Volg Software Zaken

Standaard beveiligingsmaatregelen

In het register van verwerkingsactiviteiten moet u aangeven welke beveiligingsmaatregelen u heeft getroffen om persoonsgegevens te beschermen. Hieronder staan enkele veel toegepaste maatregelen beschreven. U kunt ook de maatregelen van ISO 27001 gebruiken (Engelstalig).

Gebruik https: Het is verstandig om elke website te voorzien van een SSL certificaat. Het adres verandert dan van http://… naar https://… Er wordt nu versleuteling toegepast. Het SSL certificaat is eenvoudig zelf te testen via www.ssllabs.com.

Stel een document voor informatiebeveiliging op: Met een formele procedure voor informatiebeveiliging is er consensus hoe alles geregeld is. Het vastleggen van deze afspraken zorgt voor transparantie en helpt iedereen er aan te houden.

Het opzetten en uitvoeren van een information security management system (ISMS): Deze maatregel is eigenlijk een uitbreiding van de vorige maatregel. Een ISMS is een verzameling van documenten en procedures rondom informatiebeveiliging. Alle risico’s en assets zijn in kaart gebracht en hebben een owner.

Externe toetsing en certificering van ISMS: ISO 27001 is een veelgebruikte standaard hiervoor. Security Verified is een alternatieve standaard voor informatiebeveiliging die eenvoudiger is.

Screening van medewerkers: Het is is handig medewerkers te screenen voor zij in dienst genomen worden. Dit kan o.a. door een VOG eisen, referenties te bellen of een gespecialiseerd bureau te gebruiken.

Security awareness-trainingen voor medewerkers: Medewerkers zijn de kern van uw organisatie, en daarmee helaas ook een groot doelwit voor kwaadwillenden. Door uw medewerkers te trainen herkennen zij gevaren, handelen zij beter bij incidenten, en zorgt u dat zij wetmatig handelen.

Opstellen en bijhouden van risk inventory: Bedrijfsvoering brengt risico’s met zich mee, daar is niet aan te ontkomen. Goed risico management begint met het kennen van de risico’s. Een goed en up-to-date beeld van de risico’s zorgt er voor dat ze tijdig bestreden kunnen worden.

Bijhouden van een incident register: Ook incidenten gebeuren nu eenmaal. Als deze secuur bijgehouden worden is het mogelijk om patronen te herkennen, en daarmee een eventuele achterliggende oorzaak te vinden. Bekende incidenten zijn ook beter te voorkomen in de toekomst.

Installatie van firewall: Deze vrij simpele maar enorm effectieve maatregel is onmisbaar. Een firewall houdt het slechte dataverkeer buiten en laat het goede verkeer door. Vaak opereren firewalls tussen het “binnenkomende internet” en het bedrijfsnetwerk van apparaten.

Installatie van virusscanner: Virusscanners opereren juist op de apparaten van medewerkers zelf. Kwaadaardige programma’s worden herkend en in quarantaine gezet. Software die via e-mails of de browser toch een computer binnenkomen worden zo opgeruimd voor ze meer schade aan kunnen richten.

Bescherming tegen gegevensverlies: Gegevensverlies kan op meerdere manieren plaatsvinden. Een bug kan er voor zorgen dat data verdwijnt, of men kan zelf (per ongeluk) iets verwijderen. Automatisch opslaan en bevestiging voor verwijdering helpen dit voorkomen.

Regelmatig en structureel back-uppen van gegevens: Goed beveiligde en regelmatige back-ups zijn het beste wapen tegen gegevensverlies. Zorg er voor dat u ook regelmatig test of de gemaakt back-ups bruikbaar zijn om te voorkomen dat u met een nutteloze back-up zit in een noodsituatie.

Versleuteling van gegevens in de database: Gegevens in de database zijn veilig, tot ze het ineens niet meer zijn. Als de database binnengedrongen wordt door een onbevoegde, mag deze niet bij de gegevens kunnen komen. Versleuteling houdt de data geheim, en voorkomt dit soort situaties.

Versleuteling van harde schijven / opslag: Ook op kleiner niveau is versleuteling erg belangrijk. Als een mediadrager of apparaat kwijt raakt, kunnen gegevens in de verkeerde handen komen. Een kwijtgeraakt versleutelde harde schijf kan echter hoogstens als boekensteun gebruikt worden.

Versleuteling van gegevens tijdens transport: Soms is het nodig om gegevens fysiek of digitaal naar een persoon buiten het bedrijf te sturen. Versleuteling houdt deze gegevens geheim en bewaart de integriteit.

Regelmatig PEN-testen van systemen door externe ethical hackers: Het voordeel van ethische hackers is dat zij uw systeem op dezelfde manier benaderen als “slechte” hackers, en geen vernieling of diefstal plegen maar een net rapport met verbeterpunten aan u leveren.

Het hebben van een responsible disclosure policy: Een meer open aanpak op het laten testen van uw beveiliging is een responsible disclosure policy. Hierin verklaart u dat gevonden beveiligingslekken door personen van buitenaf niet bestraft maar juist beloond worden, mits correct gemeld. Wij spraken zelf ook een paar hackers om van hun visie te leren.

Gebruik twee-factor of multi-factor-authenticatie: Het gebruik van multi-factor authenticatie voegt een extra laag aan beveiliging aan uw inlogpogingen toe. Door op een andere manier te bevestigen dat u ook echt in probeert te loggen voorkomt u inbraakpogingen. Mobiele telefoons zijn hier erg geschikt voor.

Vastleggen van regels voor kiezen en vastleggen wachtwoorden: Eenvoudige wachtwoorden zijn eenvoudig te kraken. Door een minimumeis te stellen aan de sterkte van het wachtwoord en veilige bewaarplek voorkomt u dat brute-force aanvallen succesvol zijn.

Benoemen van een Functionaris voor Gegevensbescherming: Onder de privacywet AVG is het in sommige gevallen is het verplicht om een FG aan te stellen. Deze interne of externe functionaris houdt toezicht op uw naleving van de AVG, en kan assisteren bij bijvoorbeeld Impact Assessments.

Opstellen en publiceren op website van een privacy statement: Nog een verplichting onder de AVG, ditmaal altijd voor alle organisaties, is het informeren van personen van wie u persoonsgegevens verwerkt. Dit wordt vaak gedaan d.m.v. een privacy statement; een document of pagina op de website die inzicht biedt in uw verwerking van persoonsgegevens. U kunt ons privacy statement als voorbeeld gebruiken.

Verplichte wachtwoordbeveiliging op laptops en andere mobiele devices: Apparaten en de informatie er op zijn vaak alleen bedoeld voor de eigenaar. Wachtwoorden zorgen dat alleen bevoegde personen toegang hebben.

Afbeelding: @rawpixel via Unsplash