2018 wordt het jaar van GDPR, de Europese richtlijn die ervoor moet zorgen dat bedrijven persoonlijke informatie van inwoners van de EU beschermen. Tegen 25 mei 2018 moet u als bedrijf ‘de nodige technische en organisatorische maatregelen’ nemen. Het is voor vele ondernemingen niet evident om de overvloed aan theoretische informatie en frameworks over dit thema – zoals de ISO27002 – op een praktische manier te vertalen. Daarom lijsten we op basis van onze jarenlange ervaring tien technische ‘best practices’ op die uw bedrijf zeker zou moeten toepassen,
ook indien er geen sprake zou zijn van GDPR.
1. Verwijder oude accounts
Hoeveel gebruikers telt uw ondernemingen in bijvoorbeeld ‘Microsoft Active Directory’? Zijn alle ex-medewerkers gedeactiveerd of verwijderd? Zorg voor een procedure waarbij de accounts van ex-medewerkers gedeactiveerd worden en wijzig de paswoorden. Plan daarnaast een halfjaarlijkse schoonmaak in en neem dan definitief afscheid van oude accounts. Doe dit zowel op niveau van Windows als binnen uw bedrijfsapplicaties.
2. Update de anti-malware van uw devices
Hebben alle devices binnen uw onderneming een anti-malware oplossing? Is deze up-to-date? Regelmatig stellen we vast dat in ondernemingen niet alle devices zichtbaar zijn in de anti-malware console. Een goed beheer van up-to-date anti-malware bij alle devices is een must.
3. Voer regelmatige updates uit
Gebruikt u nog oude XP-toestellen of Windows 2003-servers? Dergelijke hardware wordt niet meer ondersteund. Bovendien voldoen de security-instellingen van oude toestellen doorgaans niet meer aan de nieuwe eisen. Leveranciers van hardware en software zorgen daarom voor regelmatige (security) updates. Vervang dus uw oude toestellen en werk een concreet updateplan uit voor uw verschillende componenten (servers, desktops, applicaties, firewalls, hypervisors, … ).
Tweede subtitel
4. Zorg voor een veilige webserver
Vaak wordt een webserver extern gehost. Toch blijft een goede security belangrijk, net als het gebruik van https met officiële certificaten. Staat uw publieke webserver nog intern op eigen hardware? Zorg er tenminste voor dat deze in een beveiligde zone (DMZ) staat met een sterke firewall beveiliging en strikte regels.
5. Controleer uw firewall
Is uw firewall goed geconfigureerd? Wanneer werd deze voor de laatste keer door een externe specialist gecontroleerd? We merken dat er regelmatig regels blijven staan die niet meer in gebruik zijn of die niet het principe ‘meest strikte security’ volgen. Denk maar aan de mogelijkheid om een mail te versturen van alle toestellen. Alles toelaten vanuit het interne netwerk naar het internet is evenzeer uit den boze.
6. Voer een streng paswoordbeleid in
Vandaag mag u als onderneming geen vrijheid meer toestaan op het vlak van paswoorden. Zorg minstens voor een paswoordbeleid met minimum 10 karakters, complex, met wijziging maximaal om de 6 maand en geen gebruikers met ‘never expire’.
7. Hernoem de domain account administrator
Bijna elke onderneming heeft een Windows-omgeving. Met welke gebruiker gaat een hacker het liefst aan de slag? Inderdaad, met uw domain administrator account. Hernoem daarom uw domain account ‘administrator’ naar een willekeurig andere naam, dit maakt het voor de hackers al een heel stuk moeilijker.
8. Creëer aparte system accounts
Logt uw IT-medewerker dagelijks aan met een persoonlijke account die bovendien over administrator rechten beschikt? Dit is not done. Gebruikers die soms extra rechten nodig hebben, hebben nood aan een aparte system account. Ze gebruiken deze account enkel indien de extra rechten nodig zijn en zeker niet bij de dagelijkse activiteiten. Worden bepaalde taken zoals back-ups nog uitgevoerd onder uw administrator account? Pas deze eveneens aan en gebruik specifieke service accounts zoals ‘SVC_Backup’.
9. Gebruik een air-gapped backup
Standaard wordt steeds meer backup naar disk (NAS/Backup server) toegepast. In het kader van disaster recovery en cryptolockers is het geen overbodige luxe om ook over een echte externe (air-gapped) backup te beschikken. Het gebruik van tapes kan je vandaag perfect opvangen met goed beveiligde cloud oplossingen zoals Veeam Cloud Connect.
10. Omarm encryptie
Een belangrijke technische maatregel die aan bod komt in GDPR is het gebruik van encryptie:
- Indien er bedrijfsdata op mobiele devices (laptops) aanwezig is - gebruik encryptie om de data te beschermen (zoals Microsoft bitlocker).
- Is er een HR-medewerker die extra beveiliging nodig heeft? Producten als SafeHouse kunnen helpen om een extra beveiliging in te voeren voor folders/bestanden.
- Hebt u een cloud backup? Zorg dat de externe opslag geëncrypteerd is.
Bovenstaande maatregelen vormen een eerste basis rond technische maatregelen om zowel de security als de GDPR-compliancy binnen uw bedrijf te verhogen. Hebt u deze uitgevoerd? Documenteer dan deze maatregelen. Het kan altijd van pas komen als u moet aantonen dat u de nodige maatregelen genomen hebt.
Meer weten?
Er zijn nog tal van acties mogelijk om uw IT-security naar een nog hoger niveau te tillen.
Ontdek meer info over onze IT Security scan, Cloud Backup, GDPR, Orbid Cloud of ISO 27001/2.
Of contacteer ons, dan geven we graag meer toelichting rond onze pragmatische aanpak.