Tien tips om op een goedkope manier je bedrijfsinformatie veilig te stellen

Cybersecurity!


De term wordt de afgelopen jaren steeds vaker door de media genoemd in verband met gestolen data bij bedrijven of bedrijven waar systemen niet langer toegankelijk zijn.


Niet alleen de media duiken daar bovenop; ook overheden en andere instanties haken op deze term in. Denk daarbij aan het opstellen van regelgeving als de Algemene Verordening Gegevensbescherming (AVG) en het voorschijven van security normen zoals de ISO27001. Uiteraard is het mooi om aan de regelgeving te voldoen of om certificering voor security normen te behalen, maar dat is in de praktijk lang niet voor iedereen haalbaar. JM’ers Jan Martijn Broekhof en Sjoerd Versteeg geven daarom een aantal praktische tips om direct zelf aan de slag te gaan met je eigen informatiebeveiliging. Na het lezen van deze tips ben je vanaf vandaag al een stukje veiliger dan gisteren!

Inspireer anderen

1. Gebruik sterke wachtwoorden.

Dit is vast een bekend verhaal: wachtwoorden moeten zo complex mogelijk zijn en het liefst voor iedere applicatie of webpagina uniek. In de praktijk blijkt dit ontzettend lastig. Moeten al die verschillende applicaties dan allemaal een uniek wachtwoord hebben? Het antwoord daarop is: “Ja!”. De sterkte van een wachtwoord wordt overigens niet bepaald door allerlei vreemde tekens en niet te onthouden tekencombinaties te gebruiken, maar vooral door de lengte van het wachtwoord. Gebruik daarom makkelijk te onthouden wachtwoord zinnen.


2. Wees slim bij het bewaren van wachtwoorden.

Voor elk systeem een ander wachtwoord, lastig om ze allemaal te onthouden. Gelukkig kun je wachtwoorden heel erg makkelijk veilig bewaren. Er zijn zogenaamde wachtwoord managers op de markt die dat voor je uit handen nemen. Zo wordt het mogelijk om je wachtwoorden veilig te kiezen, op te slaan en te gebruiken. Neem eens een kijkje op www.lastpass.com of www.1password.com.


3. Wijzig standaard wachtwoorden.

Dikwijls zijn apparaten die je aan het netwerk, en dus het internet, kan aansluiten voorzien van een standaard wachtwoord. Voorbeelden hiervan zijn securitycamera’s, babyfoons of netwerkschijven. Zorg ervoor dat je van deze apparaten het standaard wachtwoord wijzigt in een voldoende veilig wachtwoord. Er is niks eenvoudiger voor een kwaadwillende hacker om een wachtwoord te kunnen gebruiken dat in de fabriek al is ingesteld.


4. Houd systemen up to date.

Het is voor online criminelen heel fijn als je oudere systemen gebruikt. Dat geeft hen namelijk tijd om bekende kwetsbaarheden in deze systemen te misbruiken. Neem daarom de tijd om systemen te voorzien van de laatst uitgebrachte software. Denk daarbij niet alleen aan laptops, maar ook aan tablets, je telefoon of netwerkapparatuur zoals printers.


5. Let op het slotje.

Maak je op het internet gebruik van websites waarbij je moet inloggen en/of gevoelige gegevens verstuurt? Check dan vooraf of er een slotje in de adresbalk wordt weergegeven. Als dat niet zo is, dan is het mogelijk voor kwaadwillenden om de gegevens die je uitwisselt met de website af te vangen. Het slotje betekent dat de gegevens die van en naar de website gestuurd worden ‘versleuteld’ zijn. Ze zijn voor een ander niet te ontcijferen. Erg fijn als je bijvoorbeeld aan het internetbankieren bent.


6. Wees waakzaam met (publieke) WiFi’s.

WiFi netwerken gebruiken geen, of onvoldoende, versleuteling en daarom zijn de verstuurde gegevens voor anderen in te zien. Sterker nog: een kwaadwillende kan met een investering van nog geen € 100,- zelf een gratis wifinetwerk lanceren, dat bijvoorbeeld de naam van het restaurant of bar krijgt, en zo alle verstuurde informatie inzien. Maak je gebruik van openbare wifinetwerken? Dan is de vorige tip zeker van toepassing!


7. Wees waakzaam met e-mail.

Heb je wel eens een nep e-mail gehad? Hoewel de e-mails in het verleden vaak goed te onderscheiden waren, worden ze steeds realistischer en loop je een hoger risico om informatie te lekken of andere schade te leiden. Denk bijvoorbeeld aan CEO-fraude waarbij de financiële afdeling van een bedrijf een ‘bericht’ krijgt van de CEO waarin ze gevraagd wordt om zo snel mogelijk een bedrag over te maken naar een bepaalde rekening. Een ander voorbeeld zijn de sms’jes die sinds een aantal maanden de ronde doen over het verlopen van je persoonlijke betaalpas. Allemaal voorbeelden waarbij kwaadwillenden op grote schaal op zoek zijn naar een paar slachtoffers.


8. Maak back-ups en test deze.

Mocht het een keer misgaan en worden je systemen onbruikbaar, dan is het superhandig als je een back-up terug kunt zetten. Veel organisaties hebben een back-up ingeregeld, maar vergeten regelmatig te controleren of daar de juiste gegevens instaan en of de gegevens ook weer terug geplaatst kunnen worden na een incident. Test dus regelmatig of de back-up compleet is en of je daar bestanden uit kunt halen.


9. Maak gebruik van end-point protectie op je systemen.

De tijd dat antivirus voldoende was om je systeem te beveiligen ligt helaas al ver achter ons. Gelukkig hebben de meeste anti-virusmakers dat ook geconstateerd en leveren zij end-point protectie. Deze software spoort nog steeds virussen op, maar zorgt er bijvoorbeeld ook voor dat je een melding krijgt als je op een link klikt waar je niet op moet klikken of wanneer gegevens op je systeem veranderd worden waarvan dat niet de bedoeling is.


10. Bespreek informatiebeveiliging op managementniveau.

Zorg er voor dat security een onderwerp is wat je tijdens management besprekingen de revue laat passeren. Er zijn voorbeelden van bedrijven die door een gebrek aan security hun continuïteit in gevaar hebben gebracht. Evenals andere risico’s die de continuïteit in gevaar brengen, dienen deze op het hoogste niveau in de organisatie besproken en geborgd te worden. Bepaal wat de risico’s zijn en hoe deze voor uw organisatie opgelost of in het slechtste geval verkleind kunnen worden.


Bovenstaande tips zijn samengesteld door Sjoerd Versteeg en Jan Martijn Broekhof. Beide zijn werkzaam voor verschillende informatiebeveiligingsbedrijven en hebben elkaar ontmoet bij JM Utrecht.

Jan Martijn Broekhof is Managing Director en oprichter van Guardian360. Met behulp van het Guardian360 platform beveiligen IT-dienstverleners klanten wereldwijd. JM is sinds 2015 lid van de JM kringen Utrecht en Rotterdam.

Sjoerd Versteeg is sinds 2017 lid van Jong Management in kring Utrecht. Hij is sales manager bij The S-Unit. Een gespecialiseerd bedrijf in het uitvoeren van zogenaamde penetratietesten. The S-Unit hackt websites, mobiele applicaties of infrastructuren om haar klanten te helpen deze te dichten.