HET BELANG VAN GOEDE SECURITY: CYBERSECURITY VOOR ONDERNEMERS.
Omdat mensen tellen.
Het belang van goede security: cybersecurity voor ondernemers. 1
INLEIDING Als ondernemer komt er veel op u af. U werkt hard om uw bedrijf tot een succes te maken. Het hebben van een goede beveiliging draagt bij aan de waarde van de onderneming. Echter blijkt deze niet altijd voldoende op orde. Een goed ingerichte beveiligingsarchitectuur is bovendien een waarborg voor efficiënte groei. Security hoeft niet duur te zijn. U kunt veel zelf doen, mits u bereid bent om er de tijd voor te nemen en er over na te denken. Deze whitepaper geeft inzicht in de stappen die u kunt doorlopen om zelf een goede start met cybersecurity te maken.
CYBERSECURITY Internet brengt enorme kansen en voordelen, maar ook risico’s met zich mee. Dagelijks vinden er aanvallen op bedrijven plaats. Vaak zijn dit ‘random attacks’: aanvallen die niet specifiek op een bedrijf zijn gericht, maar op zwakheden in de beveiliging. Er bestaan ook gerichte aanvallen. Die zijn bedoeld om persoonsgegevens, creditcardgegevens en andere gevoelige informatie te stelen of om een bedrijf plat te leggen met een DDoS-aanval. Een DDoS-aanval is een gerichte aanval met als doel een netwerk of website onbereikbaar te maken. De meest voorkomende methode is het overbelasten van een website met communicatieverzoeken met als gevolg een overbelasting van de server, waardoor de website niet langer bereikbaar is voor klanten. De kranten staan vol met voorbeelden.
Bron: www.security.nl
Bron: ANP/nu.nl
2 Het belang van goede security: cybersecurity voor ondernemers.
MEEST VOORKOMENDE DREIGINGEN
BEGIN BIJ DE BASIS
1 Hacking en malware Hacking is een sterk groeiende dreiging in het cybersecurity domein. Iedereen kan tegenwoordig online een exploit toolkit kopen en hacken. Daardoor is de dreiging exponentieel toegenomen. Het is niet meer de vraag óf u gehackt wordt, maar wanneer. Als ondernemer bent u niet per definitie een gericht doelwit, maar u kunt wel degelijk getroffen worden door een willekeurig virus of worm. Een bijzondere vorm van malware is ransomware waarbij uw persoonlijke bestanden versleuteld worden en u eerst moet betalen voordat de versleuting ongedaan wordt gemaakt. Een bekend ransomware virus dat nog steeds actueel is, is CryptoLocker. Dit virus kan verwijderd worden van uw computer, maar encrypte bestanden kunnen niet of zeer beperkt hersteld worden. De enige oplossing is het hebben van een goede backup van uw bestanden.
De vraag is nu, wat u het beste kan doen tegen deze dreigingen. Het beste is om gewoon bij de basis te beginnen. De volgende maatregelen zijn gericht op de ‘endpoints’: de laptop en de mens.
2 Verloren of gestolen fysieke opslagmedia Mobiele gegevensdragers zoals laptops, smartphones, USBsticks en externe harde schijven bevatten vaak vertrouwelijke informatie. De gevolgen van verlies of diefstal wisselen van ongemak, ‘vervanging van de laptop’ tot een grote crisis als op uw laptop de enige versie van een tender staat, die u vandaag moet indienen. 3 Fouten en vergissingen Het verlies van vertrouwelijke data of het binnenhalen van malware ontstaat vaak door fouten en vergissingen van medewerkers. Voorbeelden daarvan zijn: de ‘autofill’-optie in het veld ‘aan’ van Outlook. Hierdoor bestaat de kans dat vertrouwelijke gegevens gemaild worden aan personen waar het niet voor bestemd is; het openen van phishing mail, het klikken op bijgevoegde links, of het openen van bijlages; het downloaden en/of installeren van programma’s en documenten van onveilige bronnen. 4 Publieke wifi Publieke wifi kan beschouwd worden als een beveiligingsrisico. Er is nauwelijks sprake van privacy in restaurants, hotel lobbies of publieke plaatsen. Het komt regelmatig voor dat hackers zich voordoen als een vertrouwde toegang en dan als ‘man-inthe-middle’ toegang krijgen tot al uw persoonlijke én zakelijke communicatie. 5 Calamiteiten Een onderschat risico is een calamiteit. Hierbij kunt u denken aan stroomuitval, lekkage of brand. Het niet kunnen werken als gevolg van bijvoorbeeld stroomuitval kan grote financiële impact op uw bedrijf hebben.
Laptopbeveiliging Het beveiligen van uw laptop kunt u grotendeels zelf doen: 1 Vergrendel uw laptop met gebruikersnaam en een sterk wachtwoord. 2 Gebruik harde schijf encryptie. Zowel Microsoft als Apple hebben deze optie standaard ter beschikking. Verder kunt u gebruik maken van een ‘endpoint’-beveiligingsproduct als bescherming tegen virussen, spyware en andere malwares. 3 Zorg voor automatische back-ups. Ook hier geldt dat zowel Microsoft als Apple standaard oplossingen hebben. Denk eraan dat het hebben van een back-up niet wil zeggen dat je automatisch bestanden kan terughalen. Oefen daarom met het terugzetten van zowel losse bestanden als de gehele back-up. Op deze wijze doet u ervaring op en kunt u proefondervindelijk testen, of de back-ups werken. 4 Tot slot: zorg ervoor dat uw besturingssysteem (OS), browser en andere kritische apps en software up-to-date blijven. Als een kritische patch wordt uitgebracht, is ook publiekelijk bekend wat de kwetsbaarheid precies is. Hackers maken misbruik van deze kwetsbaarheden en juist daarom loopt u extra risico als uw software niet up-to-date is. Train uw mensen Fouten en vergissingen ontstaan onder andere bij ongetraind personeel. Mogelijkheden waardoor dit kan ontstaan zijn: Onbekendheid met de programmatuur Gebruiksaanwijzingen worden niet altijd goed of voldoende gelezen. Een gebruikerstraining kan een goed alternatief zijn. Een goede training hoeft niet lang te duren en verhoogt niet alleen de beveiliging, maar zorgt ook voor meer efficiëntie in de uitvoering. Onbekendheid met cybersecurity dreigingen en de omgang daarmee In hoeverre bent u, en is uw personeel, op de hoogte van cybersecurity dreigingen? Is het bekend hoe u daar het beste mee om kunt gaan? Zorg voor training op onderwerpen zoals: wat is cybersecurity, het delen van informatie, een veilige werkplek, beveiliging onderweg, veilig online werken, het herkennen van phishing mails, fraude en andere aanvallen.
Het belang van goede security: cybersecurity voor ondernemers. 3
HET VERVOLG: UW IT-SYSTEMEN EN/OF CLOUD COMPUTING Na het beveiligen van uw ‘endpoints’ zijn nu uw IT-systemen aan de beurt. Het kan zijn dat u als ondernemer uw eigen ITsystemen beheerd, maar steeds vaker wordt IT in meer of mindere mate in de cloud gezet. Hoe u uw eigen IT-systemen kunt beveiligen en welke vormen van cloud en bijbehorende aandachtspunten er zijn, leest u in dit onderdeel. Uw eigen IT-systemen Beheert u als ondernemer uw eigen IT-systemen, dan is er een aantal zaken waar u op moet letten: De basis Patching Een patch wordt door een uitgever van software uitgebracht om fouten (kwetsbaarheden) op te lossen, of updates uit te voeren. Zorg dat u bij bent, en installeer de laatste updates en patches. Hardening Hardening is het uitzetten van onnodige services en overbodige functies, inclusief het verwijderen van niet gebruikte of onnodige gebruikersaccounts. Hiermee verkleint u het ‘aanvalsoppervlak’ voor de hacker. Als een hacker binnen is, heeft hij hierdoor minder mogelijkheden om systemen te compromitteren. Authenticatie Authenticatie is het vaststellen van de identiteit van een gebruiker. Een standaardvorm is het gebruik van de combinatie gebruikersnaam/wachtwoord. Dit is echter niet altijd de meest geschikte vorm van authenticatie. Voor risicovolle omgevingen met veel gevoelige informatie wordt aanbevolen om te kijken naar de toepassing van twee-factor authenticatie of multi factor authenticatie. Het vervolg Netwerk beveiliging Beveilig uw netwerk, inclusief uw wifi-netwerk, door het gebruik van firewalls, het gebruik van proxies, ACL’s (access control lists) en andere maatregelen. Beveilig de configuratie. Houd een inventarisatie bij van al je hardware en software. Pas hiervoor de geldende beveiligingsstandaardconfiguratie toe. Toegang voor externe partijen Beperk de toegang tot IT-systemen voor externe partijen. Zet een aparte sessie op voor elke keer dat toegang nodig is en beperk de toegang tot uitsluitend de benodigde systemen. Anti-virus Installeer anti-virus software op al je systemen. Overweeg om de toegang tot bepaalde notoir gevaarlijke websites te blokkeren. Cloud computing Cloud is ‘the new frontier’ en zoals vaak gaat functie voor beveiliging. Dit is ook het geval bij cloud-oplossingen. Jaren geleden was vooral het aanbieden van een cloud-oplossing het hoogste doel, tegenwoordig krijgt beveiliging ook extra aandacht en is een veilige cloud binnen handbereik.
Wat is wat in cloud computing? Voordat we de diepte in gaan is het goed om de verschillende smaken in cloud computing te benoemen. Cloud computing kan worden onderscheiden in drie servicemodellen en vier implementatiemodellen. Servicemodellen: 1 ‘Software as a Service’ (SaaS) Het aanbieden van applicaties via internet door een provider. De consument heeft hierbij geen beheer van de applicaties en de onderliggende cloud-infrastructuur, inclusief netwerk, servers, besturingssystemen en opslag. 2 ‘Platform as a Service’ (PaaS) Het aanbieden van de mogelijkheid om eigen applicaties (gekocht of zelf gebouwd) te laten draaien op een door de provider geboden cloud-infrastructuur. De consument heeft hierbij geen beheer van de onderliggende cloud-infrastructuur, inclusief netwerk, servers, besturingssystemen en opslag. Maar de consument heeft wel de controle over de applicaties die draaien en de configuratie-instellingen van de applicatie hosting omgeving. 3 ‘Infrastructure as a Service’ (IaaS) Het aanbieden van de mogelijkheid om gebruik te maken van een volledige IT-infrastructuur die in de cloud staat zoals besturingssystemen, servers, opslag en netwerk. De consument heeft hierbij geen beheer van de onderliggende cloud-infrastructuur, maar heeft wel de controle over de besturingssystemen, opslag en applicaties. Daarnaast heeft hij eventueel beperkte controle over geselecteerde netwerkcomponenten zoals firewalls. Implementatiemodellen: 1 Private cloud De cloud-infrastructuur wordt ter beschikking gesteld voor exclusief gebruik door een enkele organisatie met meerdere medewerkers. De infrastructuur kan in bezit zijn van de eigen organisatie, een derde partij, of de combinatie daarvan. 2 Community cloud De cloud-infrastructuur wordt ter beschikking gesteld voor exclusief gebruik door een specifieke gemeenschap van organisaties die gelijke eisen stellen, bijvoorbeeld op het gebied van missie, beleid, beveiliging en naleving. De infrastructuur kan in bezit zijn van een van de organisaties in de gemeenschap, een derde partij, of een combinatie daarvan. 3 Public cloud De cloud-infrastructuur wordt aan eenieder opengesteld door een provider. De provider kan een bedrijf, een overheidsorganisatie of een combinatie daarvan zijn. 4 Hybride cloud De cloud-infrastructuur is een samenstelling van twee of meer verschillende cloud-infrastructuren (private, community of public) die op zichzelf staan, maar verbonden zijn door gestandaardiseerde of eigen technologie die zorgt voor data- of applicatie-uitwisseling.
4 Het belang van goede security: cybersecurity voor ondernemers.
Cloud-beveiliging realiseren in 3 stappen Het is mogelijk om de cloud-beveiliging van uw onderneming zelf in goede banen te leiden. De stappen die u daarbij kunnen helpen zijn: 1 Bepaal welke diensten je in de cloud wil zetten Kijk goed wat u met uw onderneming van plan bent en hoe u uw doelstellingen denkt te bereiken. Wat heeft u aan IT nodig? Wilt u alleen een online mailserver en opslag of wilt u meer? Zoals bijvoorbeeld online software, waarbij men moet denken aan CRM, Financieel, HRM of samenwerkingssoftware.
De keuze die u maakt, bepaalt ook het type cloud dat u nodig heeft. U komt op ‘Software as a Service’ (SaaS) uit als uw online software wilt gebruiken. Denk aan Salesforce, e-HRM, Webmail, Drive, Dropbox. Bij ‘Platform as a Service’ (PaaS) moet u denken aan Windows Azure. ‘Infrastructure as a Service’ (IaaS) is uitsluitend interessant als u al uw eigen software en besturingssystemen hebt draaien en daar volledige controle over wilt houden. In dit geval besteedt u namelijk alleen de hardware uit. Met name voor start-ups is SaaS interessant, omdat ze dan de dienst als een abonnement af kunnen nemen en geen hoge startinvesteringen hoeven te doen.
2 Bepaal de ‘cloud readiness’ van de diensten die u in de cloud wilt zetten De technologische ontwikkelingen gaan snel en tegenwoordig is het ook mogelijk om 3D-tekenprogramma’s als SaaS af te nemen. Er kan vaak meer dan u denkt, maar niet alle applicaties zijn als SaaS beschikbaar. Met name bij maatwerkoplossingen en complexe applicaties is de kans groot dat dit niet veilig in de cloud te zetten is.
3 Bepaal de beveiliging van uw data Voor de beveiliging van uw data gelden de volgende startvoorwaarden: Maak geen onderscheid tussen vertrouwelijke informatie en niet-vertrouwelijke informatie. In de dagelijkse praktijk loopt dit soort informatie door elkaar en is een eenduidig onderscheid niet te maken. Het is daarom verstandig om alle informatie als vertrouwelijk te beschouwen en daarop de beveiliging in te richten. Encrypt al uw data die je in de cloud opslaat. Voor dataopslag in de cloud geldt bovendien dat u moet waarborgen dat u juridisch eigenaar blijft van uw data. Regel uw back-up Vaak doet de provider het als onderdeel van het abonnement, maar het is aan te raden om zelf ook een back-up lokaal te zetten. Overschrijf je eerder gemaakte back-up niet, maar zorg voor meerdere versies. Zo kunt u bij problemen op versies van verschillende data terugvallen.
CONCLUSIE De eerste stappen om de beveiliging van uw onderneming in te richten kunt u zelf zetten. Bovendien hoeft het niet duur te zijn, maar het vraagt wel inspanning. Als u er tijd voor vrij maakt en het onderwerp op de agenda houdt komt u een heel eind. Heeft u alles beveiligd, maar loopt u nog tegen zaken aan zoals het uitvoeren van een risicoanalyse of het implementeren van informatiebeveiliging? Dan kunt u altijd contact opnemen met onze professionals via 030 - 284 98 81 of mail naar
[email protected].
Deze whitepaper is voor u samengesteld door Ronnie Overgoor, senior adviseur Informatiebeveiliging en Robert van Vianen, Partner bij BDO. Wilt u met hen in contact komen of heeft u vragen over cybersecurity of tech-gerelateerde vraagstukken? Bel dan 030 - 284 98 81 of mail naar
[email protected].
WWW.BDO.NL
Deze publicatie is zorgvuldig voorbereid, maar is in algemene bewoordingen gesteld en bevat alleen informatie van algemene aard. Deze publicatie bevat geen advies voor concrete situaties, zodat uitdrukkelijk wordt aangeraden niet zonder advies van een deskundige op basis van de informatie in deze publicatie te handelen of een besluit te nemen. Voor het verkrijgen van een advies dat is toegesneden op uw concrete situatie kunt u zich wenden tot BDO Accountants & Adviseurs of een van haar adviseurs. BDO Accountants & Adviseurs en haar adviseurs aanvaarden geen aansprakelijkheid voor schade die het gevolg is van handelen of het nemen van besluiten op basis van de informatie in deze publicatie. BDO Accountants & Adviseurs is een op naam van BDO Holding B.V. te Eindhoven geregistreerde handelsnaam en wordt gebruikt ter aanduiding van een aantal met elkaar in een groep verbonden rechtspersonen, die ieder afzonderlijk onder de merknaam ‘BDO’ actief zijn op een bepaald terrein van de professionele dienstverlening (accountancy, belastingadvies en consultancy). BDO Holding B.V. is lid van BDO International Ltd, een rechtspersoon naar Engels recht met beperkte aansprakelijkheid, en maakt deel uit van het wereldwijde netwerk van juridisch zelfstandige organisaties die optreden onder de naam ‘BDO’. BDO is de merknaam die wordt gebruikt ter aanduiding van het BDO-netwerk en van elk van de BDO Member Firms.
12/2015 – BM1534
