Personeel binnen uw bedrijf heeft vaak toegang tot belangrijke informatie die niet zomaar in verkeerde handen mag vallen. Helaas is er vaak wel een risico dat dat gebeurt. CA heeft een aantal tips geformuleerd om de IT-risico’s die medewerkers, ex-werknemers en gedetacheerden kunnen vormen binnen de perken te houden.
1. Documenteer beveiligingsbeleid en -processen en leg ze op aan medewerkers door ze te automatiseren. Daardoor wordt het mogelijk om processen te volgen en na evaluatie aan te scherpen.
2. Verwijder accounts van oud-werknemers zo snel mogelijk. Ex-medewerkers of -gedetacheerden mogen geen toegang meer hebben tot informatie.
3. Neem ieder kwartaal alle gebruikers en de toegangsprivileges die ze hebben onder de loep. Het is zelfs mogelijk om privileges automatisch te laten verlopen na een bepaalde tijd. Mensen wisselen vaak van functie, en de privileges dienen daaraan aangepast te worden.
4. Zorg ervoor dat alle medewerkers weten dat er regels zijn op security-gebied en voer passende sancties uit wanneer ze zich er niet aan houden. Maak bijvoorbeeld duidelijk waarom wachtwoorden geheim moeten blijven en dus niet opgeschreven mogen worden.
5. Medewerkers hoeven alleen toegang te hebben tot de informatie die ze direct nodig hebben om hun werk te kunnen doen. Er is bijvoorbeeld maar een beperkt aantal mensen dat financiële of klantinformatie in hoeft te zien. Verstrek daarom alleen de toegangsrechten die strikt noodzakelijk zijn.
6. Ontwikkel een wachtwoordbeleid waarbij de gebruikte wachtwoorden niet gemakkelijk te raden zijn en regelmatig – maar niet te vaak – worden aangepast. Als het nodig is, zet dan ook sterkere authenticatiemogelijkheden in, zoals smartcards.
7. Vermijd het gebruik van generieke en gedeelde wachtwoorden. Zorg ervoor dat iedere beheerder of “administrator” een eigen, persoonsgebonden wachtwoord heeft. Daarmee is controle ook veel gemakkelijker. Dat maakt de handelingen van een beheerder traceerbaar, wat veelal noodzakelijk is voor interne of externe controles.
8. Wanneer een medewerker een andere functie krijgt of het bedrijf verlaat, moet zijn of haar account direct verwijderd worden.
9. Zorg voor een strikte functiescheiding, ook in het IT-systeem. De persoon die een verandering wil doorvoeren, mag niet dezelfde persoon zijn die de verandering moet goedkeuren.
10. Houd nauwkeurig loggegevens bij. Dan is het mogelijk om terug te zoeken wie of wat een probleem veroorzaakt kan hebben. Houd alle veranderingen in configuratie en verstrekte rechten nauwkeurig bij en zorg ervoor niemand die gegevens kan manipuleren.
11. Soms is het nodig om signalen uit verschillende IT-bronnen met elkaar in verband te brengen om te kunnen constateren dat er sprake is van een beveiligingsprobleem. Dat kan niet handmatig en moet dus geautomatiseerd worden.
12. Leg gebruikers geen onnodig grote druk op. Zorg bijvoorbeeld dat ze maar een beperkt aantal wachtwoorden hoeven te onthouden voor toegang tot verschillende systemen. Ook het vaak moeten aanpassen van wachtwoorden is niet goed. Het zorgt er alleen voor dat gebruikers het beveiligingsbeleid gaan proberen te omzeilen.