Weblog
Weblog

Vier tips om jouw organisatie meer cyber secure te maken

02 jan. 2019
Naar overzicht

Privacy en veiligheid van data wordt steeds belangrijker. Bedrijven die hiermee de mist in gaan, worden tegenwoordig niet alleen door de media aan de schandpaal genageld, maar lopen ook de kans een fikse boete te krijgen van de autoriteit persoonsgegevens. Het is dus niet vreemd dat het vakgebied rondom ‘Information Security’ enorm groeit.

Grote kans dat jij ook bij een bedrijf werkt dat te maken heeft met privacy en veiligheid, misschien heb jij er in jouw functie zelfs direct mee te maken. Dan gaan de onderstaande tips jou zeker helpen om de security naar een hoger niveau te tillen.

1. Wees Secure by (Agile) Design

Veel organisaties werken tegenwoordig Agile en hebben DevOps teams. Deze teams werken in sprints aan verschillende user stories en ontwikkelen zo een product. Hier ligt gelijk de eerste verbeterkans, omdat er vaak vergeten wordt om security user stories te maken. Probeer eens met een DevOps team te bedenken wat abuser stories zouden zijn van jullie product en los die op. Abuser stories zijn hetzelfde als user stories alleen dan vanuit het oogpunt van een kwaadwillende.  

Een andere tip om Secure by Design meer te borgen is om een Security Officer aan je team toe te voegen of om enkele teamleden een security training te laten doen.

Meer weten over secure by design? Download hier (https://securesoftwarealliance.org/agile-secure-software-lifecycle-management-secure/) het gratis boekje van Barry Derksen.

2. Maak een proces om kwetsbaarheden die door externe partijen worden gevonden te verwerken.

Dit noemen ze ook wel een CVD (Coordinated Vulnerability Disclosure). Hackers of onderzoekers gaan steeds vaker op zoek naar kwetsbaarheden bij grote bedrijven. Als ze die vinden, maken ze die regelmatig kenbaar aan de betreffende partij voordat ze de kwetsbaarheid publiek maken.

Wellicht wil je een zogenaamde 'bug bounty' geven, een beloning voor het vinden en kenbaar maken van een kwetsbaarheid. Wat je zeker niet wilt, is hierdoor verrast worden. En je wilt hackers/onderzoekers duidelijk informeren over jullie aanpak. Daarom moet je hier een proces voor hebben klaarstaan. Voorbeeld nodig? Het NCSC (Nationaal Cyber Security Centrum) heeft hier (https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/nieuwsberichten/leidraad-coordinated-vulnerability-disclosure-helpt-organisaties-bij-eigen-cvd-beleid/1/WEB_115207_Brochure%2BNCSC_NL_A4.pdf) een voorbeeld!

3. Maak een plan voor als je gehackt bent.

Je doet er uiteraard alles aan om niet gehackt te worden, maar de kans blijft aanwezig dat jouw bedrijf toch een keer gehackt wordt. Wat gaan jullie dan communiceren en naar wie? Zelfs een gerenommeerd bedrijf als FOX-IT overkwam dit. Hoe zij ermee om gingen kun je hier (https://www.fox-it.com/en/insights/blogs/blog/fox-hit-cyber-attack/) lezen.

Een aantal dingen die je zeker moet meenemen in jouw plan zijn:

  • Communiceer overal één en dezelfde boodschap.
  • Wees de eerste die het naar buiten brengt.
  • Voorkom onduidelijkheid in wat je communiceert.

4. Probeer security bewustzijn vanuit een menselijk perspectief te benaderen.

Veel bewustwordingscampagnes focussen op het verstrekken van kennis. Mensen weten helemaal niet wat ze op dat moment met die kennis moeten doen, maar vervolgens vinden we het wel dom als mensen nooit hun wachtwoord veranderen of een gevonden USB stick in hun laptop steken en zo een veiligheidsrisico creëren. Wat beter werkt is zoeken naar een menselijke aanpak waar mensen hun gedrag door aanpassen.

Behalve kennis kan je ook tools aanbieden om bijvoorbeeld wachtwoordbeheer heel simpel te maken. Mensen confronteren kan ook heel sterk zijn. Creëer met een 'Pineapple device' eens een nep hotspot en laat mensen zien wat je nu van hun verkeer te weten kunt komen.

Maar het meest belangrijke is: laat security ook leuk zijn! Wij organiseerden bij NN bijvoorbeeld een Escape Room en stonden bij een ander event om mensen vragen te stellen over hoe zij met security omgaan terwijl we anonymous maskers op hadden. Zo komt bewustzijn op een leuke manier binnen en vertellen collega's elkaar daarna wat ze hebben geleerd: wat wil je nog meer?!

Natuurlijk zijn er nog veel meer manieren om een organisatie meer secure te maken. Mocht je daar in geïnteresseerd zijn, mag je zeker contact met mij(erwin.vanderzwaag@calco.nl) opnemen! Heb je zelf een goede tip deel die dan zeker ook!