Nieuwsbrief
dinsdag 29 september 2020

4 essentiële voorwaarden voor een goede databeveiliging

Human capital en data vormen samen het kostbaarste bezit van elke moderne organisatie. Daarom wordt er heel zorgvuldig omgegaan met medewerkers en krijgen zij volop ruimte om zich te ontwikkelen. Maar op data zijn we nog niet allemaal even zuinig. Dat komt waarschijnlijk ook doordat dit voor de meeste organisaties nog een relatief nieuwe succesfactor is.

4 essentiële voorwaarden voor een goede databeveiliging

Jij als IT-manager weet natuurlijk als geen ander hoe belangrijk datasecurity is. En zoals iedere zichzelf respecterende IT-manager heb je maatregelen getroffen om datalekken tot een minimum te beperken. Dat is een enorme klus, zeker als je zelf je netwerk beheert. Je ziet ook snel iets over het hoofd. In deze blog zet ik 4 voorwaarden op een rij die essentieel zijn om de data van jouw organisatie optimaal te beveiligen.

1. Weten of er lekken zijn

Als er sprake is van een datalek, wil je dat zo snel mogelijk weten. Zorg daarom voor goede antivirussoftware op elke client en monitor je netwerk nauwkeurig. Hoe eerder je bij een datalek gealarmeerd wordt, hoe groter de kans dat je de schade kunt beperken. Een ander zeer nuttig middel in dit verband is SIEM (Security Information and Event Management). Een SIEM-oplossing verzamelt alle events uit de diverse systemen en analyseert op basis daarvan of er in je netwerkomgeving vreemde dingen gebeuren waarop je actie moet ondernemen. Bij onraad krijg je automatisch een melding.

2. Weten wie er inlogt

De tijd van inloggen met alleen een gebruikersnaam en wachtwoord is voorbij. 'Gewone' wachtwoorden zijn zo kwetsbaar dat onbevoegden makkelijk toegang kunnen krijgen tot je omgeving en dus je data. Als je zeker wilt weten dat degene die inlogt ook daadwerkelijk degene die daartoe bevoegd is, kies je voor MFA (Multi Factor Authentication): een combinatie van middelen om de authenticiteit van de gebruiker te verifiëren (denk aan telefoon, token en/of vingerafdruk). Daarnaast kun je werken met een systeem dat checkt hoe aannemelijk een bepaalde inlog is. Stel dat iemand in Nederland inlogt en een kwartier later ook in China, dan krijg je een waarschuwing. Een voorbeeld van zo'n systeem is Microsoft Azure AD (Active Directory), dat continu data analyseert op zoek naar afwijkend inloggedrag.

3. Weten wie bij welke data mag

Niet alle data is relevant voor alle medewerkers en voor bepaalde data kun je de toegang beter zoveel mogelijk beperken. Zorg dus dat je een gedegen autorisatiebeleid hebt en dat dit goed wordt nageleefd. Betrek de rest van de organisatie daar nadrukkelijk bij, want dit aspect gaat verder dan pure IT. Wijs in de business verantwoordelijken aan om de toegangsrechten uit te delen en weer in te trekken. Kijk ook goed naar de processen: wie mag aanvragen of er een nieuw stukje data mag zijn, wie mag bepalen of een stukje data ook extern mag worden benaderd? Zulke processen zijn heel verschillend per organisatie. Previder biedt workshops ter ondersteuning.

4. Weten waar een lek zich bevindt

Outdated software, misconfiguraties... datalekken kunnen op allerlei manieren ontstaan. Dat wil je regelmatig getoetst hebben, en daarvoor kun je verschillende middelen inzetten. Zo kun je een security scan organiseren, waarbij lekken en open deuren geautomatiseerd worden opgespoord. Je kunt ook kiezen voor een zogeheten pentest. Dat houdt in dat IT-specialisten jouw omgeving komen bekijken om met menselijke intelligentie op zoek te gaan naar lekken.

Train je eindgebruikers!

Een laatste punt, van een iets andere orde dan de 4 voorwaarden maar wel uiterst belangrijk: veel datalekken ontstaan op entrypoints, als gevolg van menselijk handelen. Medewerkers openen 'foute' bestanden, klikken op malafide links of trappen in phishingpraktijken. Previder kan je op dit gebied helpen met gerichte awarenesstrainingen voor je eindgebruikers. Daarbij kijken we ook naar zaken als socialmediagebruik en het veilig omgaan met USB-sticks.

 

Uw inschrijving is geregistreerd. Hartelijk dank voor uw aanmelding.