Elke organisatie verwerkt informatie die van waarde is voor anderen. Dreiging in de vorm van ransomware of cryptoware is dagelijkse realiteit voor veel organisaties. Hoe weerbaar is uw organisatie tegen dreigingen van buitenaf? Welke rol spelen uw medewerkers in het beveiligen van de organisatie? Het gebruik van sterke wachtwoorden en het goed inrichten van de autorisatiematrix beperkt een hoop schade. Stelt u zich de gevolgen eens voor wanneer hackers met een willekeurig medewerkersaccount bij al uw bedrijfsgevoelige informatie kunnen?
Wachtwoorden
Goede informatiebeveiliging begint met het inregelen van sterke wachtwoorden. Wachtwoorden vormen een belangrijk aspect van de informatiebeveiliging. Wachtwoorden zorgen ervoor dat onbevoegden minder makkelijk toegang kunnen krijgen tot informatie. Een gemakkelijk wachtwoord evenals onduidelijke of niet gevolgde wachtwoord procedures zijn niet alleen een bedreiging voor de vertrouwelijkheid en integriteit van informatie, maar uiteindelijk ook slecht voor het imago van uw organisatie.
Alle gebruikers van informatiesystemen dienen goede wachtwoorden te kiezen en zijn verantwoordelijk voor de geheimhouding van hun wachtwoorden en login-gegevens. Het gebruik van een sterk wachtwoord verkleint het risico dat het wachtwoord kan worden geraden of gekraakt. De sterkte van een wachtwoord wordt bepaald door de lengte, de complexiteit en de onvoorspelbaarheid. Zwakke wachtwoorden zijn vaak te kort of een te eenvoudig woord of te eenvoudige toetsencombinatie. Wanneer uw medewerkers bewust zijn van het gebruik van sterke wachtwoorden en uw organisatie dit goed faciliteert door o.a. tweefactorauthenticatie (dus een wachtwoord in combinatie met bijvoorbeeld een sms-code) of het gebruik van een eenmalige wachtwoord generator is informatie een stuk veiliger.
Er zijn diverse manieren waarop hackers proberen wachtwoorden van uw medewerkers te stelen. Denk hierbij aan phishing, social engineering, dumpster diving, shoulder surfing (meekijken over de schouder) of het gebruik van keyboard-loggers. Er zijn echter ook maatregelen nodig om de beveiliging, die verkregen kan worden door het gebruik van wachtwoorden, in stand te houden: encryptie en daaruit voortkomend sleutelbeheer.
Encryptie
Versleuteling (encryptie) is een manier om gegevens te beveiligen door ze onleesbaar te maken voor onbevoegden. Dit doe je als je informatie verzend via een onveilig communicatiekanaal zoals een openbare wifiverbinding. Hierdoor kun je je beschermen tegen bijvoorbeeld afluisteren en maak je een man-in-the-middle aanval moeilijker. Er zijn verschillende toepassingsvormen van cryptografie: versleuteling, berichtauthenticatie, hashfuncties en de digitale handtekening. Daarnaast kan encryptie ook worden toegepast op uitwisseling van bestanden, waardoor deze beveiligd met partners kunnen worden uitgewisseld. Vooral wanneer u werkt met gevoelige persoonsgegevens (bijvoorbeeld gezondheidsgegevens) kunnen extra beveiligingsmaatregelen waardevol zijn.
Sleutelbeheer
Wanneer uw organisatie encryptie toepast heeft u ook te maken met sleutelbeheer. Dit is het beheer van de ‘sleutel’ waarmee de encryptie ongedaan kan worden gemaakt en versleutelde berichten kunnen worden gelezen. Sleutelbeheer heeft betrekking op alle processen vanaf het genereren tot en met de vernietiging van sleutels en het geheel aan sleutelmateriaal. Bij versleuteling van gegevens geldt dat de versleutelde gegevens net zo lang toegankelijk zijn als de beschikbaarheid van de bijbehorende sleutel.
De wijze waarop u het sleutelbeheer inricht, wordt mede bepaald door de volgende keuzes:
Daarnaast stelt de Wet Elektronische Handtekening (WEH) eisen aan de manier waarop sleutels gegenereerd worden.
Bron: Audittrail | Foto: Audittrail
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.