7 instinkers in compliance - Die je bedrijf duur kunnen komen te staan

Security & Privacy compliance is meer dan het implementeren van governance, frameworks, maatregelen en het meten van de prestaties. Compliance zit in de finesse en details die voor iedere organisatie specifiek zijn. Dat maakt compliance niet alleen heel erg uitdagend en complex. Het is dan ook zo veel meer dan alleen een ‘vinkenlijstje’.

In deze editie ga ik in op 7 instinkers op gebied van compliance. Er is dan te veel vertrouwen en te weinig controle waardoor onbedoeld risico’s zich kunnen ontwikkelen tot werkelijke incidenten. Blijf dan ook zelfkritisch en neem niet te snel genoegen met het eerste antwoord.

1. Vertrouwen op standaardinstellingen: Standaardinstellingen zijn vaak niet voldoende veilig omdat ze mogelijk kwetsbaarheden bevatten of dat hierdoor ook standaard (admin)wachtwoorden gebruikt worden. Zorg ervoor dat systemen robuust zijn en voldoen aan de organisatie eisen. Dit betekent dat standaardinstellingen eigenlijk altijd een no-go zijn.
2. Onvoldoende fysieke beveiliging: Ook wel het ‘pasjessysteem’ genoemd. In een enkel geval nog een toegangssysteem met fysieke sleutels. Tel daarbij op dat deuren met een toegangssysteem tijdens kantoortijden wel eens ‘uitgeschakeld’ staan (of met het bekende wigje… ). Ook het meelopen met anderen gaat vaak vrij eenvoudig. Al met al, alleen fysieke beveiligingsmaatregelen genomen te hebben is niet voldoende. Het toepassen en borging hiervan vraagt ook om het juiste gedrag van medewerkers.
3. Overmatige rechten toekennen: Het cumuleren van rechten speelt een rol bij interne functiewisselingen. Hoewel de komst van een Active Directory cumulatie moeilijker werd. Het beheren van rechten blijft een punt van aandacht. Ook wanneer een medewerker tijdelijk aanvullende rechten heeft toegewezen gekregen is het belangrijk dat deze tijdig beoordeeld worden en zo nodig verlengd of ingetrokken.
4. Het gebruik van onbeveiligde verbindingen: Het onderhouden van je netwerk en componenten is belangrijk. De inzet van TLS en andere netwerkcomponenten hebben een houdbaarheidsdatum. Tijdig updaten naar een veiligere versie is belangrijk om te voorkomen dat de verbinding onbeveiligd raakt (of hiervoor kwetsbaarder wordt). Ook het beheer van licenties maakt hier onderdeel van uit. Een vervallen licentie heeft invloed op de beveiliging van de verbindingen.
5. Gebrek aan continuïteitsplanning: Voorbereiding is het halve werk. Vooraf nadenken en voorbereid zijn op verschillende scenario’s die de continuiteit bedreigen is belangrijk. Zeker nu de afhankelijkheid van derden zoals leveranciers, ISP’s, enz. maakt het noodzakelijk dit onderdeel zorgvuldig aan te pakken en niet te licht te denken dat het voor jouw organisatie het wel mee zal vallen. Ben ook hierin zelfkritisch!
6. Verkeerde configuratie van beveiligingstools: Foutje bedankt! Het configureren van alle tools is handwerk. Dat betekent ook dat een foutje (zie Crowdstrike) grote gevolgen kan hebben. Procedures, 4-ogenprincipe, gescheiden omgevingen en andere hulpmiddelen zijn nodig om een dergelijke cruciale fout te voorkomen. Met Crowdstrike waren ca. 8 miljoen apparaten getroffen. Maar bedenk dat door een verkeerde configuratie het hele netwerk en services plat komen te liggen.
7. Ongedocumenteerde processen: Een beheerdossier van het netwerk, componenten en systemen maar ook de werkwijzen en verdeling van rollen, taken en verantwoordelijkheden (in de vorm van processen en procedures) zorgt ervoor dat herstel en beheer efficient en effectief is. Zeker nadat het systeem of netwerk is uitgevallen. Op basis van deze documentatie (zoals de beschreven versies, instellingen en anders specificaties) is het beheer ook niet afhankelijk van alleen die ene beheerder.