WhatsApp Facebook Twitter LinkedIn Mail

IT-security

Inhoudsopgave:

  1. Wat valt er onder IT-security?
  2. Risico’s omtrent IT-beveiliging
    1. Fysieke bedreigingen
    2. Bedreigingen vanuit software
    3. Bedreigingen vanuit de gebruiker
  3. Normen voor IT-security
  4. Verschillende soorten IT-security
    1. Network security
    2. Cyber security
    3. Cloud security
    4. Hardware security
  5. IT-security in een DMS-pakket
    1. Controle op de toegang
    2. Verschillende versies onderscheiden
    3. Bestanden encrypteren
    4. Digitaal handtekenen
    5. Traceerbaarheid van documenten

Wat is IT-security?

IT-security is het geheel van beveiligingsmaatregelen om ervoor te zorgen dat bedrijfsinformatie beschermd wordt. Hiervoor worden verschillende soorten technologie gebruikt. Het kan gaan over de beveiliging van digitale data, maar ook van data op fysieke dragers (die met technologische middelen beschermd worden).

Let op! De term cybersecurity wordt vaak als synoniem voor IT-security gebruikt, maar dit is niet helemaal hetzelfde. Cyber security is dat deel van IT-security dat ervoor zorgt dat bedrijfsdata beschermd worden van aanvallen via internet (cyberaanvallen). Bedreigingen komen echter ook uit andere hoeken.

Welke soorten IT-bedreigingen bestaan er?

Er zijn ontelbare IT-risico’s denkbaar en reëel. Deze kunnen opgedeeld worden in drie categorieën:

risico it security

Wat zijn de gevolgen van fysieke bedreigingen op IT-security?

De meest voordehandliggende vorm van fysieke bedreiging zijn incidenten op de plek waar de hardware zich bevindt. Denk hierbij aan brand, waterschade of een ingestort gebouw. De schade aan hardware zorgt er in dit geval vaak voor dat ook bedrijfsdata verloren gaan.

Fysieke bedreigingen moeten in IT-security echter in de brede zin van het woord opgevat worden. Ook alle informatie die door golven wordt doorgegeven, loopt een bepaald risico. De meest voorkomende vorm van data-uitwisseling via golven is wifi. In deze draadloze netwerken zitten sniffers, systemen die aan de gegevens van gebruikers ‘snuffelen’. Sniffers worden ingezet om het netwerk te controleren. Ze houden het dataverkeer van bedrijven in het oog en sporen verdachte uitwisselingen op. Maar, door een hacker kunnen ze ook ingezet worden om gebruikersgegevens, zoals gebruikersnamen en wachtwoorden, te achterhalen.

Welke schade kan software aanbrengen?

Ook software zelf kan een bedreiging vormen voor de data in een bedrijf. Denk daarbij aan virussen of bugs. De schade die software kan aanbrengen is misschien wel de meest bekende ICT-bedreiging, vandaar dat in het Engels ook vaak de term logic attacks (‘logische aanvallen’) gebruikt wordt. Deze bedreigingen kunnen ingedeeld worden in twee soorten:

  1. Niet-intentionele aanvallen: bij dit soort aanvallen maakt een ontwikkelaar een fout. Hierdoor draagt het systeem een beveiligingsrisico met zich mee, zoals bij bugs of exploits.
  2. Intentionele aanvallen: bij dit soort aanvallen wordt er een programma ontwikkeld om schade aan te richten. Dit gaat over malware, virussen, backdoors, spyware, jokes, dialers etc. Dit soort programma’s wordt voornamelijk gebruikt door mensen met slechte bedoelingen, zoals black hat hackers, ook wel crackers genoemd.

De gebruiker is de zwakste schakel in de beveiligingsketen

Gebruikers moeten goed opgeleid worden op IT-security gebied, en er moet controle zijn op hun gedrag. De meeste beveiligingsrisico’s zijn te wijten aan passief gedrag, de manier waarop medewerkers dag in dag uit bedrijfsdata verwerken. Verstrooidheid, een slechte dag of onwetendheid zorgen al snel voor potentiële veiligheidsrisico’s. Voorbeelden hiervan zijn het printen van data waarvan eigenlijk geen kopie mag bestaan, of het e-mailen van vertrouwelijke informatie.

In sommige gevallen kunnen gebruikers met slechte bedoelingen het systeem bewust zwakker maken of hacken. Dit is actief gedrag. Vaak zijn hackers volledige buitenstaanders, maar ze kunnen ook aan het eigen bedrijf gelinkt zijn, zoals een ex-werknemer.

Belangrijk: de belangrijkste maatregel die bedrijven kunnen nemen op het gebied van IT-security is opleiding van de gebruikers. Er kunnen nog zoveel technologische stappen gezet worden: zolang het personeel de voorschriften niet volgt, zijn bedrijfsdata niet geheel veilig.

Cursussen IT-security worden meestal gegeven in de onboarding-procedure van nieuwe werknemers. Alleen, dit is niet voldoende. Het personeel moet op periodieke wijze herinnerd worden aan de normen. Ook moeten er extra cursussen gegeven worden wanneer er wetswijzigingen doorgevoerd worden. Anders kunnen de voorgeschreven werkwijzen al snel vergeten worden, en vervangen worden door slechte gewoontes zoals deze:

  • Wachtwoorden in het zicht bewaren: veel werknemers schrijven hun wachtwoorden op een post-it en plakken die vervolgens op hun bureau. Handig voor hen, maar zo kent elke persoon die aan het bureau komt dit wachtwoord ook. Als de wachtwoorden daarnaast ook niet regelmatig veranderd worden, is het veiligheidsrisico al helemaal groot. Hoe vaak het wachtwoord veranderd moet worden, is afhankelijk van de gevoeligheid van de data en de bedrijfspolicy, en kan variëren van elke twee weken tot elke zes maanden.
  • Wachtwoorden opslaan: met de hoeveelheid aan systemen en verschillende wachtwoorden ligt het voor de hand om wachtwoorden op te slaan, of om te werken met een gedeeld wachtwoord voor verschillende systemen. Toch is dit niet altijd een veilige werkwijze. Zeker wanneer computers door meerdere mensen gebruikt worden, is dit een groot beveiligingsrisico.
  • E-mail gebruiken op externe apparaten: vaak kan de zakelijke e-mail ook geopend worden op persoonlijke apparaten, of computers die niet gekoppeld zijn met het de bedrijfsserver of het bedrijfsnetwerk. Het probleem hierbij is dat niet alle beveiligingsprotocollen gevolgd worden. In het minst slechte geval komt er hierdoor een lokaal virus op het betreffende apparaat te staan. Maar, er kunnen ook bedreigingen doordringen tot het e-mailsysteem zelf. Zo kunnen deze virussen dus tóch in het bedrijfsnetwerk terechtkomen. Ook is er het risico dat werknemers vanaf deze apparaten informatie en bijlagen downloaden.
  • Een eigen USB-stick gebruiken: medewerkers die een eigen USB-stick gebruiken op de werkvloer, veroorzaken een risico om zo virussen, malware, bugs etc. over te zetten op de hardware van het bedrijf.
  • Bedrijfsdocumenten mee naar huis nemen: onbeveiligde bedrijfsdocumenten die mee naar huis worden genomen, kunnen eenvoudig gedupliceerd worden of kwijtraken. Voor thuiswerkers is het veiliger de documentatie niet uit de beveiligde omgeving te halen, en te werken met systemen voor toegang op afstand, zoals VPN (Virtual Private Network).
  • Buitenstaanders het scherm laten zien: in sommige gevallen kunnen mensen met slechte bedoelingen veel ‘waardevolle’ informatie halen uit een blik op het scherm van de werknemers. Neem bijvoorbeeld een bank. Een bankbediende toont het scherm aan iemand die zich komt informeren over een lening. Deze persoon kan een hacker zijn, die hierdoor een eerste idee heeft van hoe er in het systeem kan worden ingebroken.

Een van de belangrijkste maatregelen is het creëren van bewustwording. Het personeel moet beseffen dat IT-security belangrijk is. Deze bewustwording kan op verschillende manieren tot stand komen. Bij de implementatie van nieuwe software kan de leverancier zelf bijvoorbeeld een workshop geven omtrent het systeem en ICT-beveiliging. Door de autoriteit van de leverancier wordt het thema waarschijnlijk serieuzer genomen.

Hoe zorgen normen en protocollen voor meer IT-security?

Naast de regels die het bedrijf of de softwarefabrikant oplegt, moeten ook regionale, nationale of internationale normen en wetten worden gevolgd. Waar geen enkel bedrijf omheen kan bijvoorbeeld is de Algemene Verordening Gegevensbescherming (AVG). De AVG onderscheidt drie niveaus van nodige IT-security, gebaseerd op de bedrijfsgrootte en het soort data. De niveaus zijn: basis, gemiddeld en hoog. Elk niveau heeft zijn specifieke regels voor het behandelen van persoonsgegevens. Zo kunnen datalekken, en de bijbehorende boetes, voorkomen worden.

Naast wetten, die bedrijven verplicht moeten volgen, bestaan er ook verschillende standaarden en normen die niet verplicht zijn, maar wel een positief effect hebben op de IT-security. De meest bekende internationale normen zijn de ISO-normen. De ISO 27001 specificeert bijvoorbeeld regels specifiek voor informatiebeveiliging. Een van deze regels bestaat eruit om regelmatig back-ups te maken. Deze back-ups moeten ook gecontroleerd worden en kunnen worden teruggezet indien nodig.

De back-upregel is een voorzorgsmaatregel die alle bedrijven sowieso maar beter kunnen nemen, onafhankelijk van of er een certificaat op het spel staat of niet. Er wordt ondernemingen aangeraden één keer per dag een back-up te maken. Er bestaan verschillende soorten back-ups. De meest gebruikte zijn volledige back-ups, differentiële back-ups en incrementele back-ups. Bij een volledige back-up wordt een kopie gemaakt van alle bestanden op het gekozen device of de server. Een differentiële en incrementele back-up zijn beide gedeeltelijke kopieën, maar de vorm is net iets anders:

  • Differentiële back-up: alle bestanden waarin iets veranderd is, worden geback-upt. Een bestand (bijvoorbeeld een Word-document) dat gewijzigd is ten opzichte van de vorige back-up, wordt dus in zijn geheel overschreven, ook al is er maar één puntje (bijvoorbeeld een karakter) veranderd ten opzichte van de vorige back-up.
  • Incrementele back-up: alleen de gegevens die veranderd zijn in bestanden worden geback-upt. Een bestand (bijvoorbeeld een Word-document) dat gewijzigd is ten opzichte van de vorige back-up, wordt dus niet in zijn geheel overschreven. Alleen het gewijzigde puntje (bijvoorbeeld een karakter) wordt toegevoegd of gewijzigd in de bestaande kopie.

Differentiële en incrementele back-ups nemen minder tijd in beslag dan volledige back-ups. Daarom maken veel bedrijven tijdens het weekend een volledige back-up en elke dag een differentiële of incrementele back-up. Zo wordt er tijd bespaard, maar zijn ze toch zeker van een volledige kopie die teruggezet kan worden mocht er iets gebeuren.

Welke soorten IT-security bestaan er?

IT-security is niet één concept. Er zijn veel manieren om IT-activiteiten te beveiligen, of om IT in te zetten voor de beveiliging van andere activiteiten. Over het algemeen worden deze vier soorten onderscheiden:

soorten ict beveiliging

Netwerkbeveiliging

Netwerkbeveiliging, ook bekend als network security, zorgt voor de beveiliging van een bedrijfsnetwerk. Dit betreft zowel hardware als software. Het zijn de netwerkbeheerders of systeembeheerders die verantwoordelijk zijn voor het intact houden van het bedrijfsnetwerk.

Een van de taken van netwerkbeheerders is de zoektocht naar zwakheden. Zodra deze gedetecteerd zijn, kunnen er proactief maatregelen genomen worden om deze punten te versterken. Zo wordt het netwerk beschermd tegen mogelijke vijandige aanvallen. Om de zwakke plekken bloot te leggen, wordt een audit uitgevoerd. Deze audit bestaat (minstens) uit:

  • Evaluatie van de toegangspunten
    • Is er een certificaat dat de kwaliteit van gebruikte kabels garandeert? Dit certificaat wordt uitgereikt wanneer bewezen is dat de kabels niet kunnen breken of worden geperforeerd.
    • Is de router geüpdatet? Zowel operationele updates als bugfixes en andere beveiligingsupdates zijn belangrijk.
    • Wordt de persoon die toegang probeert te krijgen gecontroleerd en eventueel geblokkeerd? Het is belangrijk dat onbevoegden geen toegang krijgen tot het netwerk, zowel fysiek als in de digitale vorm. Fysiek kan dit door gebruik te maken van toegangspasjes om bepaalde installaties te betreden. Digitaal kan de toegang tot het wifi-netwerk beperkt worden tot wie het wachtwoord kent.
  • Revisie van de apparaten: zijn de software, browsers, en antivirusprogramma’s geüpdatet op alle computers? Als een van deze computers niet geactualiseerd is, kan een beveiligingsrisico ontstaan, en kan een black hat hacker sneller infiltreren.
  • Controle op de gebruikers: respecteren alle gebruikers de beveiligingsvoorschriften en beleidsprotocollen? Dit soort protocollen kunnen zijn: blokkering van verdachte internetpagina’s, geen externe USB-sticks en CD-roms gebruiken, alleen bestanden met toegestane formaten en die gescand zijn door het antivirusprogramma uploaden etc.

Om de objectiviteit te behouden, wordt er aangeraden om de audit door een externe partij te laten doen. Zodra de resultaten bekend zijn, moeten deze aan het management gecommuniceerd worden. De manager of het managementteam zal bepalen of aanpassingen nodig zijn, en wie deze aanpassingen zal doorvoeren. In sommige gevallen kan dit intern opgevangen worden door het ICT-team. In andere gevallen zal er een externe, gespecialiseerde partij bijgehaald moeten worden. Het is belangrijk dat het steeds duidelijk is wie welke aanpassingen gedaan heeft aan de beveiliging of het netwerk. Dit heeft met verantwoordelijkheid te maken. Mocht er een fout of lek opduiken, dan moet dit probleem opgelost worden door wie gewerkt heeft aan de beveiliging of het netwerk: het eigen bedrijf, de auditor of een derde partij. Een extra maatregel die genomen kan worden zodra aanpassingen gedaan zijn, is een scan met een Network Intrusion Detection System (NIDS). Deze scan onderwerpt het zwakke punt aan een test om te kijken of het nu wel in orde is, en er geen mogelijkheid meer is om in het netwerk binnen te dringen.

Veel bedrijven zijn terughoudend tegenover software-updates. Dit komt omdat sommige personalisaties niet meer werken na een update. Toch is dit een gevaarlijke aanpak. Zo worden namelijk beveiligingsrisico’s genomen die de bedrijfsdata kunnen compromitteren. Naast het regelmatig updaten van software zijn er nog andere voorzorgsmaatregelen die een bedrijf kunnen redden. Dit zijn bijvoorbeeld: de toevoeging van willekeurige woorden aan eenvoudig te raden wachtwoorden, de halfjaarlijkse verplichte wijziging van wachtwoorden, toegangscontrole en honeypots.

Cyberbeveiliging

Via cyberbeveiliging, ook wel cyber security of internet security genoemd in het Engels, proberen bedrijven zich te beschermen tegen de onzekerheden die het internet met zich meebrengt. Cyberbeveiliging heeft dus te maken met de informatie die verzonden en ontvangen wordt via het internet.

Cyberbeveiliging is nauw verwant aan netwerkbeveiliging. De twee overlappen elkaar zelfs vaak, bijvoorbeeld wanneer een software-applicatie gebruik maakt van het wifi-netwerk. In dit geval wordt er een firewall, anti-malware of anti-spyware gebruikt om ervoor te zorgen dat de informatie uit de applicaties niet verspreid wordt over het hele netwerk.

Let op! Een firewall kan ook bepaalde applicaties blokkeren. Afhankelijk van de instellingen van de firewall zullen werknemers bepaalde populaire applicaties wel of niet kunnen gebruiken. Denk hierover dus na bij het opzetten van de firewall.

Een andere maatregel om de beveiliging op het web te bewaren, is het instellen van TCP/IP-protocollen en de encryptie van websites met een Secure Sockets Layer (SSL). Andere beveiligingsmaatregelen zijn tokens, WebSockets, end-to-end-encryptie etc.

Beveiliging van clouddiensten

Door het toenemende gebruik van de cloud, wordt ook de beveiliging van deze diensten, of cloud security, steeds belangrijker. Bedrijven doen er goed aan bepaalde protocollen op te zetten, zeker in het geval van een hybride of openbare cloud-omgeving. Deze protocollen kunnen bijvoorbeeld te maken hebben met de manier waarop in de cloud gewerkt wordt, met toegangscontrole, met encryptie etc. Ook bij software in de cloud is het belangrijk dat er geen verdachte bestanden geüpload worden. Een bestand dat een virus bevat, zou dit virus namelijk kunnen verspreiden.

De gebruikers blijven dus een grote verantwoordelijkheid dragen, maar bij de meeste clouddiensten zorgt de leverancier van de software voor de beveiliging van het systeem en de servers zelf. Dit komt omdat de meeste software in de cloud aangeschaft wordt in SaaS-vorm. Dit is een groot verschil ten opzichte van het on-premise model, waar het bedrijf zelf de software en hardware in bezit heeft, en dus ook instaat voor de beveiliging ervan. Of clouddiensten op het vlak van beveiliging een voor- of nadeel zijn, hangt af van de situatie. Een bedrijf dat een gespecialiseerd team in vast dienstverband heeft, zal liever de controle houden en on-premise voor de correcte beveiliging zorgen. Maar een bedrijf dat zo’n team niet heeft, kan maar beter vertrouwen op de expertise van een cloud-partner.

Let op! Bij een systeem in de cloud kan de locatie van het datacenter belangrijk zijn om wettelijke redenen. Bepaalde wetten en richtlijnen verplichten bedrijven bijvoorbeeld om hun servers in Europa te houden.

Beveiliging van apparaten

De beveiliging van apparaten wordt ook wel end-point security genoemd. Dit zijn maatregelen die ervoor zorgen dat de data beveiligd wordt op het moment dat ze binnenkomen en verzonden worden via apparaten. Met apparaten bedoelen we in dit verband bijvoorbeeld PC’s, laptops, tablets, smartphones, draadloze POS-systemen etc.

In de eerste plaats moet elk apparaat dat verbonden wordt met het bedrijfsnetwerk hiervoor toestemming krijgen. Dit kan gaan over apparaten aangekocht door het bedrijf zelf, maar ook over persoonlijke apparaten. In veel bedrijven krijgen medewerkers namelijk de mogelijkheid om hun eigen mobiel, laptop of tablet te gebruiken voor werkgerelateerde taken. Zowel de softwareleverancier als de bedrijfsleider kunnen apparaten autoriseren, of deze autorisatie intrekken. Wanneer een apparaat gestolen wordt, moet dit dan ook zo snel mogelijk bij een van deze twee personen gemeld worden.

De meest voorkomende manier om apparaten te beveiligen is het gebruik van een Virtual Private Network (VPN). Wanneer een gebruiker toegang wil krijgen tot dit netwerk, via eender welk apparaat, moet hij of zij zich eerst identificeren door middel van een gebruikersnaam en wachtwoord. Een bekend voorbeeld is het VPN dat universiteiten vaak gebruiken voor studenten en onderwijzend personeel. Wanneer een niet-geautoriseerd persoon binnen probeert te dringen, zal zijn of haar digitale vingerafdruk geregistreerd worden. De toegang wordt geweigerd en de leverancier krijgt een melding van het incident, zodat de nodige maatregelen genomen kunnen worden.

Ten slotte kunnen bedrijven apparaten ook letterlijk afsluiten van buiten. Zo kan de USB-poort onbruikbaar gemaakt worden. Op deze manier kunnen werknemers via die weg geen externe bestanden uploaden. Ook platformen die geen uitsluitsel geven over de veiligheid kunnen geband worden. Platformen die niet garanderen dat de data in de EU wordt opgeslagen, kunnen bijvoorbeeld geblokkeerd worden. Er wordt zo op twee fronten gestreden: tegen malware of virussen, en tegen datalekken.

Welke IT-beveiligingsregels zitten er in een DMS-oplossing?

Veel belangrijke bedrijfsdata staan opgeslagen in documenten. Een documentbeheersysteem speelt dus een grote rol bij IT-security. Er zijn verschillende maatregelen voorzien in dit soort systemen:

Toegangscontrole en autorisatieniveaus

In de eerste plaats moet ervoor gezorgd worden dat niemand onbevoegd toegang krijgt tot het DMS-pakket. Hiervoor wordt in de eerste plaats gebruik gemaakt van toegangscontrole door middel van gebruikersnaam en wachtwoord. Zodra de werknemer ingelogd is, zal deze ook alleen die bestanden of mappen te zien krijgen waarvoor hij of zij autorisatie heeft. Ook kunnen er op basis van autorisatieniveau andere beperkingen opgelegd worden, zoals het niet kunnen bewerken van een bestand. Leidinggevenden kunnen de account van een werknemer blokkeren, maar zien uiteraard de gebruikersnaam en het wachtwoord niet. Zo wordt voorkomen dat documenten in naam van een ander gewijzigd worden.

Interessant: het is in de meeste DMS-pakketten ook mogelijk om tijdelijk toegang te geven tot het systeem, een bepaalde map of een specifiek bestand. Deze tijdelijke toegang kan van lange duur zijn, bijvoorbeeld gedurende een heel bouwproject, of erg gelimiteerd zijn, bijvoorbeeld 10 minuten inkijktijd.

Rigoureus versiebeheer

In principe is er in een document management systeem altijd bekend welke versies er bestaan van een bestand. Om er zeker van te zijn dat versies goed onderscheiden worden, is het echter belangrijk dat er ook regels worden gesteld aan het downloaden en printen van een bestand. Zodra een bestand gedownload of geprint wordt, is de controle erover in principe verloren. Dan kan het fysiek of via elektronische wegen (zoals e-mail) verstuurd worden. Dit kan duplicatie tot gevolg hebben, of de bestanden kunnen in handen vallen van mensen met slechte bedoelingen. Maar, er kan wel geregistreerd worden wie de informatie gedownload heeft en wanneer. Ook kan het gewoonweg onmogelijk gemaakt worden om bepaalde bestanden uit het systeem te halen.

Encryptie

Een extra maatregel is de encryptie van bestanden en mappen. Bij encryptie ligt er een soort code op de bestanden, waardoor ze zonder de juiste software niet te lezen zijn. Mocht een bestand dus uit het DMS-pakket ‘ontsnappen’, is dit niet leesbaar voor buitenstaanders.

Elektronisch tekenen

De elektronische handtekening is een functionaliteit die kan voorkomen dat bestanden worden geprint, getekend en weer gescand. Dit laatste brengt namelijk heel wat risico met zich mee. De kans is bijvoorbeeld groot dat de fysieke kopie blijft ronddwalen.

Traceerbaarheid

De laatste maatregel, die eerder geneest dan voorkomt, is het toevoegen van een traceerbaarheidmodule. Deze module zorgt ervoor dat er van elk bestand bekend is welke bewerkingen erop gemaakt zijn, wanneer dit gebeurde en door wie. Zo kunnen fouten en veiligheidsrisico’s snel opgespoord worden, en kan er een passende oplossing gezocht worden.

Dit artikel als bron gebruiken? Klik en kopieer.

European Knowledge Center for Information Technology (Ed.). (2020, 24 maart). IT-security. ICT Portal. https://www.ictportal.nl/ict-lexicon/it-security