Beveiligingsblunders: The problem exists between keyboard and chair

1. Wachtwoorden

Een goed wachtwoord aanmaken is belangrijk, maar deze zijn niet altijd gemakkelijk te onthouden. Bovendien wil je vaak ergens een document hebben liggen waarop alle wachtwoorden staan, mocht je er ooit eens één vergeten. Let echter wel op waar jij en je werknemers deze opschrijven of opslaan. Het gebeurt bijvoorbeeld wel eens dat iemand zijn wachtwoord op een post-it schrijft en deze op zijn beeldscherm hangt. Handig, dat zeker, maar erg veilig is het niet. En alle wachtwoorden in één document op een computer of nas zetten blijkt ook niet altijd even veilig. Dit deed Sony bijvoorbeeld en het was voor hackers in 2014 niet moeilijk om alle passwords te achterhalen. Ze stonden immers in een bestand genaamd 'wachtwoorden'.

2. Je computer aan laten staan

Je gaat even buiten een rondje lopen, naar een afspraak of hebt een vergadering en laat je computer ondertussen aan staan. Voor kwaadwillenden is dit de gemakkelijkste manier om bij je vertrouwelijke data te komen, ze hoeven slechts naar je pc te lopen. Hoewel de oplossing voor de hand ligt – je computer vergrendelen of uitzetten - doet lang niet iedereen dit. Nummer één om mee te nemen in je beveiligingsbeleid is dus het altijd uitzetten of vergrendelen van je computer.

3. Bijlagen openen

We kunnen het niet vaak genoeg zeggen, maar open nóóit bijlagen in e-mails van afzenders die je niet vertrouwt. Elk jaar komt het in elk rapport weer terug, keer op keer wordt het advies gegeven bijlagen toch vooral niet zomaar te openen, maar nog steeds komt er ongelofelijk veel malware binnen via dit soort bijlagen. Zorg dat al je werknemers hiervan op de hoogte zijn en maak de kans dat het toch gebeurt zo klein mogelijk. Geef bijvoorbeeld regelmatig voorlichting over de grootste beveiligingsrisico's.

4. Certificaten die verlopen

Je kunt opeens niet meer bij je e-mail vanaf je smartphone of je virusscanner werkt niet meer. Grote kans dat je certificaat verlopen is. Hoewel dit lang niet altijd een groot probleem voor je beveiliging hoeft te zijn, is het wel verstandig om te zorgen dat je precies weet wanneer een certificaat verloopt. Zet een herinnering in je agenda, ook al verloopt hij pas over vijf jaar, en zorg ervoor dat alles altijd blijft werken.

5. Geen voorzorgsmaatregelen voor een data breach

Het is een nachtmerrie voor iedere organisatie: kwaadwillenden die ondanks een goede beveiliging toch je systeem in komen. Helaas zijn hier niet altijd goede voorzorgsmaatregelen voor genomen. Je denkt immers snel dat als je beveiliging goed genoeg is, ze toch niet binnenkomen. Zorg dat je it'ers een draaiboek hebben voor als dit toch gebeurt. Daarnaast kun je het snel oppikken als iemand ongewenst je systeem in komt met software als Tripwire. Zo weet je niet alleen wanneer er iemand bij je data komt, maar ook dat het snel weer opgelost is.

6. Toegang ceo ontzegd

Geloof het of niet, het gebeurt wel eens dat it'ers in een overmoedige bui je toegang tot bepaalde websites of bestanden ontzeggen die je wel nodig hebt. Als organisatie is het belangrijk dat je toegang hebt tot de plekken en bestanden die nodig zijn om je werk goed uit te kunnen voeren, zowel op het internet als binnen je eigen bedrijf. Hierbij is het handig om met je it-afdeling te overleggen wie waar toegang toe mag hebben.

7. Veroudering

Je doet één keer flinke moeite om je gehele beveiliging op orde te krijgen en dan ben je klaar. Deze gedachtegang komt vaker voor dan je denkt, maar klopt zeker niet. Technologische ontwikkelingen gaan met sprongen vooruit en hackers kunnen steeds meer. Dit betekent dat kwaadwillenden continu nieuwe manieren ontdekken en ontwikkelen om jouw systeem binnen te komen. Het beveiligen van je bedrijf is een doorlopend proces dat regelmatig bijgewerkt moet worden, doe dit dus ook.

8. Apparaten in het zicht

Niet alleen hackers vormen een bedreiging voor jouw beveiliging, ook ouderwetse dieven doen dit. Hoe vaak wordt er wel geen laptop, smartphone of tablet gestolen? Ook op kantoor kan dit gebeuren en je hoeft het ze niet gemakkelijker te maken dan het is. Leg draagbare apparaten nooit in het zicht, maar stop ze in een la of kast (het liefst met een slot er op). En mocht zo'n apparaat gestolen worden, zorg dan dat je deze op afstand kunt vergrendelen of terug kunt zetten naar fabrieksinstellingen. Als het je dan overkomt, kan de dief alsnog niet bij je data.

9. Beveiligingsbeleid niet uitvoeren

Je hebt een prachtig beveiligingsbeleid opgesteld en overal rekening mee gehouden. Dan moet het nog wel uitgevoerd worden en ook daar gaan dingen mis. In principe spreekt dit voor zich, maar helaas houdt niet iedereen zich eraan. Neem de tijd om je beleid uit te voeren en te controleren, of laat een ander dit doen.

10. De dreiging kan ook van binnen komen

Het gebeurt echt: een werknemer is niet tevreden en besluit wraak te nemen. Het grootste gevaar voor alle bedrijven zijn de werknemers, zij hebben immers toegang tot al die vertrouwelijke informatie en het stelen ervan is niet ingewikkeld. Laat niet al je werknemers bij alle bestanden, maar geef ze alleen toegang tot de voor hen relevante data en software. Iemand van bijvoorbeeld de verkoopafdeling heeft immers niets te zoeken in de programmeercode van een nieuwe applicatie. Maar de beste manier om een aanval van binnenin te voorkomen is natuurlijk het gelukkig houden van je werknemers en te zorgen dat ze geen reden hebben om wraak te nemen.