FAQ Bewustwording Security

FAQ Bewustwording Security

Onze Security Office Roy Sandbergen bezoekt organisaties om bewustwording te creëren omtrent Security. Als onderdeel van onze security campagne zoemen we daarom meer in op het bewustzijn van je eigen IT omgeving en de veiligheid daarvan.

Tijdens een bezoek van Roy komen er verschillende zaken aan bod om inzicht te geven in de security binnen organisaties:

Hoe gaat jouw organisatie om met wachtwoorden?

Wachtwoorden spelen een belangrijke rol als het gaat om de security binnen organisaties. Het hebben van een sterk wachtwoord is tegenwoordig het minimale wat je moet doen om je account te beschermen. Het is namelijk steeds makkelijker om wachtwoorden te achterhalen. Men gebruikt speciale toolings om een brute force attack uit te voeren en het wachtwoord van een account te achterhalen. Dit wordt gedaan met ondersteuning van databases met woorden die in alle mogelijke combinaties worden geprobeerd op verschillende accounts. Veelal is het dus een kwestie van tijd voordat een wachtwoord achterhaald wordt.

Wordt er een wachtwoord kluis gebruikt?

Het hebben van een goed wachtwoord voor je accounts is net zo belangrijk als het hebben van een wachtwoord je kluis.

Zijn jouw medewerkers bewust van de security dreigingen?

Voor elke organisatie is het belangrijk om rekening te houden met verschillende security dreigingen en medewerkers hier bewust van te maken. Als medewerkers zich hier bewust van zijn, kunnen zij hier rekening mee houden en weten ze wanneer ze aan de bel moeten trekken.

Heb jij een security beleid waarin jouw medewerkers gestuurd kunnen worden?

Is er een bepaald beleid voor medewerkers opgesteld omtrent Security die zij kunnen volgen? Dus staan de regels omtrent security zwart op wit en heeft een medewerker hier altijd toegang tot mocht dit nodig zijn?

Is er een in- en uit-dienst procedure?

Dit is een procedure die wordt uitgevoerd zodra er iemand uit dienst gaat. Wordt de account van deze medewerker bijvoorbeeld gelijk geblokkeerd? En heeft deze medewerker per direct geen toegang meer tot zijn mail, programma’s en eventueel ook het pand en is alle hardware die ze hebben gebruikt ingenomen? Dit zijn allemaal vragen die behoren tot een uit-dienst procedure.

Van welke diensten of soft/hardware is uw business proces afhankelijk?

Er wordt nagegaan welke diensten en/of software en hardware belangrijk zijn in het businessproces. Op deze manier kan een inschatting worden gemaakt welke bedreigingen er mogelijk op de loer liggen.

Wat als een van deze diensten faalt, heeft u dan een disaster recovery plan?

Een Disaster Recovery Plan beschrijft een gestructureerde aanpak die gehanteerd wordt, wanneer een onvoorzien incident zich voordoet dat de bedrijfscontinuïteit in gevaar brengt om de kans op en de impact van zo’n incident zoveel mogelijk te beperken. Een DRP is eigenlijk een soort draaiboek, dat stap voor stap beschrijft wie wat moet doen om correct en adequaat te kunnen reageren op een calamiteit.

Wordt er een Multi Factor Autenticatie gebruikt?

Naast het hebben van een sterk wachtwoord adviseren wij indien mogelijk een MFA (Multi Factor Authenticatie) te activeren voor je accounts, denk hierbij niet alleen aan je zakelijke accounts maar ook privé zoals LinkedIn of PayPal. Een MFA is iets wat je hebt, zo dien je bij PayPal naast je wachtwoord ook de code in te vullen die je op te telefoon hebt ontvangen. Mocht je wachtwoord dus gehackt zijn kan de kwaadwillende nog niks omdat er een 2e factor is voordat je kan en mag inloggen.

Worden security incidenten gemeld en geregistreerd?

Mocht er een security incident plaatsvinden, wordt deze dan geregistreerd? En weten medewerkers bij wie ze dit incident moeten melden?

Worden web- applicaties gescant op kwetsbaarheden?

Gebeurt dit? En zo ja, met welke tools? 

Heb jij maatregelen genomen om persoonsgegevens te beschermen?

Hoe zit het met de AVG? Welke maatregelen zijn er genomen mbt deze wet?