Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Security-hygiëneregels voor GGD (én elk ander bedrijf)

Dit artikel delen:

Computable Expert

Bart Bruijnesteijn
Presales Manager - UK & North Europe, CyberArk. Expert van Computable voor het topic Security.

Afstand houden, handen wassen, in je ellenboog hoesten. Standaard-hygiëneregels. Hetzelfde concept is op bedrijfsbeveiliging toe te passen. In het Engels heet het ook ‘security hygiene’. Met de grote security-problemen bij de GGD is het moment hier om de eigen security-hygiëneregels na te lopen. De fundamentele security best practices betreffen mensen, processen en technologie.

  • Houd de mensen in de gaten

Deze regel kan op verschillende manieren worden gelezen. Mensen zijn het grootste goed van een organisatie, dus omzien naar hen is van groot belang. Toch vormen ze ook nog de zwakste schakel in een security-strategie. Het datalek is hiervan natuurlijk het actuele voorbeeld, met duidelijk opzet in het spel. Maar ook onbewust kunnen medewerkers ten prooi vallen aan social engineering- en phishing-technieken waarmee aanvallers zich toegang verschaffen tot waardevolle systemen en gegevens. Historisch gezien was hun slachtoffer degene met de meeste rechten, zoals it-beheerders en manager met geprivilegieerde toegang, maar in de virtuele werkomgevingen van nu is het vaak makkelijker om laag in te stappen bij een ‘onschuldige’ medewerker en stapsgewijs hogerop te komen.

  • Werk continu aan bewustwording

Uit recent onderzoek blijkt dat bijna de helft van de werknemers geen specifieke cybersecurity-training heeft gehad. Er zijn weinig trainingen die opzettelijk data stelen en lekken voorkomen, maar medewerkers trainen in het herkennen van kwaadwillende acties van anderen heeft wel degelijk nut. Veel werknemers, of ze nu privileged access hebben of niet, zijn mogelijk niet voorbereid op een goed opgemaakte e-mail in de naam van hun ceo een malafide pdf-bijlage verhult. Regelmatige sessies om best practices op het gebied van cyberbeveiliging door te nemen, werken door in de praktijk. Zoals niet op links klikken of bijlagen openen voordat de afzender is geverifieerd, sterke, unieke wachtwoorden gebruiken, en processen volgen om privileged accounts te bewaken.

  • Voer testen uit

Ethische phishing-oefeningen, waarbij een reeks realistische e-mails worden verstuurd om te zien hoe medewerkers daarop reageren vinden opgeld. Spear phishing-simulatie gericht op privileged gebruikers geven nog meer feedback, en de resultaten zijn te gebruiken in trainingen om ervoor te zorgen dat deze waardevolle accounts niet echt slachtoffer worden van een gerichte aanval. Overweeg ook penetratietests om verborgen kwetsbaarheden en aanvalsvectoren te helpen identificeren. Of neem deel aan aanval- en verdedigingssimulaties om te ervaren hoe een attack en de daarbij horende defence in zijn werk gaat.

  • Check het zakelijke device-beleid

Onlangs waarschuwde de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voor toenemende aanvallen op apparaten van externe werknemers via phishing, brute force-inlogpogingen en andere methoden om toegang te krijgen tot zakelijke gegevens. Het bureau deed een aantal sterke aanbevelingen voor het versterken van cloudbeveiliging, zoals het implementeren van voorwaardelijke toegang, het afdwingen van sterke privileged access management (pam)-controles en het beperken van het doorsturen van e-mails. Daarbij kwam zelfs het verbieden van het gebruik van persoonlijke apparaten ter sprake. Hoewel sommige organisaties niet klaar of in staat zijn deze harde lijn te trekken, zeker net nu veel medewerkers zowel privé als zakelijke apparatuur verschillend te gebruiken tijdens het thuiswerken, moet elk bedrijf het device-beleid kritisch bekijken. Denk aan het invoeren van gebruiksregels en richtlijnen voor de beveiliging van het thuisnetwerk qua router-instellingen en het gebruik van sterke (wifi-)wachtwoorden.

  • Stel vast wat normale netwerkactiviteit is

Analyses van basisgedrag zijn in te zetten om modellen en risiconiveaus te bepalen. Dit versnelt de detectie van abnormale gebeurtenissen, zoals een gebruiker met extra rechten die inlogt op een ongebruikelijk tijdstip of vanaf een ongebruikelijke locatie, of een export van grote hoeveelheden gegevens. Hiervoor is het dus ook nodig om het least privilege-principe toe te passen, te bepalen hoe beheerders en andere gebruikers met privileges mogen manoeuvreren door het netwerk en deze accounts grondig te beschermen.

  • Vergrendel cruciale endpoints

Door lokale beheerdersrechten op servers, vm's en andere kritieke infrastructuur te verwijderen, en identiteitsbeveiliging te implementeren, is te voorkomen dat aanvallers verticaal en lateraal door het netwerk bewegen om beheerderstoegang te krijgen. Dit dwingt aanvallers om methoden te gebruiken die hun aanwezigheid blootleggen.

  • Schakel secundaire verificatiemethoden in

Het invoeren van multi-factorauthenticatie werpt een drempel op voor aanvallers doordat ze meer gebruikersspecifieke kenmerken moeten achterhalen.

  • Breng de risico’s van derden in kaart

Om het risico van infiltratie in de supply chain te verkleinen, moet de leveranciersbeoordeling, on-boarding en lopende risicobepaling worden geijkt.

Vaker op de dag

"Net als de persoonlijke hygiëne is het ook van belang de securityhygiëne op orde te houden"

Security is geen checkbox-taak, maar een continu proces. Net als de persoonlijke hygiëne, die als het goed is dagelijks (en vaker op de dag) aandacht krijgt, is het ook van belang de securityhygiëne op orde te houden en regelmatig te controleren.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Mijn reactie op voorgaande artikel van auteur ging over het personeelsbeleid, een stukje sturing waar je weinig zeggenschap over hebt bij uitbesteding. Want het waren dan ook niet de organisatorische risico's van IT-beheerders en managers die voor een onwenselijke exploitatie van een exportfunctie zorgden bij de GGD maar het ontbreken van een goede audit op de toegang tot de systemen. En ik vraag me af of laatste gedaan kan worden met de oplossingen van Bart als de focus zoals vanouds ligt op de end-points.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-03-04T11:46:00.000Z Bart Bruijnesteijn
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.