We hebben allemaal de mond vol over de beveiliging van de it-infrastructuur, van de geautomatiseerde bedrijfsprocessen en van de elektronisch opgeslagen data van een bedrijf. Maar die beveiliging is natuurlijk zo sterk als de zwakste schakel.
Hoe weet je of je niet per ongeluk een ‘achterdeurtje’ open laat staan? Beveiligingsexpert Matt Newman stelde een stappenplan op, aan de hand waarvan bedrijven afdoende te beveiligen zijn.
1. ‘Patching’-beleid
Voor ieder bedrijf dat in contact staat met het internet, is het opzetten van een goed beleid met betrekking tot patches van levensbelang. Iedere week weer worden er nieuwe kwetsbaarheden ontdekt in veel gebruikte serversoftware. De meeste aanbieders krijgen hier regelmatig mee te maken. It-managers zouden een beleid moeten voeren waarmee ze onmiddellijk op de hoogte worden gesteld van een eventueel gat en zouden een strategie klaar moeten hebben om de vereiste upgrade binnen 48 uur uit te voeren. Managers zouden zich bewust moeten zijn welke software toegankelijk is voor de buitenwereld en moeten weten waar ze de vereiste patches kunnen vinden.
2. Wachtwoordbeleid
Veel bedrijven hanteren een slecht wachtwoordbeleid, hoewel wachtwoorden vaak gebruikt worden bij de interfaces tussen computers en mensen. Veel voorkomende problemen zijn:
a. Gebruikers hebben doorzichtige wachtwoorden of helemaal geen wachtwoorden;
b. Gebruikers verzuimen hun wachtwoord te beschermen;
c. Het besturingssysteem of aanvullende software creëren administratieve accounts met doorzichtige wachtwoorden of helemaal geen wachtwoorden;
d. Wachtwoorden die algoritmen door elkaar gooien (‘hashing’) zijn bekend en vaak worden de ‘hashing’-codes opgeslagen op een plaats waar iedereen ze kan inzien.
3. Gebruikersadministratie
Een efficiënte gebruikersadministratie beschermt een bedrijf op twee niveaus:
a. Een beleid waarin uitgegaan wordt van verschillende gebruikersniveaus zorgt ervoor dat gebruikers alleen toegang hebben tot die informatie die relevant is voor hun functie. Bedrijven hanteren nog steeds veelal het ‘one size fits all’-beleid, met uitzondering van de it-afdeling, die bijzondere privileges geniet.
b. Zodra een werknemer een bedrijf verlaat, is het van belang snel en op een efficiënte manier zijn privileges op te heffen, vooral wanneer het gaat om ontslag of een breuk tussen de werknemer en het bedrijf. Het beleid voor het verwijderen van gebruikers zou een onderdeel moeten zijn van de standaardstappen die de p&o-afdeling neemt om de veiligheid van de bedrijfsgegevens te waarborgen.
4. Standaardinstellingen
Het merendeel van de software, waaronder besturingssystemen, heeft standaardinstellingen. Dit biedt mogelijkheden voor indringers. Sommige software is voorzien van een optie om componenten al tijdens de installatie aan te passen, bij andere software kunnen pas na de installatie aanpassingen worden gedaan. Wanneer de installatie van bepaalde diensten of componenten niet verplicht is, kan het zijn dat een beheerder niet op de hoogte is van bepaalde kwetsbaarheden in het systeem. Diensten die vereist zijn, worden vaak niet nauwkeurig door it-managers onderzocht en kunnen in het beveiligingsbeleid over het hoofd worden gezien. Bovendien wordt bij de meeste software slechts een minimum aan beveiligingsmaatregelen geïnstalleerd, om ervoor te zorgen dat de installatie zo eenvoudig mogelijk verloopt. Zodra de dienst echter goed draait, zouden systeembeheerders ervoor moeten zorgen dat deze volgens de vereiste standaarden wordt beveiligd.
5. Firewall-beleid
Een beknopt firewall-beleid is essentieel voor de beveiliging van een bedrijf. Een enkel punt van coördinatie is noodzakelijk voor een effectieve implementatie van een strategie. Veel bedrijven vertrouwen op een modelbeleid of op meerdere beheerders die poorten ‘op verzoek’ openen. Voor een effectief beleid zouden de aanwezige diensten in het netwerk echter grondig moeten worden onderzocht. Voor een succesvolle implementatie van de firewall-strategie zou moeten worden gekeken naar een overzicht van de risico’s van verschillende diensten, afgezet tegen de opbrengsten. Wanneer er veranderingen worden aangebracht in het beleid, zou er altijd een risico-analyse moeten worden uitgevoerd en zou de implementatie van de verandering goed moeten worden gecoördineerd.
6. Leverancierkeuze
Bij de keuze voor een bepaalde leverancier wordt vaak voorbijgegaan aan de geschiedenis op het gebied van (ondersteuning van) beveiliging. Er zijn verschillende groepen die een compleet overzicht kunnen geven van alle beveiligingsincidenten bij een bepaalde leverancier en wanneer een bedrijf bij een nieuwe leverancier gaat afnemen, zou het hier rekening mee moeten houden. Veel applicaties verschijnen regelmatig in overzichten van nieuwe kwetsbaarheden en dit zou de koper ertoe moeten bewegen ook alternatieven te bekijken.
7. Updaten van virusscanner
Een virusscanner is zo goed als de definities die hij bevat. Deze definities moeten regelmatig worden geüpdatet. Ook als er gewaarschuwd wordt voor een nieuw virus of worm, moeten de definities worden geüpdatet. Het is zeer belangrijk dat er altijd één werknemer verantwoordelijk is voor het updaten van de virusscanner. Ook moet er een plan zijn waarin de stappen zijn opgenomen die moeten worden gezet na een virusbesmetting, of in een periode van verhoogde dreiging.
8. Softwarebeleid
Een helder software-installatiebeleid is bepalend voor de beveiliging van een organisatie. Computers mogen alleen toegankelijk zijn voor de beheerders en applicaties moeten worden getest voordat ze worden geïnstalleerd. Zo’n streng applicatiecontrolebeleid voorkomt dat er toevallig virussen of ‘Trojan horses’ worden geïnstalleerd. Daarnaast garandeert het de stabiliteit van het systeem en maakt het dat problemen gemakkelijker kunnen worden opgelost.
9. Fysieke beveiliging
Opvallend genoeg blijken veel bedrijven, na veel geld te hebben gestoken in netwerkbeveiliging, hun server- en netwerkapparatuur niet afdoende fysiek te beveiligen. Doordat servers op bureaus, in niet afgesloten kasten en in vrij toegankelijke serverruimtes worden gezet, wordt iedere geïnstalleerde beveiligingsmaatregel tenietgedaan. De minimum vereisten zijn afgesloten kasten waarvan slechts een beperkt aantal werknemers de sleutel hebben, en een ruimte speciaal voor de servers met beperkte toegang. Op apparatuur die belangrijke informatie bevat, zouden minimaal elektronische sloten moeten zitten, hoewel het beter is gebruik te maken van biometrische beveiliging.
10. Voortdurende evaluatie
Het beveiligingsbeleid van een bedrijf is geen statisch document – het moet voortdurend worden aangepast om in te spelen op nieuwe ontwikkelingen en om te voldoen aan nieuwe eisen binnen het bedrijf. De huidige strategie moet voortdurend worden geëvalueerd en aangepast. Er zou regelmatig onderzoek moeten worden gedaan naar dreigingen en het zou goed zijn de resultaten hiervan te verwerken in het beveiligingsbeleid.< BR>
Matt Newman, Security solutions GE Access