Vijf IT-veiligheidstips voor professionals

Systeembeheerders, IT-managers en IT-specialisten opgelet: hoeveel virusscanners, firewalls en veilig-wachtwoord-beleidsregels u ook uitrolt, de grootste bedreiging voor uw IT-omgeving zit op werkdagen van 9 tot 5 doodleuk naast u in de kantoortuin: de gebruiker.

Hoe zorgen we er samen voor dat Janny van Marketing, Kees van Verkoop en Achmed van HR niet pas gaan bellen als alle bedrijfsdocumenten ontoegankelijk zijn en een Bitcoin-betaalscherm op iedere monitor staat te knipperen? We geven je een korte opfriscursus met een paar open deuren én wellicht een paar nieuwe ideeën; hierbij vijf tips om de veiligheid van uw IT-omgeving aan te scherpen.

#1 Geef een IT-veiligheidstraining

Voorkomen is beter dan genezen. In de IT-wereld scheelt dat vaak duizenden euro's en een paar weken herstelwerk (nog even los van de imagoschade aan de business). Pak er eens een vrijdagmiddag voor en geef uw collega's - of zelfs een complete afdeling - een IT-veiligheidstraining waarbij u de focus legt op het herkennen van 'phishing-mails'. Maak desnoods een hand-out die ze op hun bureau kunnen leggen en door kunnen nemen bij twijfel.

Probeer in de training aandacht te besteden aan het herkennen van onveilige URL's én verzoeken die niet helemaal pluis lijken (overboeken van grote bedragen, afgeven veiligheidstokens/wachtwoorden). Geef vooral voldoende voorbeelden, want dat spreekt tot de verbeelding van de gebruiker en die mails hebt u vast nog wel ergens in uw SPAM-folder staan. Maak de presentatie interactief door aan het publiek voorbeelden te vragen. Kunt u direct uw presentatievaardigheden weer eens oppoetsen, toch?

Boven: voldoende veiligheidstrainingen tegenwoordig, dus waarom geen IT-veiligheidstraining? Geef hem zelf, en leer uw collega's om zelfs de meest overtuigende phising-mails te herkennen.

#2 Forceer veilige wachtwoorden

U zult verstelt staan hoeveel gebruikers anno 2018 nog steeds de naam van hun huisdier als wachtwoord gebruiken. Forceer waar mogelijk altijd veilige wachtwoorden bij uw collega's, waarbij een wachtwoord minimaal uit 8 karakters bestaat, waarbij tevens hoofdletters, kleine letters en cijfers gebruikt worden. Gebruik van speciale leestekens verplichten is natuurlijk nóg veiliger, maar kan bij (minder bedreven) collega's voor onduidelijke situaties zorgen.

Pro-tips: laat wachtwoorden na een jaar verlopen en forceer secundaire authenticatie waar mogelijk (bijv. SMS-tokens of authenticatie-apps zoals Google Authenticator). Vooral secundaire authenticatie is misschien niet waar je als gebruiker op zit te wachten, maar verkleint de kans op ongeauthoriseerde toegang aanzienlijk (lees: kwadratisch).

#3 Open deuren

U zult het allemaal wel weten, maar toch nog even de verkorte checklist op het 'dichttimmeren' van de technische kant van uw IT-omgeving:

• Voorzie alle bedrijfscomputers van actieve virusscanners (met geplande scans en doorlopende updates), geconfigureerde firewalls en up-to-date browsingsoftware
• Stel toegang tot shares in tot op gebruikersniveau en (wanneer gebruikers toch VPN's gebruiken voor thuiswerken) overweeg IP-ristricties
• Geef de gebruikers bij voorkeur beperkte rechten op hun bedrijfscomputers (en zeker geen rechten om software te installeren en/of veiligheidsinstellingen aan te passen)
• Overweeg - als u deze nog niet heeft - een hardware of software firewall waar uw internet binnenkomt
• Zorg ervoor dat een eventueel contingency plan bij onveilige IT-situaties (bijv. een hack-aanval) voor iedereen beschikbaar (en te vinden) is

#4 Overweeg Cloud boven on-site oplossingen

Tja, nu alles steeds meer naar de Cloud beweegt en nu zelfs de Exchange-server plaats moet maken voor de Sharepoint- en Office365-omgevingen in the Cloud... Bedenk je dat voor veel zaken waar je vroeger een eigen server nodig had nu een SaaS-oplossing bestaat. Gebruik bijv. SecuDoc om veilig bestanden te versturen in plaats van de FTP-server. Adviseer de directie om binnenkort over te stappen op de Cloud-versie van uw ERP/boekhoudpakket/CRM.

De organisaties die Cloud-based/SaaS-systemen neerzetten hebben over het algemeen veel kennis van IT security en hun serverpark goed op orde. Zo voeren ze doorlopend updates/patches door en zorgen ze ervoor dat de omgeving voor al hun klanten veilig is. Vaak vele malen veiliger dan voor u on-site met beperkte middelen mogelijk is. Wordt het dan niet eens tijd om die ProLiant-server in de serverruimte/bezemkast los te koppelen? Scheelt toch weer een potentiele point-of-failure (én onderhoud én verantwoordelijkheid).

Boven: overweeg Cloud-based applicaties in plaats van uw huidige on-site systemen. Cloud-based oplossing zijn in vele gevallen veiliger en besparen u het extra onderhoud en de verantwoordelijkheid.

#5 De onaangekondigde penetration test

Echt impact maken? Verras uw collega's (bij voorkeur na goedkeuring van een directielid) eens met een eigen phising-mail. Fabriceer op uw eigen e-mailaccount een e-mail die van u af komt met het verzoek aan al uw collega's om hun hoofdwachtwoord in uw organisatie te wijzigen en stuur ze een link naar een eigen gefabriceerd Google Form/Typeform of iets dergelijks (met de velden Gebruikersnaam, Oud wachtwoord, Nieuw wachtwoord en Herhaal nieuw wachtwoord). Maak het zo echt mogelijk maar geef ze een kleine hint; zorg ervoor dat de stijl iets afwijkt van uw normale schrijfstijl (bijv. een paar typo's). Stuur de e-mail uit, and let the games begin! Wat gaan ze doen?

Een dergelijke actie wordt overigens niet door iedereen in de organisatie gewaardeerd, maar biedt een krachtige risicoanalyse op onveilig e-mailgebruik binnen uw organisatie. De uitkomsten zijn tevens een goede aanleiding om eens met een aantal collega's of de volledige organisatie het gesprek aan te gaan over het organiseren van een IT-veiligheidstraining.

Geïnspireerd?

IT-beveiliging is voor u niets nieuws maar wel iets om ieder jaar over na te denken (liefst natuurlijker vaker). Veel succes, en we zijn benieuwd of u hier inspiratie hebt gevonden om uw IT-omgeving veiliger te maken, laat het ons weten op info@secudoc.nl.