De afgelopen jaren lag bij bedrijven een grote focus op de beveiliging van de cloud, datacenters en netwerken. En hoewel het inderdaad lastiger is geworden voor cybercriminelen om in die systemen in te breken, staat onze online veiligheid toch onder druk.
Een laptop, smartphone, smartwatch en soms ook nog een tablet. Vaak hebben werknemers 3 tot 4 devices in bezit, die ze (ook) zakelijk gebruiken. Dat biedt criminelen aantrekkelijke mogelijkheden om alsnog in netwerken binnen te dringen. Ga maar na: hoe vaak ontvang en installeer je direct de updates en patches die je voor je apparaten binnenkrijgt?
De businesscase van goede security
Wil je als IT-manager graag genoeg geld en aandacht voor security binnen je bedrijf, maar weet je niet goed hoe je dit aan moet pakken? In deze longread lees je hoe je de directie kunt overtuigen met een ijzersterke businesscase.
DownloadenVertrouwde partij
En dan is er nog social engineering, waarbij cybercriminelen zich richten op de gebruiker in plaats van de techniek. Ze doen zich voor als een vertrouwde partij, versturen phishingmails of snuffelen rond op plekken waar vertrouwelijke documenten worden weggegooid of verzameld.
Hacken wordt vaak geassocieerd met gadgets en technisch vernuft, maar in de praktijk wordt veel succes behaald dankzij menselijke zwakheden. Veel van de hedendaagse hacks en datalekken zijn het gevolg van een gebrek aan ‘cyberskills’ van de gebruiker.
Bewustwording
Gebruikers beschermen tegen cyberdreigingen begint bij bewustwording. Ze moeten weten welke technieken aanvallers gebruiken en hoe phishingmails zijn te herkennen. Een security awareness-training is een goede manier om medewerkers te trainen en bewust te maken, ook over het belang van bijvoorbeeld unieke wachtwoorden, updates en back-ups.
Daarbij is het slim om trainingen regelmatig opnieuw aan te bieden, want ontwikkelingen en nieuwe dreigingen volgen elkaar in rap tempo op. Herhaling zorgt er ook voor dat informatiebeveiliging en risicobewust gedrag op een gegeven moment routine worden.
Gebruikers beveiligen
Awareness is belangrijk, maar je moet gebruikers ook tegen zichzelf beschermen. Het wordt immers steeds lastiger om phishingmails en nepsites met malware van echt te onderscheiden. In het eerste geval is het van belang dat je voor bedrijfsmail de authenticatiemethode Caller ID combineert met Sender Policy Framework, om zo de ware afzender van e-mails te identificeren en fraude tegen te gaan.
HP heeft het bedrijf Bromium overgenomen, waardoor het nog beter in staat is om het gevaar van onveilige websites te beperken. Open je in je browser een site waar wat mis mee is, dan wordt deze in een container geplaatst waar hij geen schade kan aanrichten. Na het sluiten van het tabblad of browservenster is de malware weg.
Dat voorkomt echter niet dat een gebruiker op een malafide website toch zijn inlog- of bankgegevens invoert. Als werkgever of systeembeheerder kun je ervoor kiezen om gebruikers alleen toegang te geven tot beveiligde HTTPS-websites met een digitaal certificaat, te herkennen aan een (groen) slotje en de tekst ‘veilig’ vóór de URL van de website. Nepwebsites kunnen zo’n certificaat doorgaans niet overleggen.
Beveiligingsmanagement
Beveiliging moet werkbaar zijn, anders gaat de gebruiker er een weg omheen vinden. Goed beveiligingsmanagement zorgt ervoor dat gebruikers weinig merken van (automatische) updates, zodat ze deze niet kunnen of hoeven te negeren.
Daarnaast werkt inloggen met een vingerafdruk of gezichtsherkenning gecombineerd met een pincode, veel prettiger dan met een ingewikkeld wachtwoord. Gebruikers krijgen snel en toch veilig toegang tot hun systeem, en zijn minder geneigd een te simpel of hergebruikt wachtwoord in te stellen.
Bijkomend voordeel is dat biometrische kenmerken (een vingerafdruk of irisscan) gekoppeld zijn aan het desbetreffende apparaat. Een crimineel kan het niet op een ander apparaat hergebruiken, wat wel mogelijk is met een wachtwoord.
Meer beveiligingstips
De lijst met mogelijkheden voor informatiebeveiliging is lang. Naast de maatregelen die hierboven zijn genoemd, kun je onderstaande tips overwegen:
- Meerdere beveiligingslagen: Net als inbrekers kiezen hackers het liefst voor het makkelijkste doelwit. Drie sloten is beter dan één.
>> Hoe veilig is inloggen met gezichtsherkenning?
Meekijkers voorkomen: Houd er rekening mee dat naast digitale ook fysieke hacks een gevaar vormen. Denk aan iemand die over je rug meekijkt terwijl je inlogt op je mail of bedrijfsnetwerk.
>> 4 manieren om onderweg te werken zonder pottenkijkers - Slim wachtwoord: ‘Vergeet’ de traditionele wachtwoordregels als een 0 voor de letter o en ! voor i. Dat kan zo geraden worden. Kies liever een zin bestaande uit willekeurige woorden die lastig te raden, maar makkelijker te onthouden zijn.
>> Hoe veilig is jouw wachtwoord? - Beveiligde hardware: Overweeg producten met hardwarematige beveiliging voor BIOS, OS en identiteit. Steeds meer moderne (mobiele) devices hebben dit standaard ingebouwd.
>> 7 security-oplossingen die het verschil maken - Denk aan de randapparatuur: Beveilig ook de randapparatuur in het netwerk. Moderne netwerkprinters en narrowcastingmachines zijn net pc’s en dus net zo kwetsbaar.
>> 8 tips om je netwerkprinters te beveiligen - Geen USB-stick: Stel policies in om bedrijfscomputers alleen vertrouwde usb-apparaten te laten accepteren. Dus bijvoorbeeld wel toetsenbord en muis, maar geen willekeurige usb-stick.
>> Slim en veilig documenten delen met Sharepoint doe je zo
De businesscase van goede security
Wil je als IT-manager graag genoeg geld en aandacht voor security binnen je bedrijf, maar weet je niet goed hoe je dit aan moet pakken? In deze longread lees je hoe je de directie kunt overtuigen met een ijzersterke businesscase.
DownloadenLees ook: