1. Houd uw besturingssystemen up-to-date
Of u binnen uw organisatie nu Microsoft Windows, Linux of Apple OS X gebruikt, het is belangrijk dat het besturingssysteem up-to-date blijft. Hierbij kunt u er enerzijds voor kiezen om bijvoorbeeld computers ’s nachts automatisch uit schakelen en opnieuw opstarten om de installatie van updates te bevorderen.
Updates zijn namelijk van groot belang voor serverbesturingssystemen, aangezien alle patches en updates volgens een terugkerend schema moeten worden herzien en bijgewerkt. Een verkeerd stuk geschreven software kan al genoeg zijn om een gat te creëren in uw beveiliging.
Ook werknemers hebben constante herinneringen nodig om hun smartphones en tablets ook te laten instellen om hun besturingssystemen automatisch bij te laten werken. Idealiter is het verstandig om een EMM/MDM te overwegen. Hiermee kunnen tools worden gebruikt om automatisch te patchen.
Een gecentraliseerd patchbeheer is het beste, waarbij devices rapporteren aan een gecentraliseerde server die bekende en geteste patches naar uw apparaten pusht en hun status rapporteert. Ook kunt u alsnog handmatig devices patchen of repareren.
2. Standaardiseer uw besturingssystemen en toepassingen
Niet alleen het up-to-date houden van besturingssystemen, maar ook het standaardiseren ervan is erg belangrijk. Vaak ontstaat er een grote diversiteit aan besturingssystemen en toepassingen door een wildgroei aan devices, omdat deze vaak zo lang mogelijk worden ingezet. Door standaardisatie verkleint u de kans op beveiligingsgaten in uw IT-omgeving. Tevens beperkt u daarmee het risico dat uw bedrijfs- en persoonsgegevens in verkeerde handen vallen. Iets wat afgezien van de bedrijfseconomische schade in het kader van de AVG door iedere organisatie tot een speerpunt van het informatiebeveiligingsbeleid verheven zou moeten worden. Hoe u eenvoudig devices binnen uw organisatie up-to-date kunt houden en kunt standaardiseren, leest u in onderstaande whitepaper: ‘Overwegingen voor een IT-vernieuwingsstrategie’.
Overwegingen voor een IT-vernieuwingsstrategie
Deze whitepaper is ervoor bedoeld om organisaties te ondersteunen bij het kiezen van een goed doordachte IT vernieuwings- en financieringsstrategie.3. Denk aan antivirus updates
Zorg ervoor dat “controleren op updates” is ingeschakeld en dat devices regelmatig worden gescand. Zorg hiernaast ervoor dat alle media die is geplaatst op een workstation is ingesteld op “scannen voor gebruik”. Devices zouden de status van de antivirusupdates moeten melden aan een gecentraliseerde server, die updates indien nodig automatisch pusht.
4. Hanteer een sterk wachtwoordbeleid
IT-beleid zou complexe wachtwoorden moeten verplichten, dat wil zeggen ten minste acht tekens met een combinatie van hoofdletters en kleine letters, cijfers en speciale tekens. Wachtwoorden zouden elke 90 dagen moeten worden gewijzigd.
Indien een verandering om de 90 dagen niet wenselijk is, is het verstandig om de wachtwoordlengte te verlengen. Gebruik vooral een uniek wachtwoord voor netwerktoegang dat u nergens anders gebruikt. Want wanneer bijvoorbeeld uw Facebook-account is gehackt, dan wilt u niet dat uw netwerkaccount ook nog eens wordt gehackt. Deel nooit uw wachtwoord (met wie dan ook). Er kunnen ook tools worden gebruik om wachtwoordsterkte-beleid af te dwingen en de informatiebeveiliging te verbeteren.
5. Maak gebruik van automatische schermvergrendeling
Op een mobile device of workstation kan worden ingesteld dat wanneer het een aantal minuten niet wordt gebruikt, dat het dan automatisch vergrendeld. Zo kunnen nieuwsgierige voorbijgangers minder snel toegang krijgen tot het device. Over het algemeen wordt aangeraden dat de automatische vergrendeling na tien minuten plaatsvindt. Overweeg hetzelfde beleid toe te passen op time-outs voor inactieve webpagina’s.
6. Gebruik een asset management systeem
Wees op de hoogte van waar uw devices zich bevinden en wie ze eventueel in gebruik heeft. Denk bijvoorbeeld aan servers, workstations, maar met name aan mobile devices. Wanneer ook nog eens de performance van uw ICT-park kan worden gemonitord, weet u welke devices aan vervanging toe zijn en welke nog even mee kunnen. Ook Mastercom heeft hiervoor een asset managementsysteem ontwikkeld: EnquireNow. Lees hier meer over de mogelijkheden van EnquireNow.
7. Gegarandeerde dataverwijdering aan de end-of-Life van apparatuur
Alle onnodige fysieke bestanden en conceptdocumenten met persoonlijk identificeerbare informatie moeten worden beveiligd en versnipperd om zo het risico te minimaliseren. Workstations en andere mobile devices die worden gebruikt voor het verwerken van data moeten effectief worden gewist. Het simpelweg ‘deleten’ van gegevens is niet voldoende. Om data gegarandeerd te verwijderen kunt u er bijvoorbeeld voor kiezen om data te overschrijven, te demagnetiseren of de harde schijf volledig te vernietigen. Meer over dataverwijdering leest u in dit kennisartikel.
8. Regel een security awareness training voor uw werknemers
Een security awareness training zorgt ervoor dat uw werknemers worden getraind in het herkennen van security risico’s. Zo worden zij getraind om alert te zijn voor ‘phishing’ e-mails, waarbij ze wordt geleerd eerst over een e-maillink te bewegen alvorens zij hierop klikken. Zo kunnen zij vroegtijdig zien welke link erachter schuilgaat. Daarnaast is het ook bijvoorbeeld belangrijk om te bekijken of de afzender van de e-mail overeenkomt met de domeinnaam van de desbetreffende organisatie.
Herinner werknemers er dus aan om verdachte e-mails niet aan iemand anders door te sturen en contact op te nemen met de IT-afdeling voor hulp. Wanneer zo’n verdachte e-mail wordt doorgestuurd kan iemand anders er onbedoeld op klikken omdat ze de persoon die de e-mail doorstuurt vertrouwen en de afzender van de link niet valideren. Overweeg maandelijks gebruik te maken van een phishing-tool waarmee uw gebruikers worden getest. Geef daarnaast aanvullende training voor degenen die het nodig hebben, om ook op dit vlak de informatiebeveiliging te optimaliseren.
9. Leid werknemers op in het omgaan met informatiebeveiliging
Beveiligingsonderwijs is net zo belangrijk als beroepsonderwijs en moet regelmatig worden vereist. Naast het herzien van het beleid, is het verstandig om werknemers te informeren over de huidige aanvalsmethoden van cybercriminelen. Enerzijds kunt u denken aan phishing en accountovernames, anderzijds aan ransomware en social engineering die door hackers worden gebruikt om toegang te krijgen tot de computer van een gebruiker. Meer over soorten cybecrime leest u hier. Nog een belangrijke tip voor het securitybeleid is dat werknemers wordt verteld dat ze hun wachtwoord met niemand mogen delen, zelfs niet met intern- of gecontracteerd IT-personeel.
10. Sluit een cyberverzekering af
U kunt er alles aan doen om niet getroffen te worden door cybercrime, maar voor 100% kunt u dit natuurlijk niet voorkomen. Om u tegen dit risico te beschermen, kunt u een cyberverzekering overwegen. De kosten van deze verzekering zijn de afgelopen tien jaar aanzienlijk gedaald. Het is verstandig voor organisaties om te overwegen of alleen directe verliezen als gevolg van de inbreuk worden verzekerd of ook de verzekering van derden om eventuele schade te dekken aan klanten van wie de gegevens mogelijk zijn aangetast.
