Bedrijfsleiders en IT-verantwoordelijken worden om de oren geslagen met security oplossingen allerhande.
De een al beter en completer dan de andere, ze hebben allemaal één ding gemeen: ze claimen dé securityoplossing te zijn die jouw bedrijf nodig heeft.
Wie meent dat met het binnen halen van een of meerdere tools je je bedrijfssecurity op niveau kan brengen is eraan voor de moeite.
Security is een mind set, een attitude. Geen enkele tool die je dat kan bijbrengen. Het is zoals stoppen met roken, je kan kapitalen uitgeven aan middeltjes allerhande, als je niet écht overtuigd wil stoppen, dan lukt het toch niet.
Security vertrekt vanuit je bedrijfsstrategie. Je strategie is bepaald, daar gaan we van uit…
Daaruit volgen de nodige processen. Voorzie deze processen van de nodige procedures en selecteer de daarbij passende tools. Op deze wijze ga je niet enkel je bedrijfsprocessen documenteren, je geeft ook duidelijke richtlijnen naar je personeel m.b.t. hoe ze hun werk moeten doen (en dus over hoe ze de veiligheidsrichtlijnen volgen).
Bij de uitvoering van hun werk hebben mensen nogal de neiging om allerhande informatie bij te houden, liefst in verschillende versies. De hoeveelheid bijgehouden informatie wordt er niet kleiner door, het is ook zeer handig om tijd te verliezen en verwarring en fouten in de hand te werken.
Hou enkel de informatie bij die je echt nodig hebt. Dit liefst in één versie en op één plaats. Je bespaart er niet enkel schijfruimte mee (zowel in opslag als in back-up), het stelt je ook in staat goed bij te houden wat waar staat en wie er toegang toe heeft.
Procedures en policy ’s zijn hier een must. Zo kan een verbod tot het bewaren van data op mobiele toestellen zeer nuttig zijn; een andere optie is het versleutelen van de data. In geval van diefstal of verlies van een mobile device is de er op opgeslagen data waardeloos voor de dief of vinder.
Een ander heikel punt zijn de toegangen tot informatie. In veel bedrijven weet men ongeveer wie daar toegang heeft, maar heel zeker is men niet… Beperk deze toegangen steeds tot het minimum, en breng ze in kaart. Dit komt bijzonder van pas wanneer bv. een werknemer het bedrijf verlaat en er toegangen moeten geknipt worden. Een inventaris van toegangsrechten komt hierbij goed van pas.
Alle bovenvermelde punten maken deel uit van de interne beveiligingsprocedure. Werk deze procedure bij als nodig en voer controles uit op de naleving ervan.
Dit alles is natuurlijk bijzonder gebaat bij een user awareness training, en de repetitieve herhaling van de belangrijkste punten. Deze training kan zorgen voor een bewustwording bij het personeel m.b.t. bet belang van interne beveiliging en de te volgend procedures. Je kan ze er ook een alertheid bij brengen ten overstaan van mogelijke phishing mails.
Ook niet onbelangrijk is het creëren van een open klimaat waarin het vanzelfsprekend is dat er risico’s en incidenten gerapporteerd worden. Het is enkel dankzij de medewerking van iedereen binnen het bedrijf dat men tot een werkelijke beveiliging komt.
Naast de algemene zaken zijn er natuurlijk ook een aantal zuiver ICT gerelateerde aandachtspunten. Aangezien het om technische zaken gaat lijsten we ze gewoon op.
Verplicht het gebruik van verschillende en voldoende complexe paswoorden. Beperk de geldigheid van een paswoord in de tijd.
Gebruik een goede (proactieve) en onderhouden Firewall
Zorg dat alle software, firmware ed. steeds bijgewerkt zijn en dus op de recentste versie werken.
Stel two-factor authenticatie in bij remote access op systemen.
Encrypteer maximaal je data
Test je back-ups
…
Last but not least ondersteunt dit alles ook op actieve wijze je GDPR-inspanningen.
Toegegeven dit alles kan een beetje overweldigend overkomen. Overkill is het echter niet. Zoals alles is deze olifant eetbaar. Zolang je hem maar in kleine stukjes verorbert zal je er geen indigestie aan overhouden.
Wens je bijstand of advies bij het beveiligen van je omgeving, aarzel dan niet contact op te nemen met sales@neddine.be of +32 470 71 49 41 of surf naar www.neddine-solutions.be
