Als organisatie wil je voorkomen dat je slachtoffer wordt van cybercrime. Bij gebrek aan goede beveiliging loop je een grotere kans en dat wil je natuurlijk voorkomen. Dit kan ook ernstige schade toebrengen aan reputatie van je bedrijf. Wat regel je allemaal, zodat iedereen veilig werkt? Dat dit niet alleen technisch goed moet zijn, blijkt wel uit deel 1 van deze blog. Hier gaan we in op het beleid en de mens. In deel 2 behandelen we de technische kant van ICT beveiliging. Beide onderwerpen zijn belang voor effectief security management.
1. Informatie- en Beveiligingsbeleid
Alle regels en afspraken die je binnen jouw organisatie maakt over beveiliging en verantwoordelijkheid voor digitale systemen leg je vast in een beleidsdocument. Pas dan kan je hierop terug vallen en is het voor iedereen binnen de organisatie ook duidelijk wat er van hem of haar verwacht wordt. Maak daarom dit document algemeen toegankelijk voor personeel en wijs ze er regelmatig op dat iedereen binnen de organisatie dit moet weten.
Idealiter wordt dit een integraal onderdeel van het KMS, het Kwaliteits Management Systeem. Een kwaliteitsmanagementsysteem (KMS) is een systeem waarin je processen, procedures, rollen en verantwoordelijkheden voor het behalen van doelen op het gebied van kwaliteit vast legt. Op deze manier coördineer je activiteiten om de kwaliteit te verbeteren. Kwaliteit definieer je als externe kwaliteit (bijvoorbeeld meer klanttevredenheid of voldoen aan wet- en regelgeving), maar kan ook intern zijn (bijvoorbeeld efficiëntere werkprocessen of hogere tevredenheid onder de medewerkers). Een kwaliteitsmanagementsysteem stelt jouw organisatie in staat om de kwaliteit op systematische wijze te verbeteren.
Een belangrijk onderdeel is een beschrijving van de procedure ‘in dienst treden’ en ‘uit dienst treden’. Bij in dienst treden is het de bedoeling dat nieuwe werknemers toegang krijgen tot systemen en data in overeenstemming met hun functie. Schrijf daarom uit welke toegangsrechten bij welke functies horen. Bij uit dienst treden deactiveer je vanuit security oogpunt deze accounts tijdig. Zeker bij admin accounts doe je dit met de nodige aandacht. Je richt governance processen in binnen jouw organisatie. Hiermee waarborg je dat systemen veilig blijven. Je moet dan ook denken aan zaken als hoe om te gaan met tijdelijke accounts voor leveranciers e.d.
Een ander aandachtspunt is het versleutelen van concurrentiegevoelige en privacy gevoelige informatie. De top van de organisatie moet zich hierover uitspreken, hiermee voorkom je onduidelijkheid. Zeker wanneer je ook vanuit de Cloud werkt is dit een extra aandachtspunt. Bij het werken in de Cloud regel je nog nauwkeuriger welke identiteiten, vanaf welke devices, bij welke data mogen. Er zijn natuurlijk veel tools en procedures waarmee je dit in de praktijk vorm geeft. Belangrijk is dat het management zich uitspreekt over de eisen en doelstellingen in deze.
Belangrijk is dat het management van de organisatie aangeeft hoe men deze zaken wil regelen vanuit het perspectief van het algemeen organisatiebelang. Daarnaast kijkt de IT afdeling, vaak in samenspraak met de leveranciers, naar de beste manieren om aan deze organisatie eisen tegemoet te komen. Qua security geldt in algemene zin dat het beste de principle of least privilege (PoLP) gehanteerd kan worden. Dit betekent dat je rechten en mogelijkheden beperkt tot precies datgene wat nodig is en absoluut niet meer. Dit geldt zowel voor rechten van gebruikers als bijvoorbeeld voor instellingen in firewalls.
Een ander niet te vergeten aandachtspunt voor het management is het bepalen van de maximale tijd, welke systemen niet beschikbaar zijn in het geval van calamiteiten. Ook bepalen ze de de maximale hoeveelheid data die verloren mag gaan door een calamiteit. Hierbij geldt: hoe hoger de eisen, des te duurder de oplossing. Gangbaar is dat je per systeem (financieel, logistiek, voorraad etc.) kijkt hoe lang het uit mag vallen en hoeveel data verloren mag gaan. Dit wordt aangegeven met de termen RPO (Recovery Point Objective) en RTO (Recovery Time Objective).
2. Cultuur/mens
De zwakste schakel in alle beveiligingsstrategieën is en blijft de mens. Je kunt nog zoveel technische oplossingen implementeren, als de gebruikers zich niet bewust zijn van de risico’s is de kans groot dat gegevens in verkeerde handen vallen. Voer daarom een goed wachtwoord beleid. In punt 8 wordt hier verder op in gegaan.
Een goed wachtwoordbeleid beperkt slechts een deel van de risico’s. Klikken gebruikers op een linkje in de mail of op een website, dan is het mogelijk dat ze onbedoeld malware installeren. Ook kunnen ze onbedoeld hun inloggegevens verstrekken aan derden, door in te loggen op een omgeving die niet de omgeving is die ze verwachten. Zo staan systemen heel lang open staan voor onbevoegden van buitenaf. Maak daarom je gebruikers weerbaarder door ze te trainen in het herkennen van risico’s. Jouw ICT partner is natuurlijk bij uitstek de partij die je informeert over nieuwe ontwikkelingen op dit vlak. Gebruikers periodiek testen op hun gedrag doe je door het sturen van mails die gebruikers als risicovol zouden moeten herkennen.
Wanneer jouw gebruikers eventuele afwijkende ervaringen melden en hier open over spreken creëer je de juiste omgeving voor een goed securitybeleid. Mocht je een mail niet vertrouwen dan kan bijna iedere ICT partner jouw mail openen in een sand-box omgeving. Het mailtje leest en controleert men dan in een omgeving waarin het geen kwaad kan.
In deel 2 gaan we meer in op de technische kant van ICT beveiliging. Er zijn zoveel zaken waar je aan moet denken. Heb jij alles in orde?