Tweet

0

De tien meest gemaakte beveiligingsfouten (2)

En hoe ze te voorkomen

Het voorbije jaar was zeer woelig op gebied van computerbeveiliging, en alles wijst erop dat 2009 niet anders wordt. U zal dus rekening moeten houden met programmerende pubers die uw website willen bekladden en met georganiseerde bendes die het op uw bedrijfsgegevens hebben gemunt of uw servers willen misbruiken om spam of illegale bestanden te verspreiden.

Beveiliging draait tegenwoordig niet alleen om het stoppen van hackers en inbrekers. Uw gegevens moeten onder alle omstandigheden veilig zijn, met op minstens één andere locatie een recente reservekopie. Tegelijk moet u maatregelen nemen die voorkomen dat uw bedrijfsgegevens en gevoelige informatie over medewerkers en klanten niet zomaar in verkeerde handen kunnen vallen.

Het positieve nieuws is dat alle lagen van het bedrijf stilaan inzien dat IT-beveiliging geen optie maar een bittere noodzaak is. Helaas worden die goede intenties niet altijd even consequent omgezet in concrete acties en harde budgetten. Wij peilden bij enkele Belgische dienstverleners naar de meest voorkomende fouten en zetten ze hierbij op een rijtje. Welkom in deel 2 van ons overzicht.

6) De menselijke factor is een zwakke schakel
Security-experts goochelen graag met termen zoals firewalls, schijfencryptie, VPN en hardware tokens. Stuk voor stuk prima technologie als beveiliging tegen reële dreigingen, maar het is de doorsnee gebruiker echt niet duidelijk wat het nut is van al die dingen. Dus zolang uw medewerkers niet begrijpen dat die virusscanner heel wat meer doet dan de laptop vertragen gaan ze ‘m misschien proberen af te zetten, en zonder duidelijke communicatie over iPod’s, USB’s en digitale camera’s kan u moeilijk verbaasd zijn als iemand op die manier per ongeluk een virus binnensmokkelt.

Het alert maken van uw medewerkers vereist een specifieke aanpak. Bijscholing, procedures uitwerken, communicatie en geregelde (externe) audits leveren soms sneller resultaat op dan de pure implementatie van technische oplossingen. Dat proces begint trouwens met het opstellen van een duidelijke beveiligingspolicy waar het hele bedrijf (uzelf dus ook) zich aan moet houden. Geen saaie handleiding die niemand leest, maar een duidelijk bruikbaar naslagwerk met de do’s en don't’s voor de systemen van uw bedrijf.

Zet daarin geen waarschuwing zoals ‘geef nooit je wachtwoord aan anderen’, indien uw helpdesk geregeld om wachtwoorden vraagt om problemen te verhelpen. Vermeldt wel aan wie ze hun wachtwoord mogen geven, onder welke voorwaarden, en na hoeveel tijd ze het moeten wijzigen.

Over sommige vragen moet u misschien zelf even nadenken. Welke gegevens mogen medewerkers op hun laptop of USB-stick zetten en meenemen buiten het bedrijf? Welke moeten ze encrypteren alvorens ze te versturen via mail of post? Wie beheert de encryptiewachtwoorden, en waar worden ze opgeslagen? U kan alvast beginnen met de e-mails van de collega’s rond je wat alerter te bekijken. Je herkent snel degenen die elke grap of kettingmail zonder nadenken naar de rest van de groep doorsturen, ongeacht de mogelijk gevaarlijke bijlagen.