Tien eindejaarstips om het security-beleid bij te houden

Om als bedrijf veilig te blijven, moet je blijven werken aan information security of informatiebeveiliging. Bij deze op de valreep een aantal praktische tips. De tips zijn geschreven voor organisaties die al beleid hebben en zorgen ervoor dat dit beleid effectief blijft.

Tips voor Information Security

1. Werk je lijst van incidenten bij.

Een register van incidenten in belangrijk om als organisatie zicht te hebben hoe het ervoor staat met security. zorg dat elk incident in het register staat. Zet bij elk incident ook een diepere oorzaak en bedenk of je deze kunt aanpassen. Dit kan soms eenvoudig zijn, zoals het ophangen van extra instructies.

2. Check of iedereen nog de juiste rechten heeft.

In veel organisaties gaat het af en toe mis met uitdiensttredingen of functiewijzigingen. Hierdoor houden mensen toegang. December en Januari zijn goede maanden voor een check. Kijk in je systemen (google, github, amazon, active directory, sharepoint, trello, dropbox, etc) of oud-werknemers nog rechten hebben.

3. Vraag iedereen om zijn wachtwoorden te checken en te verbeteren.

Het is belangrijk om overal een uniek en veilig wachtwoord te hebben. Het is ook verstandig om dezelfde wachtwoorden niet jarenlang te gebruiken. Kies nieuwe wachtwoorden. Denk ook na over een password manager.

4. Voer tweefactor-authenticatie in of zet dit op de roadmap.

Twee-factor authenticatie is echt een norm aan het worden. Dit blijkt bijvoorbeeld uit de boete die het UWV heeft gekregen. Tweefactor-authenticatie is bij veel diensten beschikbaar maar vaak moet je het aanzetten. Het kan via SMS of met behulp van een app. Als je zelf diensten aanbiedt aan klanten, voer hier dan ook de mogelijkheid voor twee-factor-authenticatie in.

5. Scan je websites met SSLlabs en Internet.nl.

Met deze twee scanning services kun je eenvoudig controleren of je websites veilig zijn ingesteld. Internet.nl is vrij nieuw en ambitieus en deelt lage scores uit. Kijk vooral naar de tips. SSL-labs bestaat al langer en hier moet je echt A of A+ op scoren.

6. Werk je risico-register bij en kies een aantal verbeteringen. 

Een risico-register werk je bij door met directie en vertegenwoordigers van alle afdelingen een workshop te hebben, waarin de risico’s en gevolgen worden besproken. Het is namelijk van belang dat het informatiebeveiligingsbeleid niet vanuit de techniek wordt bepaald, maar vanuit de hele organisatie.  Zie ook dit overzicht van een eenvoudige risk management methode.

7. Werk je statement of applicability bij.

Het statement of applicability geeft aan welke standaardmaatregelen je toepast. Het is een handige lijst om te checken hoe je risico’s het beste controleert. We hebben onze documentatie van het statement of applicability hiervoor uitgebreid met een omschrijving van elk punt ter inspiratie.

8. Plan een interne awareness-update-bijeenkomst.

Dit is een kort moment met het hele bedrijf waarin iedereen opnieuw gewezen wordt op het belang van security en privacy. Leg nogmaals uit dat er beleid is en bespreek veranderingen of nieuwe regels. Noem ook waar mensen meer informatie kunnen vinden, wie ze moeten benaderen en sluit af met concrete stappen die mensen zelf kunnen nemen.

Tips voor privacybeleid

Iedereen is in 2018 doodgegooid met AVG en GDPR. Dit hoeft in 2019 niet opnieuw. Hierbij wat minimale tips om compliant te blijven.

9. Check je privacy-verklaring of privacy-statement.

Het maken van zo’n statement en deze op de website te zetten is de makkelijkste manier om transparant te zijn. Hier zijn twee voorbeelden: Privacyverklaring SoftwareZaken en de  privacyverklaring Autoriteit Persoonsgegevens

10. Check of je datalekken hebt gehad en of deze goed zijn gemeld.

Als je incidenten hebt die bij nader inzien toch datalekken zijn, meldt deze alsnog. De recente Uber-boete laat zien dat niet melden tot boetes kan leiden.

Image credit: Joshua Hoehne via unsplash