft. Zorg er dus voor dat gebruikers zich bewust zijn van het belang van goed wachtwoord gebruik. Zorg voor systemen waardoor zwakke wachtwoorden niet meer mogelijk zijn en help gebruikers om wachtwoorden veilig te kunnen opslaan.
Medewerker uit dienst, account nog actief
Binnen veel organisaties wordt vergeten het account van een medewerker te disablen zodra deze uit dienst is. Wanneer een kwaadwillende de gebruikersnaam en wachtwoord van deze oud-collega bemachtigt kan hij of zij rustig het netwerk verkennen, zonder dat iemand er wat van merkt. Zorg er dus voor dat de HR-afdeling goed samenwerkt met de IT-afdeling op het moment dat iemand uit dienst gaat.
Informatiebeveiliging gaat niet alleen over IT
Informatie wordt veelal op IT-systemen opgeslagen, technische oplossingen zijn slecht een deel van de remedie om de informatie veilig, integer en betrouwbaar te maken. Zo lang mensen nog op linkjes klikken in emails en kwaadwillenden zo toegang geven tot hun systeem, kun je doosjes en diensten kopen zo veel als je wilt. De kwaadwillende snijdt als een warm mes door de boter door je beveiliging heen. Zorg dus voor bewustzijn voor informatiebeveiliging. Leidt mensen op en toets regelmatig of zij kwetsbaar zijn voor aanvallen via de email.
Anti-virus
De meeste organisaties hebben wel geïnvesteerd in anti-virus. Slechts een handje vol anti-virus leveranciers is echter in staat om zelf nieuwe virussen te ontdekken. De meeste weten helaas pas dat er een nieuw virus is op het moment dat een aantal klanten er al door geïnfecteerd is. Selecteer dus een anti-virus pakket dat niet op basis van oude signatures werkt, maar een pakket dat zelf analyses doet en ook actief naar nieuwe virussen zoekt.
Back-up
Wat is er fijner dan dat je na een incident snel weer over je data kan beschikken? Veel organisaties hebben daarom een backup proces ingericht. Wat er vaak vergeten wordt is om regelmatig te toetsen of de backup set wel de juiste data bevat. Worden de juiste servers, bestanden en databases gebackupped? Ook wordt er vrijwel nooit getoetst of een gemaakte backup terug gezet kan worden. Regel hier dus een proces voor in, zodat je er zeker van bent dat je de juiste data kunt terugkrijgen op het moment dat het er echt toe doet!
Alles op orde?
Heb je bovenstaande zaken op orde? En heb je genoeg geld, menskracht en andere middelen om informatiebeveiliging naar de volgende fase te brengen? Denk dan pas na over next generation security!
In gesprek over security?
Wil je het graag eens hebben over de security binnen jouw organisatie? Vraag dan een vrijblijvend gesprek met ons aan.
Sorry, het is niet mogelijk om te reageren.