Stel...

U ontvangt een e-mail van de personeelsdienst, waarin men u vraagt om uw inloggegevens voor uw bedrijfslaptop even door te geven “zodoende uw personeelsdossier verder aan te vullen.” Gaat u hierop in of niet? Hebt u ooit een stagiair of nieuwkomer in het bedrijf toegestaan om met uw account in te loggen in afwachting van een eigen account? Kan u controleren wie in uw organisatie toegang heeft tot gevoelige informatie en wie niet? En hoe zit het met ex-werknemers? Hebben zij nog toegang tot uw bedrijfsgegevens en wat kunnen ze ermee doen?

Het belang van identity management

In de digitale wereld is niemand wie hij beweert te zijn. Een harde stelling, denkt u? Misschien wel, maar toch één die u best in het achterhoofd houdt wanneer u online actief bent. Inloggegevens tot zowel privé-applicaties als professionele onlinediensten kunnen immers in geen tijd door kwaadwilligen misbruikt worden. Vooral de identiteiten van administrators zijn kwetsbaar. Deze mensen hebben de meeste rechten in uw businessapplicaties; criminelen kunnen dus de meeste schade aanrichten als ze deze administrator accounts in handen krijgen. Het is dan ook van belang dat u de identiteit van uw medewerkers slim bewaakt en beschermt met een goed doordacht identity & access management (IAM). Een goede IAM-strategie berust op drie vormen van identiteitscontrole:

1. Autorisatie

Door medewerkers, maar ook externe partners met wie u bedrijfsgegevens deelt, de juiste rechten toe te kennen op basis van hun functie (role-based access), houdt u onder controle wie toegang heeft tot bepaalde gegevens en wie niet. Autorisatie is dan ook een belangrijk onderdeel van de onboarding- en offboardingprocedure binnen uw organisatie. Zorg er bij indiensttreding van een nieuwe medewerker voor dat de juiste rechten en accounts ingesteld worden; en deactiveer ze bij elke uitdiensttreding meteen. Microsoft Active Directory is hiervoor een goede tool.

 

2. Audit

Ook als u alleen de juiste mensen toegang hebt gegeven tot bepaalde bedrijfsgegevens, wil u kunnen traceren wat er zoal met die rechten gebeurt. Het is immers nooit uitgesloten dat accountgegevens van personen die u vertrouwt, in handen komen van kwaadwilligen. Een auditsysteem zoals Netwrix Auditor helpt u om een correct beeld te krijgen van welke account wat heeft gedaan op welk systeem. Zo kan u verdacht gedrag detecteren en tijdig aan de alarmbel trekken wanneer u vermoedt dat iemands accountgegevens zijn gehackt. Wanneer er toch een security-incident voorvalt, kan u op die manier ook achterhalen waar de oorzaak van het probleem ligt.

 

3. Authenticatie

Maar zelfs als u strikte toegangsrechten op uw bedrijfsapplicaties toepast en hun naleving streng controleert, blijft het belangrijk dat medewerkers zich correct identificeren wanneer ze op een systeem inloggen. Voor cybercriminelen is het immers een koud kunstje om de inloggegevens van uw vertrouwde medewerkers te ontfutselen, hun identiteit over te nemen en zo aan uw bedrijfsgegevens te komen of uw IT-infrastructuur te 'gijzelen'. Hoe doen ze dat? Heel eenvoudig:

  • Ze raden het wachtwoord: 12 procent van de mensen gebruikt nog steeds geen combinatie van hoofd- en kleine letters, cijfers of symbolen als wachtwoord. Bovendien blijkt dat 1 op 7 internetgebruikers maar één wachtwoord gebruikt voor al hun online diensten. Voor hackers is een slim stukje code schrijven dan ook vaak voldoende om snel uw wachtwoord te raden. Bekijk dus zeker onze tips voor een goed wachtwoordbeheer.
  • Ze kopen wachtwoorden: op het internet bestaat een heuse zwarte markt voor online identiteiten. Lijsten met wachtwoorden zijn er eenvoudigweg te koop.
  • Ze vragen het vriendelijk: met gewiekste technieken als phishing en social engineering kruipen cybercriminelen in de huid van mensen die u vertrouwt (uw bankier, uw baas, …) om u vriendelijk te vragen uw wachtwoord met hen te delen. En al te vaak lukt hen dat wonderwel.

Is uw paswoord sterk genoeg?

We kunnen het belang van een goed wachtwoordbeheer niet genoeg benadrukken. Maar zelfs met een sterk wachtwoord bent u niet helemaal veilig. Criminelen vinden continu nieuwe manieren om uw online identiteit en die van uw medewerkers in handen te krijgen. We raden dan ook aan om elke dienst die via een publiek netwerk beschikbaar is, extra te beveiligen met multi-factor authentication.

Multi-factor authentication verplicht gebruikers om op meer dan één manier te bewijzen dat ze zijn wie ze beweren te zijn, door verschillende identificatiefactoren te combineren.

  • Iets dat u weet: een wachtwoord, pincode, het antwoord op een beveiligingsvraag, ...
  • Iets dat u hebt: een fysiek object dat u bij zich moet hebben op het moment dat u inlogt, zoals een kaartlezer, usb-stick, of uw smartphone waarop u bijvoorbeeld een SMS-code ontvangt
  • Iets dat u bent: een biometrische factor; zo wordt bijvoorbeeld meer en meer met stemherkenning, vingerafdruk- of irisscan gewerkt

De meeste online diensten voor privégebruik bieden al two-factor authentication aan: denk maar aan Facebook, Twitter of Gmail. Het volstaat om dit te activeren in uw accountinstellingen om bijvoorbeeld via SMS een extra inlogcode te ontvangen telkens u zich aanmeldt.

Voor uw businessapplicaties is two-factor authentication zoniet nog belangrijker. U wil er immers op kunnen vertrouwen dat niemand aan de haal gaat met de accounts van uw gebruikers, en zeker niet met de gegevens van uw administrators. Onze technologiepartners Vasco en Microsoft bieden hiervoor verschillende oplossingen.

Uw gegevens 100% beveiligd?

Het is een utopie te denken dat we onze online identiteit ooit 100% zullen kunnen beveiligen tegen cybercriminaliteit. Maar met two-factor authentication, de juiste autorisaties voor uw bedrijfsgegevens en de nodige auditmaatregelen, komt u toch al een flinke stap verder. Savaco begeleidt u graag naar een optimale bescherming van uw IT-omgeving én uw gebruikers. Contacteer ons gerust, we bekijken graag samen met u hoe onze Cybersecurity oplossingen u daarbij kunnen helpen.

Leestip: 12 Security aanbevelingen voor KMO's