12 veelgemaakte fouten op het gebied van cybersecurity
Hoewel het niet meteen het einde voor je bedrijf hoeft te betekenen, mag je...
Hoewel het niet meteen het einde voor je bedrijf hoeft te betekenen, mag je een incident dat kan uitmonden in diefstal van gegevens, vermindering van vertrouwen bij klanten, een beschadigde reputatie, boetes vanwege het niet nakomen van verplichtingen of juridische kosten, nooit verwaarlozen.
Afgelopen najaar bleek uit onderzoek dat het gemiddelde datalek bedrijven $ 15,4 miljoen kost en dat dit bedrag elk jaar met 19% stijgt. Niemand die te goeder trouw is, wil zijn bedrijf op kosten jagen vanwege een domme vergissing, ook de president-directeur niet. Natuurlijk, iedereen maakt fouten. Dat geeft niet, maar het is wel belangrijk dat je van je fouten leert en dat ze geen gewoonte worden. Een rake definitie van domheid is: iets steeds hetzelfde doen, maar er dan een ander resulaat van verwachten.
Hieronder staat een lijst met twaalf cybersecurityfouten in willekeurige volgorde die je in het huidige tijdperk van moderne cybercrime niet mag maken. Ben je van mening dat er iets aan onze lijst ontbreekt, laat dan een reactie achter.
- Niet in kaart brengen waar je informatiestroom zich bevindt
Ik kan het niet vaak genoeg zeggen: data zijn de levensader van je onderneming. Weten en in kaart brengen waar die gegevens naartoe gaan (met name wanneer ze ook buiten je organisatie komen), met wie ze worden gedeeld en waar ze zich bevinden, is essentieel als je wilt weten wat je moet beschermen. Jij moet deze informatie op elk moment paraat hebben – je aanvallers hoeven het maar één keer te weten – en daarom moet je dit duidelijk in beeld hebben. - Securitytests achterwege laten
Overal komen kwetsbaarheden voor, in databases, netwerken en applicaties – en tegenwoordig ook in mobiele apparaten en het internet der dingen. Hier moet regelmatig op worden getest middels geautomatiseerde kwetsbaarhedenscans en grondige penetratietests. Belangrijke stelregel: meten is weten. - Te veel aandacht voor de randgebieden
Ook nu nog is preventie zeker belangrijk, maar als je ziet hoe geavanceerd aanvallen zijn, dan weet je dat indringers hoe dan ook je territorium binnen zullen komen. En als ze eenmaal binnen zijn, zullen ze op zoek gaan naar privileges waarmee ze zich kunnen voordoen als legitieme gebruikers. Ze kunnen je lange tijd voor de gek houden, tenzij je goede methoden hebt om aanvallen zichtbaar te krijgen en je weet wat hoe je moet handelen als je aanwijzingen hebt dat er indringers zijn. - De basis vergeten
Vaak zijn het de simpelste dingen die je over het hoofd ziet. Om te voorkomen dat je straks een ‘ja, duh’-moment krijgt, moet je ervoor zorgen dat al je medewerkers een sterk wachtwoord hebben (een wachtwoordzin is nog beter) en dat alle onderdelen van je netwerk op de juiste manier gesegmenteerd zijn, zodat er minimale toegang tot vertrouwelijke gegevens is, dat ze zodanig geconfigureerd zijn dat ongewenste wijzigingen worden voorkomen en dat ze zijn bijgewerkt met de meest recente patches. - Niet voorzien in security-awarenesstraining
In de VS werd de bevolking middels de campagne ‘If you see something, say something’ opgeroepen om verdachte situaties bij de politie te melden. Ook bij cybercrime is het van belang dat de bevolking de securitybranche informeert wanneer men te maken krijgt met een aanval, of zelfs bij een poging daartoe. Zorg dat je personeel getraind is om hun laptop te beveiligen, maar ook om socialengineeringaanvallen te herkennen. En stuur ze naar herhalingstrainingen, want aanvallers worden steeds gewiekster. - Geen veiligheidsbeheer toepassen
Net als de meeste bedrijven zul je waarschijnlijk niet het budget hebben om een eigen securitycentrum op te richten. Dat betekent echter dat je zelf 24 uur per dag alert moet zijn op securityaanvallen en dat je voor voldoende kennis moet zorgen om alarmberichten te onderzoeken, op jacht moet naar bedreigingen, serieuze incidenten in de knop moet breken en aanvallen moet minimaliseren. - Risicoanalyses van de leverancier negeren
Tegenwoordig zetten aanvallers hun cyberaanvallen zo slim op dat ze eerst infiltreren bij de leveranciers van hun slachtoffer. Zorg dat je met derde partijen waarmee je in zee gaat, overlegt over securityvraagstukken, zodat je zeker weet dat zij een goede beveiliging en zo min mogelijk risico’s net zo belangrijk vinden als jij. - ‘Schaduw-IT’
De lijnen in je bedrijf lijken op klimop – ze groeien en groeien maar door, tot je op een gegeven moment het overzicht volkomen kwijt bent. Die goeie ouwe tijd waarin je je alleen maar druk hoefde maken over desktop- en laptopcomputers is helaas voorbij. Je werknemers maken nu gebruik van zogeheten schaduwapplicaties en apparaten die niet langer door IT worden ondersteund. Je kunt het niet tegenhouden, maar houd het wel in de gaten. Zorg eerst dat je de risico’s in beeld krijgt, dan kun je vervolgens zorgen dat je ze kunt beheersen. - Denken: ach, het is maar malware
Malware is nog altijd een belangrijk middel van aanvallers die in jouw bedrijf vaste voet aan de grond willen krijgen. Als ze eenmaal binnen zijn, maken ze vaak gebruik van andere strategieën om je hele netwerk naar zich toe te trekken. Vaak betekent het dat ze proberen onder de radar te blijven door gebruik te maken van de tools van legitieme beheerders of ethische hackers, door gevoelige informatie te vergaren en kwetsbaarheden te vinden. - Denken: ach, het zal mij niet overkomen
Misschien hoop jij nog altijd dat cybercriminelen jou met rust zullen laten en jouw bedrijf zullen overslaan, maar het is nu eenmaal de realiteit dat elk bedrijf slachtoffer kan worden, groot en klein. Bereid jezelf voor, zodat je snel kunt reageren en de schade kunt beperken als – of beter wanneer – jij aan de beurt bent. - Je baas en het bestuur buiten beschouwing laten
Volwassen omgaan met security is het heilige doel van iedere professional op het gebied van informatiebeveiliging. Bij bedrijven die hier op een volwassen manier mee omgaan, is veiligheid in de bedrijfscultuur ingebakken, in de hele hiërarchische ladder, van boven naar beneden. Zorg dat je baas en het bestuur achter je staan. Dat is misschien niet altijd even gemakkelijk, maar in het huidige klimaat is het onvermijdelijk. - Proberen het allemaal in je eentje te doen
Het tekort aan vaardigheden op het gebied van cybersecurity is zeer ernstig. Geschat wordt dat er wereldwijd een tekort is van een miljoen mensen en dit aantal blijft maar stijgen. Of je nu een klein bedrijf bent dat geen enkele securitymedewerker in dienst heeft of een groter bedrijf dat hulp nodig heeft bij het uitbreiden van penetratietests, securitybeheer of incidentafhandeling: het zal je nooit lukken om meer te doen met minder menskracht. Samenwerken met een securityleverancier als SECWATCH is een goede optie. En dit hoeft helemaal niet te betekenen dat er minder mensen nodig zijn – het betekent alleen dat jij je met je team volledig kunt richten op IT-projecten die betrekking hebben op jouw bedrijf, en dat je alleen de verantwoordelijkheid voor de veiligheid kunt overlaten aan organisaties die hiervoor de expertise en de mankracht in huis hebben. Zo kan er een verhoogde werkzekerheid voor je IT-personeel ontstaan en hoef je je minder zorgen te maken dat je gezien het hoge verloop in deze branche een ervaren securitymedewerker kwijt zult raken aan een ander bedrijf.
Origineel blog van Dan Kaplan, manager van online content bij Trustwave en voormalig IT- security reporter en editor.