Hackers worden steeds creatiever en actiever in het kraken van bedrijfssoftware, apps en websites om zo digitale gegevens te stelen. De aanvallen komen regelmatig voorbij op het nieuws en in de kranten.
Anderzijds blijkt ook uit de boetes van de privacy autoriteiten dat de beveiliging bij bedrijven nog steeds niet op orde is , zo was deze week te lezen in het FD. British Airways kreeg van de Engelse privacy waakhond een boete van maar liefst EUR 22 mln voor onvoldoende beveiliging van gegevens. In Nederland moest het Amsterdamse ziekenhuis OLVG het ontzien met een boete van EUR 440.000 voor de slechte beveiliging van hun patiëntendossiers.
Hoe kun je er nu voor zorgen dat de systemen en websites goed beveiligd zijn, zodat het risico op diefstal van je bedrijfsgegevens tot een minimaal beperkt blijft? In dit deel noem ik een aantal van de technische en organisatorische maatregelen die je als bedrijf kunt invoeren.
Scheidingen. Eén van de dingen die gedaan kunnen worden, zijn scheidingen aanbrengen tussen de verschillende softwaresystemen door middel van het inbouwen van barrières, poorten en drempels. Werknemers kunnen op deze manier niet in alle systemen, maar krijgen alleen toegang tot die databases en apps, welke nodig zijn voor de goede uitvoering van hun werk. Dit vergt IT-technisch wellicht nogal wat en kan ten koste gaan van het goed en relatief eenvoudig uitvoeren van de taken door de werknemers. Als je hier dus niet op ingericht bent, zijn er ook minder vergaande manieren om toch een goede beveiliging te krijgen.
Beveiligingssoftware. Wellicht is dit een open deur, maar niet geheel onbelangrijk. Het hebben van een goede beveiligingssoftware voor je bedrijfssystemen en alle apparaten, zowel privé als zakelijk, is veel waard. Deze dient uiteraard altijd up-to-date te zijn en aan te staan. Je krijgt een melding als een website niet betrouwbaar is, als er een onbetrouwbare inlogpoging is gedaan of als er een virus is gesignaleerd.
Beveiligde bedrijfswebsite. Grote kans dat je bedrijfswebsite en je webshop niet goed beveiligd is. Een beveiligde website begint met ‘https://’ in de URL. Dit betekent dat er gebruik wordt gemaakt van een SSL- of TLS-certificaat. SSL (Secure Sockets Layer) zorgt ervoor dat verstuurde gegevens worden versleuteld. Op deze manier zijn ze niet meer leesbaar voor buitenstaanders. Een verbeterde, veiligere en meer standaardversie ervan is TLS (Transport Layer Security). Het is belangrijk om voor alle onderdelen van de website zo'n versleutelde verbinding te gebruiken, in ieder geval zeker daar waar persoonsgegevens worden verwerkt.
Autorisaties. Indien er meerdere gebruikers zijn voor je website of je bedrijfssystemen, dienen de gebruikers niet meer rechten te krijgen dan strikt noodzakelijk. Dit geldt voor zowel de rechten voor toegang tot de software systemen, als voor fysieke toegang tot gebouwen en ruimtes waar gegevens liggen opgeslagen. Daarnaast is een 4-ogen principe belangrijk, waarbij er altijd de goedkeuring van een tweede persoon nodig is om b.v. financiële transacties te kunnen doen, zodat er geen fraude (al dan niet opzettelijk) kan plaatsvinden. Dit heb ik vervolgens vaker gezien: vergeet niet om de autorisaties goed bij te houden en eventueel aan te passen bij een functiewijziging. De autorisaties dienen direct stopgezet te worden, wanneer er een medewerker uit dienst gaat. Zo voorkom je dat er wordt ingelogd van buitenaf en er gegevens kunnen worden gestolen.
Dit is slechts een kleine greep uit de beveiligingsmaatregelen die je kunt treffen. In deel 2 noem ik er nog een aantal.
Add comment
Comments