Kans op dataverlies reduceren – hoe doen bedrijven dat? 2/2

ISPtoday-datalekken-wordleGeen dag gaat voorbij of ergens ter wereld wordt toegegeven dat iets door iemand is gehackt en dat daarbij gegevens van klanten of processen zijn ontvreemd. Heel vaak volgt er dan als verklaring dat het een zeer geavanceerde hack moet zijn geweest want en dan volgt een verhaal dat door kenners wordt ontvangen met hoongelach.

Helaas blijkt net iets te vaak dat onnodige slordigheden hier een rol spelen, dan heeft er iemand toegang terwijl dat functioneel niet nodig was. Nog erger: een ex-medewerker of aannemer had schijnbaar nog toegang. Volgens Amerikaans onderzoek heeft maar liefst 18% van IT professionals na vertrek nog manieren toegang tot systemen te krijgen.

Hoe gaan partijen in Nederland om met deze uitdagingen. ISPtoday maakte een rondje en kreeg daar zo snel zo veel reacties op dat we het artikel in twee delen op hebben opgesplitst. Iedereen kreeg dezelfde vragen voorgelegd. De antwoorden maken duidelijk dat de bedrijven onderling verschillen geven de antwoorden ook, maar dat maakt het alleen maar interessanter. Vandaag de reacties van Fundaments en I3D, gisteren kwamen Bit en Dearbytes aan het woord.

Larik-Jan Verschuren, Fundaments

Hoe gaan jullie hier mee om?
Informatiebeveiliging hebben we hoog in het vaandel en geborgd met processen conform de ISO27001 norm. In de praktijk houdt het in dat we in ons informatiebeveiligingsbeleid procedures hebben vastgelegd die beschrijven wat er moet gebeuren bij bijvoorbeeld het toekennen en afnemen van rechten bij in en uitdiensttreding, maar ook bij het wisselen van functie. Vanuit toegang voor klanten kijken we naar zaken als wachtwoordbeleid (gebruik van sterke wachtwoorden, het verlopen van wachtwoorden), maar kijken we ook naar systemen waar toegang voor nodig is. IP whitelisting is daarbij een recent geimplementeerde maatregel: hierbij zijn productiesystemen geheel dichtgezet en kunnen klanten enkel vanaf geautoriseerde IP adressen toegang krijgen tot een productiesysteem. Een ander belangrijke maatregel is het up to date houden van software; door verschillende bronnen te raadplegen, houden we ons op de hoogte van alle zwakheden in software op zowel operating systems, applicatie, maar ook op b.v. firmware in netwerkonderdelen. Bij kritieke updates is een procedure ingericht om zo snel mogelijk een wijziging te kunnen doen, mocht dit noodzakelijk zijn.

Hebben jullie vaste afspraken met klanten en personeel wie accounts mag aanmaken en schrappen?
Vanuit onze organisatieprocessen is vastgelegd wie er aan Fundaments zijde accounts mag opleveren en wijzigen. Verzoeken vanuit klanten worden altijd gecontroleerd aan de hand van een rollen en rechten matrix die wordt gebruikt bij het opleveren van een klantomgeving. Alle wijzigingen en verzoeken worden vervolgens in behandeling genomen aan de hand van een change management procedure, zodat deze terug te vinden zijn.

Is toegang onderdeel van de maandelijkse/wekelijkse/dagelijkse rapportages?
Alle toegangsverzoeken worden centraal gelogged; abnormaliteiten worden via escalaties door systemen aantoonbaar gemaakt; daarnaast is er een maandelijks terugkerende procedure waarbij door een geautoriseerd persoon de logs worden gecontroleerd door er gewoonweg doorheen te lopen en daar wordt gekeken naar b.v. vreemde inlogpogingen.

Welke tips heb je voor de lezers?
Investeer in de implementatie van informatiebeveiliging. Het wiel uitvinden hoeft zeker niet; omarm een norm waaruit een goede maatregelenset is te destilleren; een implementatie is eenvoudiger te doen met een consultancypartij; de investering is daarmee snel terugverdiend vooral door het feit dat een pad uitgestippeld wordt om een goed informatiebeveiligingsbeleid te implementeren.

Rick Sloot, i3D

Hoe gaan jullie hier mee om?
Om de omgeving van i3D.net te beschermen zijn er verschillende security levels ingebouwd. Hier kan je enkel op inloggen via een two factor authenticatie. De omgeving is alleen toegangkelijk vanaf kantoor. Voor een verbinding van buiten kanoor of vanuit het buitenland is een VPN access noodzakelijk. De toegang wordt, net zoals de security maatregelen voor onze klanten, met strenge regelmaat gecontroleerd. Daarnaast is onze infrastructuur voorzien van een access control list (ACL).

Hebben jullie vaste afspraken met klanten en personeel wie accounts mag aanmaken en schrappen?
Qua toegang tot de omgeving is het alleen aan de directie om accounts toe te kennen aan de juiste security laag. Deze beveiligingslagen zijn zo gebouwd dat ze zowel kwaadwillenden als ongelukken kunnen voorkomen. Hierin is iedereen binnen het bedrijf gelijk. Het draait ten slotte allemaal om veiligheid en continuïteit. Daarnaast bieden wij dergelijke functionaliteiten aan in onze klantomgevingen. Hierin kunnen admin accounts rechten toekennen aan andere gebruikers om zo bepaalde functionaliteiten af te schermen.

Is toegang onderdeel van de maandelijkse/wekelijkse/dagelijkse rapportages?
Wij houden nauwlettend bij hoe onze werknemers omgaan met bepaalde privileges binnen onze omgeving. Als blijkt dat een werknemer geen gebruik maakt van zijn/haar toegang dan wordt het nut ervan besproken en, indien nodig, teruggeschroefd. Als blijkt dat er abnormaal omgegaan word met gegevens of dat er misbruik gemaakt word van de beschikbare informatie; dan zal ook dit gevolgen hebben voor de toegang.

Welke tips heb je voor de lezers?
Behandel iedere werknemer én directeur, ook al werkt hij er al 30 jaar, gelijk als het gaat om veiligheid. Helaas blijken de beste mensen wel eens een (onbewuste of bewuste) fout te maken.