Iedereen vindt online security belangrijk. Maar goede hardening, waarmee je IT-veiligheidsrisico’s beperkt, is best ingewikkeld. In deze blog geef ik je zeven tips die je IT-organisatie een stuk weerbaarder maken.
Hardening betekent letterlijk harden of verharden. In relatie tot IT betekent hardening dat je je systemen, applicaties en infrastructuur minder kwetsbaar maakt.
Organisaties zijn hier vanuit verschillende perspectieven mee bezig. In de eerste plaats is er natuurlijk een intrinsieke motivatie. Als organisatie wil je incidenten rondom online security zoveel mogelijk voorkomen. Die kunnen je primaire processen en zeker je imago namelijk behoorlijk wat schade toebrengen. Daarnaast moét je als organisatie in een bepaalde sector aan specifieke eisen voldoen, bijvoorbeeld als je binnen de overheid of financiële sector actief bent.
Wat het perspectief ook is: ik merk dat er bij veel organisaties nog een behoorlijk gat gaapt tussen het gewenste niveau van veiligheid en de praktijk. Het Cybersecuritybeeld 2020 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid bevestigt dat er op zijn zachtst gezegd nogal wat ruimte is voor verbetering. "De afgelopen periode laat wederom zien dat incidenten voorkomen hadden kunnen worden of dat de schade beperkt had kunnen worden met behulp van basismaatregelen", zo schreef hij. "Die worden door lang niet alle organisaties getroffen."
Begrijpelijk wel, want je hebt namelijk best wat specialistische kennis nodig om hardening op alle verschillende niveaus door te voeren én te onderhouden. Met onderstaande tips richt ik me op wat nodig is om een serieuze online omgeving ‘secure’ te krijgen en houden.
Daarom: 7 tips voor een veiligere online-omgeving
1. Gebruik de CIS Benchmarks voor je systeem
CIS, het gerenommeerde Center for Internet Security, heeft op haar website meer dan 140 configuratierichtlijnen gepubliceerd voor verschillende vormen van hardening. Ikzelf maak altijd dankbaar gebruik van deze lijsten, die zijn opgesteld door cybersecurity experts uit de hele wereld. Kies de benchmark-documenten voor de door jou gebruikte softwarecomponenten en ga ermee aan het werk.
2. Gebruik de OWASP top 10 voor je website
Het OWASP top 10 document benoemt de tien belangrijkste veiligheidsrisico’s voor webapplicaties. Altijd fijn om bij de hand te hebben als je je website aan het hardenen bent.
3. Voeg Content Security Policy toe
Website security is meestal reactief. Content Security Policy is pro-actief. Door gebruik te maken van CSP laat jouw website aan de browser zien wat jouw website allemaal nodig heeft. Browsers bewaken dat vervolgens voor je.
In de praktijk betekent dit dat als iemand jouw website bezoekt met een device waar een virus op draait, de uitwerking van dat virus geblokkeerd wordt door de browser. Daar profiteer jij mogelijk van, maar zeker de bezoeker. Zo kan het zijn dat een virus in je browser Javascript toevoegt die je website heel wat anders laat doen met bijvoorbeeld de formulieren binnen je website.
4. Gebruik single sign-on
Met single sign-on hoeven de gebruikers maar één keer in te loggen om gebruik te maken van alle interne applicaties en systemen. Hiervoor gebruik je een Active Directory. Als er voor gebruikers maar één aanmeldprocedure is, wordt je werk als security verantwoordelijke een stuk overzichtelijker. Je kunt je dan volledig focussen op het beveiligen van deze procedure.
5. Zorg voor software-certificering of een TPM-verklaring
Hiermee toon je aan dat jouw systemen, infrastructuur en applicaties voldoen aan bepaalde veiligheidseisen. Nog waardevoller is een Third Party Memorandum, een verklaring van een onafhankelijke IT-auditor.
6. Zorg voor goed onderhoud
Hardening is nooit af. In je systeem, infrastructuur en applicaties worden continu aanpassingen gedaan die gevolgen hebben voor de veiligheid. Als je je daarvan bewust bent, regelmatig penetratietesten laat uitvoeren en handelt indien nodig, ben je al een stuk weerbaarder.
7. Zorg dat je lifecycle management op orde is
Met goed lifecycle management zijn je software en systemen altijd up-to-date. Als je dat niet doet, neem je bewust een risico. Als je gebruik maakt van cloud-diensten zorgt je leverancier voor deze updates, maar check dit natuurlijk wel altijd even.
Let wel, bovenstaande lijst is niet volledig. Maar: als je al deze adviezen opvolgt, kun je jezelf al wel een stuk geruster voelen over de digitale veiligheid van jouw organisatie én makkelijker voldoen aan de security processen. Waar wacht je nog op?
