dinsdag 19 juni 2012

12 Beveiligingstips voor KMO´s


Waar veel mensen vertoeven zitten ook die mensen die het niet zo nauw nemen met de regels en van zodra je computerinfrastructuur met het internet verbonden is, is de kans reëel dat anderen proberen toegang te krijgen tot je computer, netwerk of gegevens om deze te stelen, door te verkopen of in te zetten voor andere illegale doeleinden. Zaakvoerders van kmo´s denken nog te dikwijls dat het hen niet zal gebeuren. Zoals blijkt uit de recente artikels "Scammers proberen privé pc´s in België over te nemen", "Hacker steelt 50 GB gegevens Visa- en MasterCard-klanten",
"Cybercriminaliteit kost België jaarlijks 1 tot 3 miljard euro", "Back to Basics met informatiebeveiliging" en "Dreiging cyberaanval is zeer groot" gebruiken de oplichters steeds geavanceerdere technieken.

Lange tijd bleef dit in grote mate beperkt tot toestellen die werkten op basis van Windows software, momenteel hebben ook Apple computers, Linuxsystemen en alle mobiele platformen in groeiende mate hier last van.

Welke beveiliging dient er dan gebruikt te worden, vraag je je dan af ?
Wel elke beveiliging is zo sterk als zijn zwakste punt. Dit betekent dat als er binnen de kmo 1 persoon is die het niet zo nauw neemt met beveiliging dit een ernstige bedreiging kan vormen voor het geheel van de beveiliging. Zorg dus dat alle werknemers binnen het bedrijf voorzien zijn van de nodige beveiligingssoftware.

Een aantal zaken kan je als kmo zeker doen.

  1. Policy of IT-beveiligingsbeleid
    Fair use,  regels rond websites, mail ea, legale software, social media, privacy
    raadt bedrijven aan een IT-beveiligingsbeleid te ontwikkelen en dat te laten naleven door het personeel. "Veel kmo's hebben wel een beleid, maar geven tegelijkertijd toe dat dit niet even rigoureus wordt gevolgd door het personeel."
  2. Paswoorden - Wachtwoorden (online)
    Paswoorden zijn nog steeds de meest gebruikte manier om de toegang tot computer infrastructuur, software toepassingen en websites te beveiligen. Nog te dikwijls kiest men een veel te eenvoudig paswoord. Dus kan het belang van het kiezen van een niet voor de hand liggend paswoord niet overschat worden. Door het veelvoud aan toepassingen en websites waar je een paswoord voor nodig hebt is het allemaal niet eenvoudiger op geworden. Aan te raden is dan nog om voor elke toepassing een ander paswoord te kiezen en het wordt voor jezelf onmogelijk om al deze paswoorden te onthouden zoals in het artikel "Mijn wachtwoord is geheim en het jouwe?" uit de doeken wordt gedaan. Eventueel kan je gebruik maken van een digitale kluis genre LastPass om al je paswoorden in op te slaan zodat je dan maar 1 paswoord (best een ijzersterk) hoeft te onthouden. Best heb je daar ook de versie van die op je smartphone werkt zodat je ook daar aan je paswoorden kan. Als IT-beheerder kon je vroeger een paswoord policy opleggen maar dat is nu een stuk moeilijker geworden omdat de werknemers nu misschien hun eigen apparatuur mogen aankopen (zie punt 8 over BYOD) en ze misschien gebruiken van clouddiensten (software as a service). Cloudsoftware brengt nog een extra aandachtspunt: als werknemers het bedrijf verlaten kon je ze vroeger als beheerder van alle toepassingen als gebruiker verwijderen, dit overzicht ontbreekt nu dikwijls daar de beheerder niet altijd meer weet van welke clouddiensten de werknemer allemaal voor het werk gebruik maakte.
  3. Antivirus, Antispam, Antispyware
    Een basisbeveiliging tegen hackers en virussen bestaat natuurlijk uit een antivirus, antispam en antispyware oplossing voor elke server en elke PC die binnen je bedrijf wordt gebruikt. Best neem je deze oplossingen uit een geïntegreerde oplossing zodat je geen probleem hebt dat deze oplossingen onderling mekaar tegenwerken. Elke strategie is gedoemd tot falen wanneer virussen, Trojanen of rootkits zich ongegeneerd in je systeem mogen nestelen. Best kies je voor een leverancier die zijn strepen hier verdiend heeft. Pas op met onbekende websites die plots komen zeggen dat je PC besmet is, je aanraden om snel software down te loaden om het te verhelpen. Het resultaat uiteindelijk is dat je wel besmet bent, afgeperst wordt door de leverancier van de software en je met een hoop rompslomp en zorgen achterblijft alvorens je het laatste restje besmetting verwijderd krijgt.
  4. Firewall
    Uiteraard gebruikt u op alle PC´s op zijn minst de ingebouwde software firewall. Voor het ganse bedrijf is een hardware firewall te verkiezen. Tegenwoordig noemt men deze toestellen vaak UTM (Unified Threat Management) en bevatten ze naast de firewall functionaliteit die ervoor zorgt dat ongewenst verkeer zowel inkomend als uitgaand gecheckt en indien nodig tegengehouden wordt, ook functionaliteiten zoals het detecteren van binnendringen (intrusion detection) en het voorkomen van binnendringen (intrusion prevention).
  5. Patches en Updates
    Regelmatig duiken er beveiligingsgaten en gekende problemen op bij operating systemen en veelgebruikte softwares zoals Adobe Reader, Flash, internet browsers ea. Software aanbieders brengen daarom regelmatig patches, updates en upgrades uit om deze problemen te verhelpen. Dikwijls blijkt echter dat de gebruikers deze nieuwe versies niet installeren. Virussen en hackers maken hiervan dan ook dankbaar gebruik om via ongepatchte achterpoortjes je PC binnen te dringen.
  6. Backup
    Een crash van een harde schijf, een diefstal of per ongeluk ergens achterlaten van een toestel is altijd mogelijk. Belangrijk is daarom om van al je gegevens een zo recent mogelijke reservecopie te hebben zodat je tenminste je belangrijke gegevens niet kwijt bent. Die reservecopie bewaar je best niet bij de toestellen waar je de copie van neemt want bij brand of diefstal is de kans groot dat je ze dan ook kwijt bent. Zorg voor een backupplan zodat backups georganiseerd en geregeld gebeuren. Check ook regelmatig of je backupmedium (tape, externe harde schijf of storagesysteem) wel degelijk de bestanden en gegevens bevat die er op zouden moeten staan. Niets zo erg als na een calamiteit te moeten vaststellen dat je schijf of tape leeg zijn. En het gebeurt wel degelijk!
    Overschrijf ook niet steeds de laatste versie. Indien je te laat opmerkt dat een bestand corrupt is dan is ook je backup corrupt en sta je nog even ver.
  7. Opslagmedia: USB-sticks, externe harde schijven, diskruimte in de cloud en smartphones
    Zoals hierboven aangegeven wordt belangrijke informatie op meer en meer dragers geplaatst met het gevaar natuurlijk dat deze dragers het kunnen begeven, gestolen worden of verloren geraken. Denk op voorhand na hoe belangrijk het voor je is om deze gegevens niet kwijt te spelen, hoe privé deze gegevens zijn als ze in de verkeerde handen terechtkomen enz. Encryptie van gegevens op een USB, harde schijf of clouddienst zorgt er alvast voor dat onbevoegden je gegevens niet kunnen bekijken.
  8. Disaster recovery en Business Continuity
    Het feit dat je als KMO steeds meer een beroep doet op IT als ondersteunende en drijvende kracht van je bedrijf maakt je aan de andere hand ook kwetsbaarder en afhankelijker van je IT indien deze niet (meer) werkt. Gewoon het feit dat e-mailverkeer niet mogelijk is legt al veel van de bedrijven plat. Indien er iets scheelt met je ERP (geïntegreerde oplossing), administratiepakket, CRM (klantenbeheersysteem) of planningspakket en je bedrijf ligt helemaal stil.
    Denk dus op voorhand eens na wat de cruciale zaken zijn, welke je belangrijkste processen zijn die steunen op IT en weeg hier tegenover af welke maatregelen je kan treffen en hoeveel die dan mogen kosten om deze te voorkomen of in geval er toch problemen optreden hoe snel en op welke manier ze kunnen verholpen worden. Een goed gedocumenteerde IT met de nodige identificatie van software, hardware en clouddiensten aangevuld met de meest recente contactgegevens is alvast een goed startpunt. Dit kan je dan uitbreiden met de belangrijkste processen en hoe deze door welke IT worden ondersteund. Dit laat je toe om beleidsbeslissingen te nemen. Evalueer minstens 2 maal per jaar of alles nog geldig is en hou hier rekening mee bij aanschaf of introductie van nieuwe IT oplossingen.
  9. BYOD of Bring Your Own Device
    Peter Hinssen geeft in zijn boek "Digitaal is het nieuwe normaal" aan dat Generation-Y werknemers werken beschrijven als de tijd dat ze verouderde hard- en software dienen te gebruiken. Meer en meer werkgevers laten dan ook toe dat werknemers hun eigen toestellen (laptop, tablet, smartphone) meebrengen om professioneel te gebruiken. Soms geven ze zelfs een bedrag waarmee de werknemer zijn eigen toestel kan aankopen. Dit houdt meestal ook in dat men een aantal toepassingen gebruikt die niet door het bedrijf worden ondersteund. Als motivator voor je werknemer kan dit alvast tellen maar het houdt ook een aantal gevaren in: Is het toestel voldoende beveiligd ? Wat bij diefstal of verlies ? Is er geen kans dat vertrouwelijke documenten op deze manier gelekt worden ?  Het is dan ook belangrijk om als je hierin wenst mee te gaan, je zorgt voor duidelijke richtlijnen en tevens regelmatig controleert of ze wel degelijk gevolgd worden. Lees er volgend artikel maar op na: "Eerste generatie BYOD-medewerkers gevaar voor organisatie."
  10. WiFi-netwerk beveiliging
    Een draadloos netwerk zonder beveiliging is als de voordeur openzetten en dan verwonderd zijn dat er ongewenste bezoekers langskomen, zelfs met sloten op de deur is dat tegenwoordig moeilijk, ik heb het zelf meegemaakt. Zorg daarom minstens voor een WPA2 beveiliging, verberg de naam van je Wifi-netwerk en verander het standaard wachtwoord. Recent verscheen op de site van Clickx een workshop die je helpt bij het juist instellen van deze parameters.
  11. Social Media
    Hackers en computercriminelen weten uiteraard ook dat heel wat mensen de weg naar de sociale media in casu Facebook hebben gevonden en gebruiken deze weg dan ook om via op het eerste zicht aantrekkelijke berichten te hacken of met een virus of trojan te besmetten. Dit vergemakkelijkt hun werk aanzienlijk. Zorg dus binnen je bedrijf op zijn minst om af en toe informatie te verstrekken over welk soort linken betrouwbaar zijn en welke niet. Neem deze informatie mee op in je gebruik van internet policy. Sociale media verbieden hoeft daarom niet. Net zoals bij e-mail is het niet slim om zomaar op de eerste de beste link te klikken. Lees er volgend artikel maar eens op na:"Dankzij Facebook hoeven criminelen geen computers meer te besmetten" .
  12. Menselijke Component Verder gaand op bovenstaande bedenking van niet zomaar op de eerste de beste link te klikken, blijft het aan te raden om elke medewerker ervan bewust te maken dat hijzelf de zwakste schakel uit het hele gebeuren is. Geef dus nooit je paswoord aan onbekenden, laat niet zomaar iedereen binnen in de gebouwen van je bedrijf, denk 2x na vooraleer je klikt op een link of surft naar een website, doe geen dingen die een goede huisvader niet zou doen.
Over verschillende van bovenstaande aandachtspunten heeft LSEC, Leaders in Security een organisatie die bedrijven actief in Security clustert 10 zeer interessante flyers uitgegeven die telkens uitleg geven over het thema en dit dan via een concrete case nader toelichten.

Volgende flyers zijn beschikbaar en vrij te downloaden
[   ]LSEC-Flyer_EID_100324.pdf

[   ]LSEC-Flyer_Hacking_100324.pdf

[   ]LSEC-Flyer_Virtual_Cloud_100324.pdf

[   ]LSEC_ContinuityFlyer_090331_NL.pdf

[   ]LSEC_PasswordFlyer_090401_NL.pdf

[   ]LSEC_PhisingFlyer_090402_NL.pdf

[   ]LSEC_SpamFlyer_090403_NL.pdf

[   ]LSEC_SpywareFlyer_090403.pdf

[   ]LSEC_VirusFlyer_090404_NL.pdf

[   ]LSEC_WirelessFlyer_090404_NL.pdf


Ook op de website van kmo-it kan je voor meer informatie over IT beveiliging voor kmo´s terecht en ook IT-professional beklemtoont het belang van een goede beveiliging in volgend artikel "Hoe kmo's hun IT kunnen beveiligen - Cybercriminelen willen nu ook kleinere bedrijven"

Feit blijft dat beveiliging van je IT een constant aandachtpunt blijft en door de vele en snelle veranderingen van IT, zijnde cloud, social en mobile continu in beweging blijft en er dus nood is om als bedrijfsleider hier de nodige aandacht aan te blijven besteden.

Nu de vakantie voor de deur staat kan je maar best de nodige voorzorgsmaatregelen treffen !

Heb je zelf nog aanvullingen, reageer dan onderaan deze post. Alvast bedankt !

Geen opmerkingen:

Een reactie plaatsen