Een datalek bij een grote overheidsorganisatie of een telefoonaanbieder. Deze berichten verschijnen (te) vaak in onze newsfeed. En als toonaangevende organisatie kun je zo’n security issue écht niet permitteren. Nu kun je een datalek niet altijd voorkomen, maar je er zo goed mogelijk op voorbereiden kan natuurlijk wel.
Stel je komt bij ons, GX, omdat je XperienCentral wilt afnemen. Wij leveren jouw externe softwarepakket. Welke voorbereidingen kun je dan treffen? Lees mijn tien tips hieronder.
Zo ben jij zo goed mogelijk voorbereid
Tip 1: Wijs een CISO aan als contactpunt
Maak van de Chief Information Security Officer het contactpunt voor security-gerelateerde communicatie vanuit GX. Als er geen CISO is benoemd binnen jouw organisatie, neem dan contact op met de IT-afdeling om te achterhalen wie het aanspreekpunt is voor alle security-gerelateerde zaken.
Tip 2: TPM- en ISO-27001 verklaring regelen
Breng de organisatie intern op de hoogte van het feit dat GX een TPM (Third Party Memorandum) - en ISO-27001-verklaringen kan leveren. Zorg ervoor dat alle relevante belanghebbenden op de hoogte zijn. Deze verklaringen zijn voornamelijk in IT-auditnormenkaders voor overheidsinstellingen en financiële organisaties zeer gewenst.
Tip 3: Check de verwerkersovereenkomst
Achterhaal of er al een verwerkersovereenkomst met ons én je andere leveranciers of partners is. Controleer de inhoud regelmatig, misschien moet je de overeenkomst aanscherpen of uitbreiden gezien de aard van de samenwerking tussen jouw organisatie en GX?
Tip 4: Stel een Content Security Policy in
Met de introductie van XperienCentral R39 is het instellen van een Content Security Policy (CSP) een vereiste geworden. Het is verstandig om je hierop voor te bereiden omdat het van groot belang is om een goede CSP te kunnen configureren. Houd er rekening mee dat het bepalen van een juiste CSP tijd kost, neem deze tijd er ook voor
Tip 5: Denk na over een CSP beheerproces
Dit is belangrijk omdat er vaak aanpassingen nodig zijn vanwege technische of inhoudelijke wijzigingen op je website. Het ongecontroleerd aanpassen van de CSP kan grote gevolgen hebben voor de werking van je website. Voor XperienCentral kun je hierover meer informatie krijgen via de Customer Service van GX.
Tip 6: Update software regelmatig
Door software regelmatig te updaten verminder je beveiligingsproblemen. XperienCentral krijgt vier keer per jaar een nieuwe release, waardoor die regelmatige update erg belangrijk is. Mis hem één keer en je loopt al achter. Als vuistregel adviseren we je minimaal eens per jaar een upgrade door te voeren.
Tip 7: Minimaliseer afhankelijkheden
Neem dit echt mee als overweging in de (door)ontwikkeling van je website. Dit betekent dat je er verstandig aan doet om een inventarisatie te maken van zulke externe afhankelijkheden. Vraag dit aan je ontwikkelaars en maak vervolgens een plan om deze afhankelijkheden zoveel mogelijk te beperken of elimineren.
Tip 8: Gebruik een SSO inlogproces
Aan deze automatische inlogmethode, ook wel bekend als Single Sign On, kun je functies toevoegen zoals Multi Factor Authentication (MFA). Voor XperienCentral raden we SSO als verbetering van het inlogproces voor redacteuren altijd aan.
Tip 9: Log automatisch in met AD
Het automatisch inloggen (SSO) maakt gebruik van de Organisatie Active Directory (AD). Dat is dezelfde directory die wordt gebruikt wanneer je inlogt op je normale PC of laptop met je werkaccount. Zo kan de authenticatie naadloos worden geïntegreerd tussen XperienCentral en de bestaande infrastructuur van de organisatie.
Tip 10: Geen AD, maar Mailtokens
Als je organisatie ervoor kiest om niet over te stappen op de Organisatie Active Directory (AD), kun je nog steeds de toegang tot de redactieomgeving van XperienCentral veiliger maken. Hoe? Met een mailtoken, een standaardfunctionaliteit binnen XperienCentral. Net als bij tip 5,het CSP beheerproces, neem je contact op met de XperienCentral Customers Services voor meer informatie.
Dit waren ze, mijn tips. En omdat ik het niet kan laten, nog een extra tip. Want we hebben het gehad over SSO, en met een SSO kun je ook eenvoudig en efficiënt (toegangs)rechten van medewerkers beheren. Dit is voor organisatie vaak heel belangrijk bij functiewijzigingen, in-en uitdienstreding. Zo maak je het je organisatie eenvoudiger.
Over de auteur:
Deze blog is geschreven door Michel Teunissen, Business Architect bij GX met Online Security als specialisme. Heb je vragen over security-gerelateerde zaken, stuur Michel een mail.
