Cybersecurity

3 redenen waarom bedrijven achterlopen in cybersecurity en 7 praktische tips voor informatieveiligheid

- 5 March 2019

Cybersecurity op orde krijgen is op zichzelf al een zware taak voor iedere organisatie. Continu ontwikkelende digitale dreigingen, veranderende wetgevingen, nieuwe normen als BYOD en de toegenomen populariteit van applicaties hebben het potentiële aanvalsoppervlak voor IT security professionals aanzienlijk uitgebreid. De Deloitte 2019 Future of Cyber Survey, met onder de respondenten 500 C-level executives die toezicht houden op cybersecurity bij bedrijven met een jaarlijkse omzet van 500 miljoen dollar of meer, heeft drie belangrijke uitdagingen geformuleerd voor bedrijven bij het implementeren van sterke cybersecuritymaatregelen. We nemen ze kort door en focussen daarna op een aantal algemene, praktische tips.

1. Onvermogen om risico in gehele organisatie te agenderen

Zo'n dertig procent van de respondenten van het onderzoek van Deloitte noemde moeilijkheden bij het prioriteren van potentiële risico's in hun hele organisatie. Gezien de hoeveelheid softwarekwetsbaarheden die worden ontdekt, is dat weinig verrassend, omdat de toename ervan samenvalt met een verminderd inzicht in die kwetsbaarheden. Hoewel grootschalige, zeer bekend gemaakte kwetsbaarheden zoals Spectre en Meltdown patching vereisen, worden ze niet bijzonder actief geëxploiteerd, en de exploitatie van deze kwetsbaarheden is een gematigde uitdaging om ze uit de weg te ruimen.

2. Gebrek aan afstemming van het management op prioriteiten


Het management overtuigen om zich intensief te richten op een onderwerp dat geen inkomsten oplevert, kan een uitdagende taak zijn, zoals blijkt uit het feit dat 28 procent van de respondenten aangeeft dat het management de prioriteiten niet op één lijn heeft. Dat brengt grote risico's met zich mee voor bedrijven, gezien ook het feit dat 2018 volgens een Risk Based Security rapport het op één na meest actieve jaar in de geschiedenis van datalekken was.

3. Gebrek aan adequate financiering


Ongeveer 26 procenten van de respondenten gaf aan dat er onvoldoende middelen beschikbaar zijn voor cybersecuritymaatregelen, een probleem dat alomtegenwoordig is aangezien IT-afdelingen in het algemeen worden bespot als geldputten door degenen die niet begrijpen welke essentiële rol IT-professionals spelen in hun organisatie, of in de wereldwijde digitale economie. 

PRAKTISCHE TIPS VOOR INFORMATIEVEILIGHEID

1. Wees kritisch op toegang tot informatie


Een zeer praktische stap in de beveiliging van informatie is het beperken van toegang tot die informatie. Evalueer daarom periodiek welke accounts toegang bieden tot welke informatie. Zijn al die accounts noodzakelijk? Heeft ieder account dezelfde rechten (nodig)? Zijn accounts, netwerken en de bijbehorende hardware voldoende beveiligd en volledig bij de tijd met betrekking tot software-updates en virusbescherming?

Pas die kritische blik ook toe op alle BYOD-devices van medewerkers (laptops, tablets, smartphones) en eventuele IoT-devices die aan het netwerk gekoppeld zijn. 

2. Houd overzicht van toegang tot informatie


Binnen het domein van accounts en toegang tot data speelt HR overigens een belangrijke rol. Er zijn namelijk twee vormen van interne dreigingen. Verreweg het grootste aandeel vinden we bij de menselijke fout in de dagelijkse omgang met informatie, waarbij het risico op verlies van vertrouwelijke gegevens volledig onbedoeld is. Denk aan een verloren usb-stick met belangrijke informatie, of een gehackt account waardoor een cybercrimineel toegang krijgt tot het netwerk.

De tweede vorm is de 'malicious insider' die erop uit is om met informatie aan de haal te gaan. Dat kunnen medewerkers zijn die vanuit hun positie (en toegang tot informatie) verleid worden om hun slag te slaan voor eigen gewin, maar ook collega's die van buitenaf benaderd worden om voor een interessante beloning de deur (fysiek of digitaal) een stukje open te zetten. Denk ook ontevreden medewerkers die hun kans schoon zien omdat hun huidige situatie, functie of bijvoorbeeld inkomensniveau ze niet bevalt. Natuurlijk is een ontevreden medewerker niet standaard een bedreiging voor de informatieveiligheid, maar het is desalniettemin belangrijk dat Personeelszaken dergelijke ontevredenheid tijdig identificeert.

Daarnaast is het zaak dat er bij collega's die afscheid nemen -omdat het contract beëindigd is, het pensioen voor de deur staat of er een nieuwe uitdaging gevonden is- geïnventariseerd wordt welke accounts en inlogs opgeschoond kunnen worden. Het risico dat zij er na vertrek misbruik van maken is klein, maar opnieuw is het belangrijk dat het aantal accounts met toegang tot informatie en/of het netwerk beperkt blijft. 

3. Gebruik 2-factor authenticatie


Uit onderzoek van SplashData blijkt dat de cijfercombinatie '123456' nog altijd het meest gebruikte wachtwoord is, voor inmiddels het zesde jaar op rij. Ook 'password', op de tweede plaats in het overzicht, stond in 2018 voor de zesde keer op die positie, gevolgd door '123456789'. Een opvallende nieuwe binnenkomer in de lijst op nummer 23 is 'donald'. "Sorry, Mr. President", zegt SplashData-CEO Morgan Slain, "maar dit is geen fake news."

"Het gebruik van een eigennaam of een andere gangbare naam als wachtwoord is een gevaarlijke keuze. Hackers hebben veel succes met het gebruik van namen van beroemdheden, termen uit de popcultuur en sport, en eenvoudige toetsenbordpatronen om in te breken in online accounts, omdat ze weten dat zo veel mensen die gemakkelijk te onthouden combinaties gebruiken."

Neem daarom de moeite om structureel complexere wachtwoorden te gebruiken. Dat maakt het onthouden van je wachtwoord natuurlijk ook een stuk lastiger, maar daar zijn weer allerlei andere handige tools voor. Kijk bijvoorbeeld eens naar deze tips van Computer Totaal om de beste wachtwoordmanager te vinden.

2-factor authenticatie of 2FA is een extra veiligheidslaagje voor je wachtwoord. 2FA vermindert het risico dat een hacker toegang krijgt tot je online accounts door aan dat wachtwoord een tweede stap toe te voegen, zoals de fysieke beschikbaarheid van je mobiele telefoon. Je wordt dan bijvoorbeeld naast invoer van je wachtwoord ook gevraagd om een code die op je telefoon verschijnt.

Veel van de grootste websites ter wereld hebben 2FA gemakkelijk beschikbaar gesteld vanuit de beveiligingsinstellingen van de accounts, maar dan moet je die functie wel zelf benutten. De gemakkelijkste manier om je even in te lezen en ermee aan de slag te gaan, is via de website turnon2fa.com. Een simpele en slimme manier om de deur op slot te zetten.

4. Versleutel gegevens voor opslag en verzending


Versleutel gegevens met een software- en/of hardwareoplossing die past bij het type informatie en het doel van de opslag of verzending, zodat de data veilig wordt opgeslagen of verstuurd. Mocht de beveiliging tekortschieten en de bestanden toch gestolen of onderschept worden, dan voorkomt encryptie toegang tot data. Gebruik geen onveilige usb-sticks, sla geen belangrijke gegevens zomaar op je laptop op en verstuur nooit vertrouwelijke data via e-mail of opslagplatforms in de cloud.

Meld diefstal van bedrijfshardware én je eigen apparatuur altijd bij de IT-servicedesk, want criminelen die toegang krijgen tot gevoelige informatie kunnen voor veel problemen zorgen. Ook als dat jouw persoonlijke gegevens zijn, want ze kunnen jouw account(s) misbruiken of bijvoorbeeld vanuit jouw naam mailen om gevoelige bedrijfsinformatie te achterhalen.

5. Let goed op je software-updates


De beste verdediging van je bedrijfsinformatie is er één waarbij er over de gehele linie voldoende aandacht is voor alle onderdelen. De techniek, de medewerkers, de organisatie en de procedures: alles moet op orde zijn. De risico’s vind je immers bij de zwakste schakel. We focussen voor nu even op de techniek, want gelukkig zijn er laagdrempelige manieren om daar direct mee aan de slag te gaan.

Zorg ten eerste voor goede commerciële antivirus-software. Bijvoorbeeld Kaspersky of Bitdefender. En check regelmatig of deze en andere belangrijke systemen en programma’s van de laatste versies voorzien zijn. Ontwikkelingen bij de buitenwacht staan niet stil, dus het is van cruciaal belang dat je je netwerk voorziet van updates die daarop inspelen. En let op: slechts de update uitvoeren is niet voldoende. Kijk ook eens heel bewust naar de instellingen bij het periodieke upgraden van je software!

Wanneer je een update installeert, klik je namelijk vaak achteloos op ‘akkoord’, of ‘next’, ‘next’, ‘next’ totdat er ‘finish’ staat. Maar het is van belang dat je bij die verschillende stappen ook de juiste vinkjes zet. Software staat namelijk standaard open, het is aan de gebruiker om er de juiste sloten op te zetten. Neem daarom de verschillende stappen van een update niet voor lief, en lees even door waar je nou eigenlijk akkoord op geeft, zodat je verzekerd bent van de correcte instellingen. Check ook regelmatig of al je belangrijke systemen en programma’s van de laatste versies voorzien zijn. Ontwikkelingen bij de buitenwacht staan niet stil, dus het is van cruciaal belang dat je je netwerk voorziet van updates die daarop inspelen.

6. Test je gewoontes


Dan nog een tip op het niveau van de bedrijfscultuur. Technologie wordt namelijk in de meest algemene zin niet op een veilige manier gebruikt. De meeste mensen zijn zich onvoldoende bewust van de kwetsbaarheid van informatie. Een verandering van die houding blijkt steeds de grootste uitdaging, omdat je vaak te maken hebt met hardnekkige gewoontes. Het is zo vanzelfsprekend dat je bij het verlaten van je huis het licht uitschakelt en de deur dichttrekt. Dagelijkse routine, volledig ingebakken. Tegelijkertijd is een vergelijkbare aanpak met betrekking tot digital security nergens zo evident, thuis noch op kantoor. Zolang de juiste houding niet de standaard wordt, vindt er geen verandering plaats. Geen verbetering.

Bedrijfscultuur in het algemeen en de individuele houding in het bijzonder zijn doorslaggevend bij het gedrag van mensen op de werkvloer. Zijn de medewerkers zich bewust van hun rol bij informatiebeveiliging? Wat zijn de gangbare normen? Is de organisatie voldoende bewust van de verantwoordelijkheden en potentiële bedreigingen en consequenties? Hoe is het voorbeeldgedrag van het management? Vul daarom kosteloos de awareness test in om inzicht te krijgen in het huidige niveau van informatiebewustzijn binnen de organisatie. En laat eens een Cyber Risico Scan uitvoeren, om te achterhalen hoe ferm de netwerkbeveiliging van je organisatie is.

7. Securitybeleid vraagt meer dan investeringen alleen


Informatieveiligheidscampagnes zijn niet afhankelijk van budgetten alleen, maar ook enorm gebaat bij een uitgedacht plan, de juiste communicatie en voldoende investering in tijd. Vooral die laatste variabele speelt een bepalende rol in het slagen van cybersecuritybeleid. Geen enkele financiële impuls vanuit het management is voldoende als dat niet hand in hand gaat met praktische middelen om gedrag te beïnvloeden en – blijvend – te veranderen. Een hoofdrol in effectief beleid is weggelegd voor communicatie. In algemene zin: de mate waarin medewerkers effectief aan de slag worden gezet en betrokken raken – én blijven! – bij cybersecurityprogramma’s die binnen een bedrijf worden uitgerold.

Het is precies daar waar de schoen vaak wringt, want het overgrote deel van security awareness professionals heeft een technische achtergrond, terwijl slechts een fractie wordt opgemaakt vanuit vakgebieden als marketing, communicatie en HR. De juiste skills om de boodschap, het belang en de implicaties van een beleid over het voetlicht te brengen én houden schuilen vooral in die laatste groepen.

Zwakste schakel? Human firewall!

Werknemers zijn in ieder bedrijf het grootste goed, maar ook het grootste risico. We kennen de statistiek dat 7 van de 10 incidenten rond informatieveiligheid starten bij het personeel, bewust of onbewust. Toch moeten we niet teveel nadruk leggen op het feit dat menselijk handelen de zwakste schakel is in cybersecurity. Het is beter om dat gegeven als uitdaging en als sterk punt te zien. Juist de mens kan namelijk het verschil maken, want informatieveiligheid en security awareness is veel meer dan alleen een technische ingreep. In plaats van louter investeren in systemen en infrastructuur is inzicht in en verandering van het handelen van werknemers van groot – zo niet groter – belang. Een succesvol informatieveiligheidsbeleid is gericht op zowel de technologie en de middelen als de medewerkers en de bedrijfscultuur om gegevens adequaat te kunnen beschermen.

VIND FERM OOK OP  TWITTER | LINKEDIN | FACEBOOK