De nieuwe norm houdt in dat er minder mensen op kantoren zijn en meer mensen die thuis werken. Een groot deel van het personeelsbestand werkt nu fulltime of parttime op afstand. Dat introduceert een nieuwe reeks beveiligingsuitdagingen.
Het nieuwe normaal
Er is een reden waarom beveiligingsprofessionals een hekel hebben aan plotselinge veranderingen, vooral die van drastische aard. Het risico dat een kwetsbaarheid wordt geïntroduceerd omdat iets over het hoofd is gezien of iemand haastig heeft gehandeld – zij het met het beste belang in het hart – is maar al te reëel.
De COVID-19-pandemie bracht voor de meeste organisaties precies zo’n verandering teweeg. Werknemers werden gedwongen thuis te blijven en op afstand te werken. Bedrijven die enige mogelijkheden hadden om op afstand te werken, moesten proberen dat snel op te schalen. Andere organisaties moesten proberen om zo snel mogelijk iets in elkaar te zetten. Beveiliging komt zelden op de eerste plaats in deze scenario’s.
Onnodig te zeggen dat bedrijven die geen enkele mogelijkheid hadden om op afstand te werken, het minst bereid waren om met de verandering om te gaan. Omdat er geen mogelijkheid was om op afstand te werken, waren er geen of zeer weinig laptops in het bedrijf. Velen van hen moesten thuiswerkers hun eigen, huishoudelijke, computers laten gebruiken om aan te werken.
De IT-afdeling – die plotseling verspreid werd en vanuit huis werkte – moest nu een IT-domein ondersteunen dat van de ene op de andere dag was veranderd met verouderde en niet-ondersteunde besturingssystemen, thuisrouters en hardware van een groot aantal fabrikanten.
Als dat u bekend in de oren klinkt, volgen hier enkele effectieve stappen om de situatie weer wat meer zekerheid te bieden.
Gebruik versleuteling
Een veiligheidsbewuste organisatie zal draagbare en mobiele apparaten zoals laptops, tablets en smartphones al versleutelen. Op zakelijke pc’s is het gemakkelijk en gratis, zolang u de juiste versie van Microsoft Windows gebruikt. Microsoft Windows 10 Pro, Enterprise en Education ondersteunen BitLocker-apparaatversleuteling. Windows 10 Home doet dat niet. Als u daarentegen een Apple-computer gebruikt, ondersteunt macOS standaard apparaatversleuteling en overal.
Door uw computer te versleutelen, beschermt u uw gegevens tegen toegang als het apparaat in verkeerde handen valt. Zelfs als de bedreigingsactoren de harde schijf verwijderen en deze op een ander apparaat proberen te lezen, worden ze gedwarsboomd.
Er treedt echter een ander soort risicoblootstelling op wanneer bestanden elektronisch worden verzonden. Als ze worden onderschept door bedreigingsactoren, kunnen ze ze lezen, tenzij ze worden gecodeerd voordat ze worden verzonden. Dit is gemakkelijk te doen. Met alle Microsoft Office-producten kunt u uw bestanden met een wachtwoord opslaan. Dit versleutelt ze en beschermt ze tegen nieuwsgierige blikken.
Andere applicaties bieden die mogelijkheid mogelijk niet. Als u een softwarepakket gebruikt dat geen codering biedt vanuit de applicatie, kunt u de bestanden nog steeds coderen voordat u ze verzendt. Gebruik een gratis hulpprogramma zoals 7Zip of een van de andere archiveringsapplicaties om uw bestanden te comprimeren en te versleutelen met een wachtwoord. Het verkleint ook de grootte van de bestanden, waardoor de transmissietijd en opslagvereisten worden verminderd.
Zippen van bestanden is een geweldige manier om verzamelingen van ongelijksoortige bestanden in te kapselen die zijn gemaakt met verschillende softwarepakketten die moeten worden gedistribueerd als een pakket met gerelateerde documenten. Als u ze in een enkel bestand comprimeert, hoeft u alleen maar dat ene bestand naar iemand te sturen en weet u dat ze de volledige set bestanden hebben.
Geef het wachtwoord door aan de ontvanger via een ander medium – of in ieder geval een ander bericht – dan het medium met de bestanden. En hergebruik wachtwoorden niet en maak ze niet voorspelbaar of formeel. Gebruik bijvoorbeeld niet de naam en de datum van een klant.
Gebruikers met oude versies van Windows kunnen net zo goed hun computer op kantoor mee naar huis nemen. Als je dat niet doet, blijft het alleen ongebruikt in een leeg kantoor staan, waardeloos. Waarom laat u ze geen actueel, beveiligd apparaat gebruiken dat bekend is bij uw IT-team, dat in uw hardware-inventarisregister staat en waarover u volledige controle kunt uitoefenen?
Versterk Wi-Fi thuis
Binnenlandse wifi kan veilig zijn, maar is vaak niet zo ingesteld. Start nu een project om uw IT-team zich een weg te laten banen door de thuiswerkers, ervoor te zorgen dat de standaard inloggegevens van de router zijn gewijzigd, dat er veilige en robuuste wachtwoorden worden gebruikt en om de firmware bij te werken.
Zorg ervoor dat het veiligste protocol dat het apparaat biedt, wordt gebruikt en wijzig het wachtwoord in een uniek, veilig wachtwoord. Dit betekent dat vrienden en bezoekers tijdens hun bezoek geen toegang tot wifi kunnen krijgen, en dat is het punt. Als het apparaat dit ondersteunt, maak dan een wifi-netwerk voor gasten zodat familie en vrienden verbinding kunnen maken met internet. Ze krijgen de toegang die ze nodig hebben, worden gescheiden van de primaire wifi en hebben geen privé wifi-wachtwoord nodig.
Je zou kunnen overwegen om het belangrijkste wifi-netwerk helemaal te verbergen, maar de meeste thuisgebruikers zullen dat een problematisch systeem vinden om mee te leven. Hetzelfde geldt helaas voor MAC-adresfiltering.
Schakel de firewall in en controleer de firewallregels. Als de router archaïsch is, vervangt u deze.
VPN’s, RDP en 2FA
Gebruik gecodeerde veilige communicatiemethoden, zoals Virtual Private Networks (VPN’s) of Microsoft’s Remote Desktop Protocol (RDP). Of, strikt genomen, ze zijn veilig wanneer ze up-to-date zijn en iedereen unieke en robuuste wachtwoorden gebruikt. Zorg ervoor dat u het aantal pogingen beperkt voordat een account wordt vergrendeld.
Implementeer overal waar het wordt ondersteund tweefactorauthenticatie (2FA) of multifactorauthenticatie (MFA). Gebruik systemen met verificatietoepassingen of apparaten die codes genereren. Systemen die sms-berichten (Small Messaging System) gebruiken, zijn minder veilig.
Als uw personeel cloudgebaseerde services gebruikt, onthoud dan dat veel van deze services zonder extra kosten tweefactorauthenticatie kunnen bieden. Schakel het in en maak in uw voordeel gebruik van die gratis functies.
Penetratietesten
Bedreigingsactoren zijn veel dingen, maar ze zijn niet dom. Ze weten dat er een grondverschuiving heeft plaatsgevonden in de werkgewoonten en dat het personeel nu op afstand is en op afstand toegang heeft tot IT-bronnen in het hoofdkantoor.
Ze weten ook dat veel organisaties hun oplossingen voor werken op afstand zo snel als fysiek mogelijk moesten opzetten. En ze zullen weten dat er maar heel weinig van hen opnieuw zullen zijn bezocht. Dus de beveiligings-no-no’s en botches die werden genegeerd toen de C-suite schreeuwde om “gewoon aan het werk te krijgen”, zullen nog steeds aanwezig zijn.
Wees proactief. Laat penetratietesten op uw organisatie uitvoeren voordat de cybercriminelen dat doen. Laat de tests uitvoeren, bekijk de resultaten en pak de ergste kwetsbaarheden meteen aan.
Geef prioriteit aan de rest en werk ze af in volgorde van ernst.
Naleving en normen
Door de verandering van werkomgeving en werkwijzen zullen veel van uw processen en procedures moeten worden aangepast. Uw governance moet worden herzien om er zeker van te zijn dat de richtlijnen en controles die op het personeel worden geplaatst, nog steeds zinvol zijn en nog steeds van toepassing zijn in de nieuwe situatie. Als ze moeten worden aangepast of bijgewerkt, laat dat dan zo snel mogelijk doen.
Controleer in het bijzonder uw wachtwoordbeleid, uw beleid voor acceptabel gebruik en uw regels over gegevensopslag en -overdracht. De omschakeling naar thuiswerk is mogelijk in strijd met de bestaande regels over het mee naar huis nemen van IT-apparatuur, het niet verbinden met thuisnetwerken, het alleen benaderen van bedrijfsmiddelen vanaf bedrijfscomputers, enzovoort. Het is van vitaal belang dat het personeel begrijpt welke regels nog van toepassing zijn, welke zijn vervangen en waardoor.
Vergeet niet om uw normcertificeringen en accreditaties te herzien. Als uw organisatie voldoet aan normen zoals ISO 27001, Cyber Essentials of het Cybersecurity Framework, bestaat de IT-omgeving waarvoor u de processen hebt beschreven, gedocumenteerd en gemaakt, niet meer. U moet al uw bestuur in overeenstemming brengen met de nieuwe situatie.
De wetgeving inzake gegevensbescherming zal moeten worden herzien om te zien hoe ze aansluiten bij uw huidige gegevensverwerkingsactiviteiten. Als u wijzigingen aanbrengt in uw gegevensbeschermingsbeleid en -procedures, zorg er dan voor dat u uw privacybeleid bijwerkt zodat de betrokkenen op de hoogte zijn van de wijzigingen.
Was uw handen gedurende 40 seconden
Denk, net als andere hygiëneregimes die momenteel van cruciaal belang zijn, ook aan uw basishygiëne voor cyberbeveiliging. Door de basis goed te krijgen, kun je de strijd al heel lang winnen.
