Bescherm je je bedrijf genoeg tegen hackers?

Je beschermt je bedrijf tegen hackers als je…

Je medewerkers bewust maakt van de risico’s

Goed beveiligde systemen zijn belangrijk, maar je hebt er niet zoveel aan als je medewerkers er niet op een verantwoordelijke manier mee omgaan. Wanneer bedrijven gehackt worden, is de oorzaak in de meeste gevallen te herleiden naar menselijke fouten of nalatigheid. Het is dan ook cruciaal om bewustzijn te creëren bij je personeel en hen nadrukkelijk te wijzen op onder andere het belang van sterke wachtwoorden en het herkennen van phishing mails.

Uitgaat van een least privilege benadering

Natuurlijk wil je je personeel kunnen vertrouwen, echter doe je er goed aan als je medewerkers niet meer rechten geeft dan ze nodig hebben om hun werkzaamheden uit te kunnen voeren. Dit wordt ook wel een least privilege benadering genoemd; elke werknemer heeft dan voldoende gebruikersrechten om gegevens op te zoeken en applicaties te beheren, maar niet meer dan ze echt nodig hebben. Mocht een hacker er dan in slagen om een van je medewerkers te hacken, dan blijft de schade die de hacker kan aanrichten beperkt.

Een risk-based defense aanpak hanteert

Wanneer we spreken over risk-based defense dan hebben we het over een aanpak waarin de mate van beveiliging wordt afgestemd op het belang of de gevoeligheid van de betreffende gegevens. Met andere woorden: hoe hoger de prioriteit van de data, hoe beter deze data beveiligd moet worden. Bij deze proactieve cybersecurity strategie worden de prioriteiten meestal door de directie of het management gesteld, en zorgt de IT-afdeling dat er een adequate beveiliging wordt geïmplementeerd.

Software en systemen up to date houdt

Het updaten van software en systemen zijn taken die vaak worden uitgesteld – met alle gevolgen van dien. Eigenlijk zou je ervan uit moeten gaan dat elke melding over een nieuwe software update een waarschuwing is voor een zwakke plek in je systeem; een lek waar hackers misbruik van kunnen maken. Het installeren van de update zorgt dat die zwakke plek wordt gerepareerd, dus hoe sneller dat gebeurt hoe beter!

Maar hoe weet je of je bedrijf voldoende beschermd is?

Zelfs al je alle hierboven genoemde maatregelen hebt geïmplementeerd, kun je je nog steeds afvragen of je je bedrijf wel goed genoeg tegen hackers beschermt. Als je behoefte hebt aan meer zekerheid, dan kun je overwegen om een cybersecurity bedrijf in te schakelen die dit voor je onderzoekt. Dat kan op verschillende manieren, bijvoorbeeld door het uitvoeren van een:

Pentest

Pentesting (penetration testing) wordt gedaan door een ethische hacker in te schakelen. Deze white hat hacker tracht met gebruik van dezelfde methodes als criminele hackers actief om jouw computers, netwerken en systemen te kraken. Indien ze zwakke plekken tegenkomen, informeren ze jou hierover middels het verstrekken van een uitgebreid rapport. Op die manier krijg je veel meer inzicht in de mate waarop je bedrijf beveiligd is en of er nog kwetsbaarheden zijn die aangepakt kunnen worden. Voor pentesting zijn de afgelopen jaren allerlei standaarden ontwikkeld, zoals de Penetration Testing Execution Standard (PTES). Hierin wordt uitgebreid beschreven welke fases er doorlopen dienen te worden (Intelligence Gathering, Threat Modeling, Vulnerability Analysis, Exploitation, Reporting en Re-audit). Een pentest wordt uitsluitend met jouw expliciete toestemming en binnen vooraf afgesproken kaders uitgevoerd – vanzelfsprekend zonder dat er op wat voor manier dan ook schade wordt aangericht.

Bug bounty service

Een bug bounty service (ook wel bekend als Coordinated Vulnerability Disclosure programma) gaat nog een stapje verder dan een standaard pentest. Hierbij zet een cybersecurity bedrijf een programma op waar de ethische hackers die ze in hun netwerk hebben aan kunnen deelnemen. De uitdaging: jouw bedrijf hacken. Alle aangetroffen kwetsbaarheden worden in een overzichtelijk rapport gezet, en de ethische hackers die ze gevonden hebben ontvangen een beloning. Uiteraard gaan ook deze ethische hackers op een verantwoorde en discrete manier te werk. Bug bounty services kunnen heel grootschalig zijn en worden vooral toegepast door grote bedrijven.

Social engineering

Omdat hackers zich vaak richten op mensen in plaats van op systemen, kan het de moeite waard zijn om je medewerkers op de proef te stellen door middel van social engineering. Hierbij wordt bijvoorbeeld een neppe phishing mail verstuurd naar alle werknemers om te bekijken hoeveel van hen erin trappen en op de link klikken. Op basis van de resultaten van zo’n campagne kun je dan bepalen of er wellicht (meer) awareness trainingen of andere maatregelen nodig zijn.

Tot slot

Vanwege de toename aan cyberaanvallen op bedrijven en de geavanceerde methodes waarmee hackers te werk gaan, is alleen beveiligingsmaatregelen treffen vaak niet voldoende. Wacht niet tot het een keer mis gaat maar schakel een cybersecurity specialist in om je beveiliging te testen en uit te zoeken waar er nog ruimte is voor verbetering.