1

Whitepaper IDB4ict

Bescherm actief uw ICT-veiligheid 9 tips voor continuïteit!

2

3

Beveiliging - IDB4ict

Servers werken 24 uur per dag en zeven dagen per week. Het belang om altijd en zonder oponthoud het bedrijfsnetwerk te kunnen gebruiken, neemt door nieuwe technologieën en communicatiesoftware alleen maar toe. De daarin opgeslagen gegevens van klanten, producten, partners en aansturing van processen en machines zijn immers van enorme waarde. Het bedrijfsnetwerk is daarmee de ruggengraat van de bedrijfsvoering.

Zonder goed werkende en veilige ICT-systemen staat een organisatie vandaag de dag vrijwel zeker stil. En is het niet opgewassen tegen bedreigingen zoals dataverlies, storingen, virussen en kwaadaardige aanvallen van buitenaf. Bescherming wordt steeds belangrijker.

Weet u zeker dat u alles rondom de ICT-veiligheid onder controle hebt? Het gemak waarmee er onderlinge verbindingen gelegd worden tussen (bedrijfs)systemen stelt diezelfde informatiesystemen en netwerken steeds vaker bloot aan allerlei mogelijke bedreigingen.

Dit zijn potentiële bedreigingen voor de veiligheid van uw bedrijfsnetwerk: 1. Falende back-up en herstelvoorzieningen2. Virus- en malware-aanvallen3. Illegale software4. Onveilige serverruimte5. E-mail- en surfgedrag6. Tekortschietende servermonitoring7. Haperend wachtwoordbeleid8. Onzorgvuldig digitaal toegangsbeleid9. Beveiliging websites

4

Beveiliging - IDB4ict

Falende back-up en herstelvoorzieningenInformatie verplaatst zich razend-snel via allerlei digitale datas-tromen. Dit is voor de business uiteraard heel gunstig, maar bete-kent direct ook een toegenomen kwetsbaarheid van die data. Data die niet vervangen kan worden, maar wel heel belangrijk is voor de continuïteit van de bedrijfsvoering. Zonder een duidelijk omschreven plan van de back-up en herstel-voorzieningen is het bedrijfs-netwerk als ruggengraat van de bedrijfsvoering in groot gevaar.

Virus- en malware-aanvallenAmerikaans onderzoek door The Radicati Group beschrijft dat de gemiddelde werknemer dagelijks ongeveer 93 mails ontvangt en verzendt. Met deze hoeveelheid informatie die op iemand afkomt, is het begrijpelijk dat iemand niet altijd checkt of hij de afzender kan vertrouwen. Cybercriminelen

maken hier dankbaar gebruik van en versturen berichten dusdanig dat het zelfs lijkt alsof het van een vertrouwd, veilig of officieel adres afkomstig is. Het gaat helemaal fout als er na het openen van de e-mail vervolgens op een link wordt geklikt. Dit opent de ‘voor-deur’ naar het bedrijfsnetwerk voor de cybercrimineel.

Illegale softwareOnderzoeksbureau IDC publi-ceerde, in opdracht van waakhond BSA | The Software Alliance, vorig jaar het rapport ‘Unlicensed Softwareand Cybersecurity Threats’. Uit het onderzoek, uitgevoerd over 81 landen, bleek dat er een directe link is tussen het gebruik van illegale software en het aantal incidenten met malware.

Van illegale software is sprake als binnen een bedrijf het aantal licenties op de software afwijkt van het aantal medewerkers die het op hun server, pc of laptop hebben geïnstalleerd. Dit is niet alleen strafbaar waardoor een organisa-tie hoge boetes, een strafblad en imagoschade riskeert, het zet de poort wagenwijd open voor cyber-criminaliteit.

Onveilige serverruimteOververhitting is de grootste bedreiging van een serverruimte. Dit leidt tot uitval van apparatuur, slijtage en storingen en kost een bedrijf naast tijd ook een hoop geld. Bovendien kan er geen be-roep gedaan worden op de garan-tie als niet goed is omgegaan met klimaatbeheersing of als er sprake is van achterstallig onderhoud.

Het ontbreken van een proce-dure waarin toegang, onderhoud, inspecties en gebruik zijn vast-gelegd, stelt uw bedrijfsvoering bloot aan vervelende risicio’s als brand en ongeoorloofde toegang. Volgens de Arbowet is iedere organisatie verplicht om te zorgen voor een goed werkklimaat en een veilige werkomgeving.

APK-check tipHanteer duidelijke back-up- en herstelprocedures met bijbe-horende evaluaties en met regelmaat restore testen van bedrijfsspecifieke databases, besturingssystemen en overige gegevens.

APK-check tipZorg voor deugdelijke anti-virus, anti-malware en antis-pamsoftware en installeer tijdig alle updates aan front- en end-kant van het bedrijfsnetwerk.

APK-check tipCheck de licenties regelmatig zodat er geen illegale softwarewordt gebruikt.

APK-check tipControleer met regelmaat de airco’s, brandblussers en toegangsdeur van de server-ruimte. Zorg voor brandblus-sers die geschikt zijn voor elektriciteitsbranden.

Uitdagingen

5

Beveiliging - IDB4ict

E-mail- en surfgedragE-mail is één van meest gebruikte manieren om te communiceren. Phishing is dan ook een van de grootste bedreigingen van de ICT-veiligheid. Hackers sturen hierbij een enorme bulk aan e-mailbe-richten naar een bedrijf in de hoop dat er iemand niet oplet en klikt op een link of gevoelige informatie prijs geeft.

Daarnaast maken werknemers in bijna elke organisatie onder werk-tijd voor privédoeleinden gebruik van het internet. Onderzoek van Ernst & Young uit 2011 toonde aan dat dit in sommige leeftijdscatego-rieen zelfs 24% van de werkdag beslaat. Hoe een onderneming hiermee omgaat, bepaalt men uiteraard zelf. Een onschuldig ogend binnengehaald bestand, een klik op een advertentie of het uploaden van een filmpje kan echter voor enorme problemen zorgen.

APK-check tipZorg voor een tool die - binnen de grenzen van de privacywet-geving – het internetverkeer van het personeel monitort en gedownloade bestanden con-troleert op virussen en andere bedreigingen. Stel instructies op voor medewerkers met betrekking tot het wachtwoord-beleid en hoe zij om moeten gaan met binnenkomende e-mails en het bezoeken van websites.

APK-check tipZorg voor maandelijkse analyses van de monitoring-gegevens op de kritieke servers en vertaal dit proactief in maatregelen.

Haperend wachtwoordbeleidWachtwoorden zijn tegenwoordig net zo belangrijk als de sleutels van het bedrijfspand als het gaat om de ICT-veiligheid. Toch nemen veel mensen het aanmaken en regelmatig wijzigen van wacht-woorden niet serieus. Op de lijst met ‘Slechtste wachtwoorden’ van vorig jaar prijken op nummer één en twee ‘123456’ en ‘123456789’.

Cybercriminelen zijn de enigen die profiteren van een haperend

wachtwoordbeleid. Zij misbruiken dit door een computer opdracht te geven de doorzichtige en voor de hand liggende wachtwoorden in een hoog tempo uit te proberen. Een andere tactiek is onderzoek doen naar iemands online bestaan zodat ze beveiligingsvragen kun-nen beantwoorden als er bruut-weg een aanvraag voor een nieuw wachtwoord wordt ingediend. Een haperend wachtwoordbeleid kan hiermee tot dataverlies en gehackte websites leiden.

Tekortschietende servermonitoringDe kans op storingen neemt toe als een organisatie tekort schiet in het bewaken en monitoren van kritieke servers en kritieke server-functies zoals disk- en datacapa-citeit. Ook het achterlopen met de installatie van bedrijfsessentiële firmware en andere updates levert risico’s op voor de continuïteit van de bedrijfsvoering.

Tips voor een sterk wachtwoordbeleid

1. Wachtwoorden zijn persoon-lijk, deel ze niet met elkaar!

2. Een sterk wachtwoord bestaat uit minstens 6 karak-ters in een mix van hoofdlet-ters, kleine letters, cijfers en leestekens.

3. Gebruik voor ieder account een uniek wachtwoord. Dit beperkt de schade als een van de wachtwoorden wordt gehackt.

4. Wijzig wachtwoorden mini-maal 2x per jaar.

5. Een uitstekende manier voor het samenstellen van een wachtwoord is de eerste letters van een lange zin te combine-ren met cijfers en leestekens.

6. Probeer simpele woorden uit het woordenboek te vermijden, hackers gebruiken vaak algo-ritmes die checken op deze woorden.

6

Onzorgvuldig toegangsbeleidMisbruik van bedrijfsgegevens ligt op de loer als procedures en afspraken rondom de toegangs-beveiliging niet nauwgezet zijn vastgesteld en ingericht. Als me-dewerkers zomaar bij mappen en bestanden op het bedrijfsnetwerk kunnen waar zij gezien hun functie en verantwoordelijkheden niet bij zouden mogen, is dat het begin van het einde van ongewenst lezen, wijzigen en verwijderen.

Bovendien betekent het kun-nen kopiëren van data vanaf het bedrijfsnetwerk naar bijvoorbeeld smartphone, iPod’s of USB-sticks een directe risicoverhoging op datalekken. Daarnaast moet een smartphone van de zaak gezien worden als een computer met gevoelige bedrijfsinformatie.

Wanneer er geen strikt protocol wordt gevoerd als medewerkers uit dienst gaan, loopt een organi-satie de kans dat ex-werknemers nog toegang hebben tot het bedrijfsnetwerk.

APK-check tipZet een beveiligingstool in die de gebruikerstoegang contro-leert en gebruikersactiviteiten logt. Stel richtlijnen op van welke groepen en gebruikers gekoppeld zijn aan welke map én welke beveiligingsgraad van toepassing moet zijn voor de verschillende groepen.

APK-check tipSchaf een zogeheten SSL- certificaat aan en installeer deze op de webserver. Zet ook uw website om naar HTTPS in plaats van HTTP. Heeft u hier-bij hulp nodig? Neem gerust contact met ons op!

Beveiliging websiteOp allerlei manieren is online privacy de afgelopen tijd in het nieuws geweest. Denk maar aan de informatie van klokkenluider Edward Snowden over hoe inlich-tingendiensten te werk gaan. Het versleutelen van internetverkeer op websites is dan ook om meer-dere redenen een vereiste.HTTPS zorgt er via TLS/SSL-technologie - te herkennen aan het groene slotje in de browser – voor dat de communicatie tussen bezoekers en website volledig is versleuteld zodat er niemand mee kan kijken. Een website voorzien van HTTPS is daarmee voor een bezoeker een vertrouwde omge-ving om gegevens in te vullen of zaken op te vragen. Bijkomend voordeel is dat de bezoeker u ziet als een organisatie die veiligheid en privacy hoog in het vaandel heeft staan.

Beveiliging - IDB4ict

7

Halfjaarlijkse APK-checkEen van de belangrijkste acties is zorgen voor inzicht en over-zicht. Dit betekent dat u - via een regelmatige evaluatie en rapportage - van alle risico’s die een onderneming op ICT-gebied loopt op de hoogte bent. Hiervoor hanteert IDB4ict sinds 2007 de halfjaarlijkse APK-check.

Met een uitvoerige checklist van meer dan 70 punten onderwer-pen de ervaren system engineers onder andere het serverpark, werkstations, laptops, opslag-media, softwarelicenties en ook de beveiligings- en back-upprocedures aan een gedegen onderzoek. De rapportage geeft helder inzicht in de staat van

Praktijkvoorbeeld APK-check

Groei & Bloei uit Zoetermeer, een vereniging voor particuliere liefhebbers van sierteelt en tuinieren, heeft haar serverpark laten vernieuwen. Volgens hoofd Administratie Roland Petit dit de la Roche is de vernieuwing een direct gevolg van de werkwijze die een aantal jaar geleden met IDB4ict is afgesproken. “We zijn voor al onze activiteiten sterk afhankelijk van ons bedrijfsnetwerk. Via de halfjaarlijkse APK-check en de maandelijkse rapportages uit het remote beheer zijn we altijd goed geïnformeerd over onder meer de staat van de servers. Uit de laatste check kwam het advies om na vijf jaar de verouderde hardware te vervangen. De aanschaf van een Lenovo Flex System en IBM Storwize levert ons meer power, CPU’s en kostenbesparing op”, aldus Petit dit de la Roche. De vereniging beschikt nu over een werkomge-ving van waaruit zij haar 300.000 leden de komende jaren weer op meerdere vlakken kan bedienen. Petit dit de la Roche: “De halfjaarlijkse APK-check is voor ons een goed ijkpunt om de staat van ons bedrijfsnetwerk te meten. Het biedt ons de mogelijkheid om op tijd in te grijpen als dat nodig is. En we komen niet voor financiële verrassingen te staan.”

de ICT-systemen en de risico’s in de beveiliging. Ook bevat het advies over werkzaamheden die – op korte en lange termijn – uitgevoerd moeten worden om de continuïteit van het bedrijfsnet-werk te waarborgen.

Periodiek onderhoudWanneer u de APK-check laat uitvoeren, ontvangt u per onder-zocht punt een risicoanalyse, advies over werkzaamheden en de bijbehorende kosten. Als u akkoord gaat, plant IDB4ict deze werkzaamheden in en voert ze uit. Door op tijd in te grijpen, hebt u langer profijt van de huidige infra-structuur. Ook biedt de APK-check u een goed beeld van eventuele toekomstige vervanging zodat u deze kosten mee kunt nemen in de begroting.

Voor een vlekkeloze werking van uw netwerk en applicaties is naast de halfjaarlijkse APK-check perio-diek onderhoud noodzakelijk.

IDB4ict voert deze onderhoudstaak volledig voor u uit of ondersteunt uw systeembeheerder.

Voordelen APK-check & onderhoud:• Maximaal profijt van de

investering in ICT• Tijdig ingrijpen voorkomt

onvoorziene uitgaven• Inzicht in toekomstige

investeringen• Up to date zijn, wapent

zo goed mogelijk tegen allerlei bedreigingen

• Rapportage voor accountant van de restore test back-up beschikbaar

• Continuïteit van de automatisering

Meer informatieWilt u meer weten over de APK-check? Wij maken graag een afspraak voor een vrijblijvend gesprek.

U kunt contact opnemen met Frank Luteijn van IDB4ict via telefoon-nummer 0348 – 46 55 00 of via e-mailadres f.luteijn@idbgroep.nl

Beveiliging - IDB4ict

8

IDB GroepVijzelmolenlaan 2, 3447 GX WoerdenT (0348) 46 55 00

info@idbgroep.nlwww.idbgroep.nlwww.idb4ict.nl