5 tips om het security protocol van jouw organisatie te verbeteren

Hoe veilig is het security protocol van jouw organisatie? Dataverlies of -diefstal is één van de grootste nachtmerries die je als bedrijf kunt hebben. Je moet namelijk direct melding doen bij de Autoriteit Persoonsgegevens waarbij jouw organisatie risico loopt op een flinke dosis imagoschade en ook nog eens een boete te krijgt. Het gebruik van een standaard security protocol is dan zeker aan te raden; maar waar moet je beginnen?

De risico’s van een ontoereikend security protocol zijn welbekend. De Wet Meldplicht Datalekken (ingegaan op 1 januari 2016) gebiedt organisaties, waar sprake is geweest van een hack, direct melding te laten doen van het datalek. Dit moet bij zowel de Autoriteit Persoonsgegevens als klanten van de organisatie. De boete die een bedrijf kan krijgen loopt al gauw op tot wel 810.000 euro. Dit geldt met name wanneer er sprake is van nalatigheid. Naast de mogelijkheid van een datalek is er een risico dat kwetsbaarheden worden uitgebuit, spam wordt verstuurd vanuit het gehackte systeem, DDoS-aanvallen (pogingen om een computer/-netwerk/-dienst onbeschikbaar te maken voor de bedoelde gebruiker) worden gepleegd en meer. Het verkrijgen van basisgegevens is vaak al genoeg; er is niet zo heel veel voor nodig om de dienstverlening van een organisatie in gevaar te brengen.

Mensenwerk bevat fouten

De motivaties voor aanvallen kunnen variëren; van het verzamelen van financiële gegevens en privé gegevens van medewerkers, tot bedrijfsspionage of het verspreiden van malware. Patrick, security engineer bij managed hosting provider True, geeft aan dat organisaties zich meer zouden moeten richten op het creëren van security-awareness. Patrick: “medewerkers zouden eigenlijk twee keer per jaar een training moeten krijgen, waarbij alle security regels en voordelen uiteen worden gezet”. Daarnaast dient er volgens hem een regelmatige audit plaats te vinden, omdat er altijd sprake is van een beveiligingsrisico. Patrick: “Het maken en/of invoeren van een goed security protocol is mensenwerk; en mensenwerk bevat vaak fouten”.

5 tips & trucs van Patrick

• Lange wachtwoorden & strikte policies: De regels omtrent wachtwoorden mogen vrij strikt zijn. “Mensen hebben de neiging om wachtwoorden te (her)gebruiken die makkelijk te herinneren zijn. Dat komt de sterkte van het wachtwoord niet ten goede. Eigenlijk zouden mensen lange, ingewikkelde wachtwoorden moeten maken, waarbij gebruik wordt gemaakt van speciale tekens. Tevens zou er een regel moeten zijn die voorkomt dat hetzelfde wachtwoord ooit hergebruikt kan worden. Daarnaast is het verstandig dat interne wachtwoorden nooit op externe omgevingen gebruikt mogen worden.
• Two-factor authentication is ook aan te raden. Hierbij dient de gebruiker meerdere authenticaties aan te leveren (bijvoorbeeld door een code in een toegestuurde SMS in te vullen), Mocht in dat geval het wachtwoord achterhaalt worden dan is het alsnog niet mogelijk om in te loggen.”
• Kun je je wachtwoord(en) niet onthouden? Maak dan gebruik van een wachtwoordmanager: Sla deze dan lokaal op en niet in de cloud. Patrick: “Leveranciers van een dergelijke wachtwoordenmanager garanderen een optimale security, maar het is nooit 100% dicht te timmeren.” Zo werd Lastpass in 2015 gehacked en bleek er een risico te zijn dat de wachtwoorden van users openbaar zouden worden. In een recenter voorbeeld werd browserontwikkelaar Opera gehacked. Daarbij werden de gebruikersnamen, versleutelde wachtwoorden, bookmarks en surfgeschiedenissen van ruim 1,7 miljoen gebruikers gestolen.
• Houd je applicaties up-to-date: Het komt nog te vaak voor dat applicaties (CMS), thema’s en plugins niet geüpdatet worden. Een update dicht het geconstateerde lek. Als je weet dat er sprake is van een security-risico; dan moet je dat repareren. Patrick: “waarom dicht je niet het ‘raam’ dat is ingetikt? Je laat de voordeur van je bedrijfspand toch ook niet onbeheerd open staan? Dus waarom wel van je webomgeving?”
• Maak gebruik van secure coding: Waar mensenwerk aan te pas komt, is een risico op fouten. Zo geeft Steve McConnel in zijn boek ‘Code Complete’ aan dat er in 1000 geschreven coderegels, gemiddeld 15 tot 50 fouten zitten. Patrick: “secure coding is een techniek die zo goed mogelijk tot een veilige code probeert uit te komen. Met minder bugs en fouten, wordt het systeem minder kwetsbaar. Garantie kan nooit worden gegeven; daarom zijn reguliere audits zeer aan te raden.”

Security heeft (te) weinig prioriteit

Bij het implementeren van deze tips is het aan te raden om een aangewezen persoon te hebben die verantwoordelijk is voor de regels omtrent security in de organisatie. Een Chief Security Officer is daarentegen in Nederland (vreemd genoeg) geen verplichting. Patrick: “Er blijken in vrijwel iedere sector, organisaties te zijn die niet heel bewust omgaan met de beveiliging van hun web-applicatie. Of daar een dedicated iemand voor moet worden aangenomen? Het is zeker een aanrader, ondanks het feit dat een dergelijke specialist vrij kostbaar is. Toch blijken er altijd weer security-risico’s te zijn die mogelijk integriteit en vertrouwelijkheid kunnen aantasten. Organisaties dienen daarop voorbereid te zijn.”

Hoe je het ook wendt of keert, security is een onderwerp dat bij elke organisatie, groot of klein, op de agenda moet staan. Niet alleen als het gaat om de algemene security vraagstukken, maar ook over specifieke en gedetailleerde security-issues. Hoe je een webapplicatie beter kunt beveiligen, lees je in de tweede blogpost in deze serie.