Vaak krijg ik de vraag van bedrijven wat ze moeten doen om veilig te zijn voor de buitenwereld, maar ook voor de interne medewerkers. De gesprekken gaan dan vaak over Firewalls, antivirus, anti malware en dergelijke. Dat is wel goed allemaal, maar het meest belangrijke word dan vaak vergeten.
Om echt veilig te zijn moet er gestart worden met een beveiligingsbeleid. Binnen het bedrijf waar ik voor werk, DeltaISIS hebben we mensen getraind in het begeleiden en maken van een op maat gemaakt beveiligingsbeleid.
Maar wat is nu een beveiligingsbeleid? Een goed beveiligingsbeleid beschrijft een aantal punten.
- Server security
- Netwerk security
- Cliënt security
- DMZ security
- Email en Internet beleid
Server security
Server security beschrijft een standaard waaraan elke server moet voldoen voordat deze operationeel geplaatst word. Het beschrijft de local security policy, inrichtingsspecificaties maar ook de local hardening.
Het testen van een server kan handmatig gedaan worden, maar dat leid vaak tot vergeten, of nog erger, niet doen. Er zijn echter goede tools om dit te doen. Altiris heeft een oplossing genaamd Altiris security expressions en Audit express. Met behulp van deze software is het niet alleen mogelijk om een server te scannen voordat hij live gaat, maar ook om op wekelijkse of maandelijkse basis te scannen. De rapportages die dan ontstaan kunnen vervolgens als KPI ( Key performance Indicator) gebruikt worden.
Netwerk security
Bij netwerk security worden alle componenten beschreven. Meestal denkt men dan alleen aan de firewall, maar er is natuurlijk veel meer.Denk eens aan subnetting! Door het gebruik van subnetting op grotere netwerken word het netwerk als het ware verdeelt in meerdere netwerken.
Ontstaat er een calamiteit op een segment door een Trojan Horse of een virus dan word de rest niet te snel besmet. Het beschrijft de firewall, de switches, maar ook componenten als scanner/printers, Proxy servers en patchpunt beveiliging.
Client security
Client security beschrijft waaraan een pc moet voldoen voordat hij gebruikt kan worden. De policy's moeten geladen zijn. De proxy moet gezet worden. Maar ook of de client wel in het netwerk mag.
Voor vaste pc's is dit niet al te ingewikkeld. Met behulp van Altiris security Expressions kunnen deze ook gescand worden. Maar vaak wil je continu weten of een pc wel voldoet. Zeker bij laptops die niet continu in het netwerk geplaatst zijn is dit vaak moeilijk. Ook hiervoor is er een oplossing. Met behulp van Symantec SEP 7 ( Security Endpoint Protection) monitort een agent continu een pc.
Op het moment dat de pc besmet raakt of niet voldoet dan sluit SEP de pc af van het netwerk en kan het virus zich niet verder verspreiden. Geïntegreerd in SEP 7 zit dan ook nog eens een heel mooie oplossing waarmee actief een WIFI of Bluetooth poort gemonitord word. Je wilt natuurlijk niet dat als een gebruiker op je secure netwerk is ingelogd deze de WIFI poort aan heeft staan en daarom via een Peer to Peer connectie je netwerk kompleet open zet. Meerdere malen hebben we al geconstateerd dat dit tot een groot risico op je netwerk leidt.
DMZ Security
Je DMZ is de toegang tot je netwerk, en alleen gescheiden door een firewall. Maar telkens weer zien we dat het DMZ ook meteen een groot risico is. DMZ servers die door de firewall toegestaan word om LDAP queries te doen zodat gebruikers maar 1 wachtwoord hoeven te onthouden. Dat zijn dus compleet open deuren voor kwaadwillende.
E-mail- en internetbeleid
Mogen je gebruikers zomaar alle Internet sites bezoeken en/of alle e-mail openen? Heb je dit ingeregeld op je proxy en/of je email server? Heel vaak lopen we dan achter de feiten aan. We kunnen simpelweg niet op elk moment van de dag weten wat wel en wat niet gevaarlijk is. In een goed beleid kunnen we gebruikers bewust maken van het gevaar van hun gedrag.
Het simpelweg blokkeren van alles waar het woord SEX in voorkomt lijkt een goede maatregel, maar je klant in Sussex die net een gigantische order heeft geplaatst word er niet blij van. En je baas ook niet want de order blijft steken in je email of firewall.
Beveiligingsbeleid
Wat zijn de belangrijkste punten waaraan je moet voldoen om een goed beveiligingsbeleid te hebben?
-
Het volledige management moet het beleid dragen. Je hebt niets aan een beleid als er geen sancties tegenover staan. Wat vaak als sanctie goed werkt is een aangetekende brief aan de gebruiker die zich niet volgens de regels gedraagt, en een aantekening in zijn/haar dossier. Indien het dan een periodieke beoordeling kan beïnvloeden, dan werkt het heel erg goed.
-
Je medewerkers moeten op de hoogte zijn van het beleid en dit regelmatig kunnen inzien. Plaats het op het intranet. Maar stuur het ook aan alle medewerkers.
-
Stel het NIET zelf op. Vaak over zie je dan zaken, en dat leid tot nog ergere gevolgen. Het geeft een vals gevoel van veiligheid. Huur een gespecialiseerde consultant in die het beleid voor je ontwerpt. Mensen van DeltaISIS zien vaak een falend beveiligingsbeleid en moeten het dan goed maken. En dan blijkt dat er cruciale zaken over het hoofd zijn gezien.
-
Selecteer in je bedrijf een vertrouwens persoon met een functie op HR of P&O, en een medewerker van ICT die je primair verantwoordelijk maakt voor een correcte naleving.
-
Koop geen monitor tools, maar selecteer een tool die in jouw omgeving niet alleen monitort, maar ook gebruikt kan worden voor auditing. Onder het motto voorkomen is beter dan genezen.
Maar vooral! Begin met een goed advies van een partij als DeltaISIS die de basis uitzet en als leidraad dient voor een juiste en correcte implementatie van je eigen bedrijfs security beleid.
Om even heel snel en beknopt te reageren, wordt het een en ander goed belicht wat betreft de veiligheid.
Helaas zie ik dit stukje, dat op zich goed beschreven is, als een soort reclame. Oke, reclame is prima als je maar een voorbeeld kan bekijken ipv van “wij kunnen dit voor u doen”. Verder zitten hier een aantal leuke tips om rekening mee te houden, zoals het opdelen van segmenten. Ik ben geen voorstander van Symantec producten, al is dat een persoonlijke keus.