|
| |
Preventie
De code voor informatiebeveiliging, de
NEN-ISO/IEC 17799 norm, is het meest complete pakket van maatregelen die
orde in chaos van onze dagelijkse digitale informatievoorziening moet treffen.
Voor veel middelgrote en kleine ondernemingen is het echter te grootschalig,
tijdrovend of te complex om e.e.a. in de organisatie te implementeren. Om toch
een kleine handreiking te geven aan deze groep van ondernemers heeft Unit 10 een
aantal tips die het onrechtmatig verkrijgen informatie kan minimaliseren of op
zijn minst makkelijker traceerbaar maakt. Het blijft altijd moeilijk om hier een
eenduidig advies af te geven het blijft een afweging tussen gebruiksgemak en
optimale beveiliging.
Toegang tot het netwerk of
computer
Wij gaan er natuurlijk van uit dat alle medewerkers te goede trouw zijn/haar
werkzaamheden uitvoert in een bedrijf. Toch blijkt dit helaas niet altijd het
geval. Niets is zo vervelend om ergens van verdacht te worden gemaakt terwijl de
medewerker volstrekt niet schuldig is. De basis voor een correcte afhandeling
van transacties in een IT-omgeving door individuen bestaat uit het creëren van
één unieke gebruikersnaam voorzien van een wachtwoord dat alleen bij die
gebruiker bekend is. Het lijkt voor de hand te liggen, maar toch wordt hier vaak
de hand mee gelicht. Vakantiekrachten, oproepkrachten en andere tijdelijke
medewerkers liften vaak mee op een bestaande gebruikersaccounts. Het nadeel mag
duidelijk zijn, als een tijdelijke medewerker verkeerde bedoelingen heeft kan de
eigenaar van de gebruikersaccounts voor de gevolgen opdraaien. Het lijkt
onschuldig, maar het wordt toch erg lastig als er met dit gebruikersaccount
strafrechterlijke overtredingen of misdrijven mee worden gepleegd.
Wachtwoorden
Houdt een wachtwoord altijd voor uzelf. Het klinkt logisch, maar de praktijk is
vaak anders of je bent het je niet bewust. Een collega die even met u meekijkt
kan middels z.g.n. “shouldersurfing” de toetsaanslagen meekijken of een
bijdehante collega heeft een keylogger geplaatst, een programma of apparaatje
die je toetsaanslagen bijhoudt. Behalve deze moedwillege aanvallen op je
wachtwoord kan het afgeven van je wachtwoord als noodzakelijk worden gesteld
vanwege functionaliteit om een bepaalde procedure toch uit te voeren,
bijvoorbeeld bij ziekte of afwezigheid van een andere collega. Dit is echt
onacceptabel en onwenselijk. De procedures in een bedrijf moeten er op gericht
zijn dat elke geautoriseerde gebruiker over voldoende rechten bezit om zijn of
haar werkzaamheden naar behoren te kunnen uitvoeren. "Dan gaat die betaling er
vandaag maar niet uit" moet dan de conclusie zijn. Mocht het toch nodig zijn uw
wachtwoord af te staan, stel dan samen het tijdstip vast van afgifte, leg de
afgifte vast in een korte verklaring en onderteken deze, wijzig na de benodigde
actie als eigenaar van het account direct uw wachtwoord.
Gebruik Wachtwoorden
Bedenk vooraf:
een wachtwoord kan altijd
gekraakt worden!
Gelegenheid, tijd en geld zijn
kritische succesfactoren voor een hacker. Het aantal wachtwoorden neemt alleen
maar toe, daarom is een goed wachtwoordbeleid een must. Er bestaan veel websites
die hints en tips geven. Unit 10 heeft echter een eigen visie hierop. Vat de
gevoeligheid samen in een klein aantal categorieën, bijvoorbeeld laag, middel en
hoog. Bedenk 3 wachtwoorden en hang deze aan een categorie waarbij het
wachtwoord van categorie "hoog" het moeilijkst te kraken is. Een moeilijk te
kraken wachtwoord bestaat momenteel uit minimaal 15 karakters en bevat letters,
cijfers en leestekens waarbij de letters in hoofd- en kleine letters voorkomen.
Het lijkt moeilijk, maar bedenk een onzinnige zin en neem van elk woord de
eerste letter en voeg tussendoor enkele cijfers toe. Sommige programma's staan
alleen cijfercombinaties toe, zoals een VPN verbinding, gebruik in dit geval een
combinatie of variatie van de pincode van uw bankpassen, deze zult u namelijk
ook nooit afgeven aan iemand en vergeet u ook niet.
Logging
Windows servers kunnen veel zaken voor u loggen, wanneer bestanden gemaakt zijn,
wanneer bestanden gewijzigd zijn en wanneer bestanden verwijderd zijn. Standaard
staat dit niet aan op een schijf of een (gedeelde) map. In voorkomend geval van
een incident heeft u op bestandsniveau een eerste aanwijzing.
Firewall
Bij IT-gerelateerde onderzoeken blijkt dat 70% van het onrechtmatig gebruik of
toegang tot data door eigen medewerkers wordt gepleegd. Terwijl elk bedrijf
tegenwoordig een firewall bezit waarmee de boze buitenwereld wordt afgeschermd
mag een interne gebruiker bij het merendeel van de bedrijven wel alles naar
buiten doen. Het lijkt een gezonde gedachte, immers elke medewerker wordt een
zekere mate van vertrouwen gegeven. Toch zit hier de krux, de medewerkers kunnen
immers van alles initiëren naar die boze buiten wereld en daarmee onwetend of
willens en wetens het gevaar naar binnen halen.
Tip: zorg er voor dat uw medewerkers alleen over poorten naar buiten kunnen die
gerelateerd zijn aan de benodigde werkzaamheden, uw systeembeheerder of
leverancier kan u hier meer over vertellen en de niet benodigde uitgaande
poorten op de firewall blokkeren.
|
