Elke organisatie verwerkt informatie die van waarde is voor anderen. Dreiging in de vorm van ransomware of cryptoware is dagelijkse realiteit voor veel organisaties. Hoe weerbaar is uw organisatie tegen dreigingen van buitenaf? Welke rol spelen uw medewerkers in het beveiligen van de organisatie? Het gebruik van sterke wachtwoorden en het goed inrichten van de autorisatiematrix beperkt een hoop schade. Stelt u zich de gevolgen eens voor wanneer hackers met een willekeurig medewerkersaccount bij al uw bedrijfsgevoelige informatie kunnen? Is uw toegangsbeveiliging goed geregeld?
Wachtwoorden
Goede informatiebeveiliging begint met het inregelen van sterke wachtwoorden. Wachtwoorden vormen een belangrijk aspect van de informatiebeveiliging. Wachtwoorden zorgen ervoor dat onbevoegden minder makkelijk toegang kunnen krijgen tot informatie. Een gemakkelijk wachtwoord evenals onduidelijke of niet gevolgde wachtwoord procedures zijn niet alleen een bedreiging voor de vertrouwelijkheid en integriteit van informatie, maar uiteindelijk ook slecht voor het imago van uw organisatie.
Alle gebruikers van informatiesystemen dienen goede wachtwoorden te kiezen en zijn verantwoordelijk voor de geheimhouding van hun wachtwoorden en login-gegevens. Het gebruik van een sterk wachtwoord verkleint het risico dat het wachtwoord kan worden geraden of gekraakt. De sterkte van een wachtwoord wordt bepaald door de lengte, de complexiteit en de onvoorspelbaarheid. Zwakke wachtwoorden zijn vaak te kort of een te eenvoudig woord of te eenvoudige toetsencombinatie. Wanneer uw medewerkers bewust zijn van het gebruik van sterke wachtwoorden en uw organisatie dit goed faciliteert door o.a. tweefactorauthenticatie (dus een wachtwoord in combinatie met bijvoorbeeld een sms-code) of het gebruik van een eenmalige wachtwoord generator is informatie een stuk veiliger.
Er zijn diverse manieren waarop hackers proberen wachtwoorden van uw medewerkers te stelen. Denk hierbij aan phishing, social engineering, dumpster diving, shoulder surfing (meekijken over de schouder) of het gebruik van keyboard-loggers. Er zijn echter ook maatregelen nodig om de beveiliging, die verkregen kan worden door het gebruik van wachtwoorden, in stand te houden: encryptie en daaruit voortkomend sleutelbeheer.
Encryptie
Versleuteling (encryptie) is een manier om gegevens te beveiligen door ze onleesbaar te maken voor onbevoegden. Dit doe je als je informatie verzend via een onveilig communicatiekanaal zoals een openbare wifiverbinding. Hierdoor kun je je beschermen tegen bijvoorbeeld afluisteren en maak je een man-in-the-middle aanval moeilijker. Er zijn verschillende toepassingsvormen van cryptografie: versleuteling, berichtauthenticatie, hashfuncties en de digitale handtekening. Daarnaast kan encryptie ook worden toegepast op uitwisseling van bestanden, waardoor deze beveiligd met partners kunnen worden uitgewisseld. Vooral wanneer u werkt met gevoelige persoonsgegevens (bijvoorbeeld gezondheidsgegevens) kunnen extra beveiligingsmaatregelen waardevol zijn.
Sleutelbeheer
Wanneer uw organisatie encryptie toepast heeft u ook te maken met sleutelbeheer. Dit is het beheer van de ‘sleutel’ waarmee de encryptie ongedaan kan worden gemaakt en versleutelde berichten kunnen worden gelezen. Sleutelbeheer heeft betrekking op alle processen vanaf het genereren tot en met de vernietiging van sleutels en het geheel aan sleutelmateriaal. Bij versleuteling van gegevens geldt dat de versleutelde gegevens net zo lang toegankelijk zijn als de beschikbaarheid van de bijbehorende sleutel. De wijze waarop u het sleutelbeheer inricht, wordt mede bepaald door de volgende keuzes:
- Wordt sleutelbeheer door u zelf uitgevoerd of wordt deze dienst van een vertrouwde derde partij (Trusted Third Party, TTP) afgenomen? Een dergelijke partij geeft certificaten uit en beheert deze voor verschillende organisaties. In beide gevallen dient u het sleutelbeheer in te richten.
- Is er een ‘key recovery’ dienst ingericht? Dit is een mogelijkheid voor gebruiker om zijn/haar sleutel te herstellen nadat deze verloren is gegaan.
- Is er een ‘key escrow’ dienst ingericht? Hierbij zijn sleutels toegankelijk voor de daartoe bevoegde personen en kunnen desgewenst worden opgevraagd.
Daarnaast stelt de Wet Elektronische Handtekening (WEH) eisen aan de manier waarop sleutels gegenereerd worden. Heeft u behoefte aan meer informatie over dit onderwerp of liever een inhoudelijk gesprek over hoe Audittrail deze maatregelen voor u kan toepassen? Neem dan contact op via e-mail of telefoon.
