IT-security

Inhoudsopgave:

1. Wat valt er onder IT-security?
2. Risico’s omtrent IT-beveiliging
   1. Fysieke bedreigingen
   2. Bedreigingen vanuit software
   3. Bedreigingen vanuit de gebruiker
3. Normen voor IT-security
4. Verschillende soorten IT-security
   1. Network security
   2. Cyber security
   3. Cloud security
   4. Hardware security
5. IT-security in een DMS-pakket
   1. Controle op de toegang
   2. Verschillende versies onderscheiden
   3. Bestanden encrypteren
   4. Digitaal handtekenen
   5. Traceerbaarheid van documenten

Wat is IT-security?

IT-security is het geheel van beveiligingsmaatregelen om ervoor te zorgen dat bedrijfsinformatie beschermd wordt. Hiervoor worden verschillende soorten technologie gebruikt. Het kan gaan over de beveiliging van digitale data, maar ook van data op fysieke dragers (die met technologische middelen beschermd worden).

Let op! De term cybersecurity wordt vaak als synoniem voor IT-security gebruikt, maar dit is niet helemaal hetzelfde. Cyber security is dat deel van IT-security dat ervoor zorgt dat bedrijfsdata beschermd worden van aanvallen via internet (cyberaanvallen). Bedreigingen komen echter ook uit andere hoeken.

Welke soorten IT-bedreigingen bestaan er?

Er zijn ontelbare IT-risico’s denkbaar en reëel. Deze kunnen opgedeeld worden in drie categorieën:

Wat zijn de gevolgen van fysieke bedreigingen op IT-security?

De meest voordehandliggende vorm van fysieke bedreiging zijn incidenten op de plek waar de hardwareDe hardware van een informatiesysteem is de materiële component, alles wat je fysiek kan aanraken. Voorbeelden hiervan zijn de computermuis, het scherm, het toetsenbord, de processor, de harde schijf etc. Om een informatiesysteem te doen werken, moet deze hardware aangedreven worden door verschillende programma’s, die niet materieel zijn. Zo is er een besturingssysteem nodig (zoals Windows of MacOS), en wordt er vaak extra software geïnstalleerd voor de uitvoering van specifieke taken. Dit kunnen eenvoudige taken zijn zoals tekstverwerking, maar ook video-editing of zelfs de gehele Enterprise Resource Planning. zich bevindt. Denk hierbij aan brand, waterschade of een ingestort gebouw. De schade aan hardware zorgt er in dit geval vaak voor dat ook bedrijfsdata verloren gaan.

Fysieke bedreigingen moeten in IT-security echter in de brede zin van het woord opgevat worden. Ook alle informatie die door golven wordt doorgegeven, loopt een bepaald risico. De meest voorkomende vorm van data-uitwisseling via golven is wifi. In deze draadloze netwerken zitten sniffers, systemen die aan de gegevens van gebruikers ‘snuffelen’. Sniffers worden ingezet om het netwerk te controleren. Ze houden het dataverkeer van bedrijven in het oog en sporen verdachte uitwisselingen op. Maar, door een hacker kunnen ze ook ingezet worden om gebruikersgegevens, zoals gebruikersnamen en wachtwoorden, te achterhalen.

Welke schade kan software aanbrengen?

Ook softwareOnder software verstaan we alle programma’s en applicaties die ervoor zorgen dat een informatiesysteem naar behoren werkt. Dit zijn niet-materiële componenten, in tegenstelling tot hardware. Software kan je dus niet aanraken, maar is wel nodig om een informatiesysteem taken te laten uitvoeren. Deze programma’s zorgen er onder andere voor dat een computer gebruikt kan worden voor tekstverwerking, om te surfen op het internet of om video’s te bewerken. zelf kan een bedreiging vormen voor de data in een bedrijf. Denk daarbij aan virussen of bugs. De schade die software kan aanbrengen is misschien wel de meest bekende ICT-bedreiging, vandaar dat in het Engels ook vaak de term logic attacks (‘logische aanvallen’) gebruikt wordt. Deze bedreigingen kunnen ingedeeld worden in twee soorten:

1. Niet-intentionele aanvallen: bij dit soort aanvallen maakt een ontwikkelaar een fout. Hierdoor draagt het systeem een beveiligingsrisico met zich mee, zoals bij bugs of exploits.
2. Intentionele aanvallen: bij dit soort aanvallen wordt er een programma ontwikkeld om schade aan te richten. Dit gaat over malware, virussen, backdoors, spyware, jokes, dialers etc. Dit soort programma’s wordt voornamelijk gebruikt door mensen met slechte bedoelingen, zoals black hat hackers, ook wel crackers genoemd.

De gebruiker is de zwakste schakel in de beveiligingsketen

Gebruikers moeten goed opgeleid worden op IT-security gebied, en er moet controle zijn op hun gedrag. De meeste beveiligingsrisico’s zijn te wijten aan passief gedrag, de manier waarop medewerkers dag in dag uit bedrijfsdata verwerken. Verstrooidheid, een slechte dag of onwetendheid zorgen al snel voor potentiële veiligheidsrisico’s. Voorbeelden hiervan zijn het printen van data waarvan eigenlijk geen kopie mag bestaan, of het e-mailen van vertrouwelijke informatie.

In sommige gevallen kunnen gebruikers met slechte bedoelingen het systeem bewust zwakker maken of hacken. Dit is actief gedrag. Vaak zijn hackers volledige buitenstaanders, maar ze kunnen ook aan het eigen bedrijf gelinkt zijn, zoals een ex-werknemer.

Belangrijk: de belangrijkste maatregel die bedrijven kunnen nemen op het gebied van IT-security is opleiding van de gebruikers. Er kunnen nog zoveel technologische stappen gezet worden: zolang het personeel de voorschriften niet volgt, zijn bedrijfsdata niet geheel veilig.

Cursussen IT-security worden meestal gegeven in de onboardingOnboarding of de integratie van nieuwe werknemers is meer dan het welkom heten van nieuwe werknemers. Het gaat ook verder dan het regelen van praktische zaken, zoals toegang tot bedrijfssoftware of het bestellen van een werkuniform. Bij onboarding wordt de medewerker namelijk helemaal wegwijs gemaakt in de nieuwe werkomgeving en in zijn of haar rol binnen het bedrijf. Het idee is dat de nieuwe collega zich echt thuis gaat voelen en zich betrokken voelt bij de activiteiten van het bedrijf.-procedure van nieuwe werknemers. Alleen, dit is niet voldoende. Het personeel moet op periodieke wijze herinnerd worden aan de normen. Ook moeten er extra cursussen gegeven worden wanneer er wetswijzigingen doorgevoerd worden. Anders kunnen de voorgeschreven werkwijzen al snel vergeten worden, en vervangen worden door slechte gewoontes zoals deze:

• Wachtwoorden in het zicht bewaren: veel werknemers schrijven hun wachtwoorden op een post-it en plakken die vervolgens op hun bureau. Handig voor hen, maar zo kent elke persoon die aan het bureau komt dit wachtwoord ook. Als de wachtwoorden daarnaast ook niet regelmatig veranderd worden, is het veiligheidsrisico al helemaal groot. Hoe vaak het wachtwoord veranderd moet worden, is afhankelijk van de gevoeligheid van de data en de bedrijfspolicy, en kan variëren van elke twee weken tot elke zes maanden.
• Wachtwoorden opslaan: met de hoeveelheid aan systemen en verschillende wachtwoorden ligt het voor de hand om wachtwoorden op te slaan, of om te werken met een gedeeld wachtwoord voor verschillende systemenSingle Sign-On is een werkwijze waarbij werknemers via één aanmeldprocedure meteen toegang krijgen tot verschillende bedrijfsapplicaties. Bij aanmelding op hun desktop computer zijn ze bijvoorbeeld direct ingelogd bij alle software op die computer. Vandaar dat het systeem in het Nederlands eenmalig inloggen wordt genoemd. Er bestaan twee manieren van eenmalig inloggen:. Toch is dit niet altijd een veilige werkwijze. Zeker wanneer computers door meerdere mensen gebruikt worden, is dit een groot beveiligingsrisico.
• E-mail gebruiken op externe apparaten: vaak kan de zakelijke e-mail ook geopend worden op persoonlijke apparaten, of computers die niet gekoppeld zijn met het de bedrijfsserver of het bedrijfsnetwerk. Het probleem hierbij is dat niet alle beveiligingsprotocollen gevolgd worden. In het minst slechte geval komt er hierdoor een lokaal virus op het betreffende apparaat te staan. Maar, er kunnen ook bedreigingen doordringen tot het e-mailsysteem zelf. Zo kunnen deze virussen dus tóch in het bedrijfsnetwerk terechtkomen. Ook is er het risico dat werknemers vanaf deze apparaten informatie en bijlagen downloaden.
• Een eigen USB-stick gebruiken: medewerkers die een eigen USB-stick gebruiken op de werkvloer, veroorzaken een risico om zo virussen, malware, bugs etc. over te zetten op de hardware van het bedrijf.
• Bedrijfsdocumenten mee naar huis nemen: onbeveiligde bedrijfsdocumenten die mee naar huis worden genomen, kunnen eenvoudig gedupliceerd worden of kwijtraken. Voor thuiswerkers is het veiliger de documentatie niet uit de beveiligde omgeving te halen, en te werken met systemen voor toegang op afstand, zoals VPN (Virtual Private Network)Een VPN is een privénetwerk (LAN) dat uitgebouwd is over een bestaand netwerk (meestal het internet). Extra veiligheidsmaatregelen kunnen worden toegevoegd, zoals het blokkeren van bepaalde websites..
• Buitenstaanders het scherm laten zien: in sommige gevallen kunnen mensen met slechte bedoelingen veel ‘waardevolle’ informatie halen uit een blik op het scherm van de werknemers. Neem bijvoorbeeld een bank. Een bankbediende toont het scherm aan iemand die zich komt informeren over een lening. Deze persoon kan een hacker zijn, die hierdoor een eerste idee heeft van hoe er in het systeem kan worden ingebroken.

Een van de belangrijkste maatregelen is het creëren van bewustwording. Het personeel moet beseffen dat IT-security belangrijk is. Deze bewustwording kan op verschillende manieren tot stand komen. Bij de implementatie van nieuwe software kan de leverancier zelf bijvoorbeeld een workshop geven omtrent het systeem en ICT-beveiliging. Door de autoriteit van de leverancier wordt het thema waarschijnlijk serieuzer genomen.

Hoe zorgen normen en protocollen voor meer IT-security?

Naast de regels die het bedrijf of de softwarefabrikant oplegt, moeten ook regionale, nationale of internationale normen en wetten worden gevolgd. Waar geen enkel bedrijf omheen kan bijvoorbeeld is de Algemene Verordening Gegevensbescherming (AVG)De General Data Protection Regulation (GDPR), of Algemene Verordening Gegevensbescherming (AVG) is een uniforme Europese wet die de bescherming van persoonsgegevens verzekert. Ze overschreef op 25 mei 2018 de nationale privacywetten, zoals de Nederlandse Wet bescherming persoonsgegevens (Wbp).. De AVG onderscheidt drie niveaus van nodige IT-security, gebaseerd op de bedrijfsgrootte en het soort data. De niveaus zijn: basis, gemiddeld en hoog. Elk niveau heeft zijn specifieke regels voor het behandelen van persoonsgegevens. Zo kunnen datalekken, en de bijbehorende boetes, voorkomen worden.

Naast wetten, die bedrijven verplicht moeten volgen, bestaan er ook verschillende standaarden en normen die niet verplicht zijn, maar wel een positief effect hebben op de IT-security. De meest bekende internationale normen zijn de ISO-normenDe ISO-normen zijn internationale standaarden voor de optimalisatie van bedrijfsprocessen, opgesteld door de International Organization for Standardization. De leden van de ISO zijn afgevaardigden van nationale normalisatie-instituten zoals de Hoofdcommissie voor de Normalisatie van Nederland (NEN), en het Bureau voor Normalisatie in België (NBN). Deze afgevaardigden stellen de ISO-normen in consensus op. Deze overeenstemming wordt opgetekend in een Engelstalig document en te koop aangeboden door de ISO. Nationale organisaties bieden ook vertalingen aan. ISO-normen zijn geen wetten die een bedrijf verplicht moet volgen, maar ISO kan wel een houvast zijn voor het verbeteren van bijvoorbeeld kwaliteitsmanagement (ISO 9001), informatieveiligheidsmanagement (ISO 27001) en milieumanagement (ISO 14001). Er is bovendien ook de mogelijkheid om je te laten certificeren voor één of meerdere ISO-richtlijnen. Deze certificering is een soort keurmerk dat kan helpen bij het overtuigen van potentiële klanten om een bepaald product of dienst aan te schaffen. Zo kan een bedrijf zijn positie op de markt versterken.. De ISO 27001 specificeert bijvoorbeeld regels specifiek voor informatiebeveiliging. Een van deze regels bestaat eruit om regelmatig back-upsBack-ups zijn kopieën van data. Deze kopieën worden bewaard op een andere plaats dan de originele data, zoals op externe servers, een externe harde schijf, in een datacenter via een cloudservice etc. Zo kunnen de data steeds worden teruggehaald, mochten ze op hun originele locatie verloren gaan of gestolen worden. Het maken van back-ups is een van de belangrijkste elementen van IT-security. De meeste bedrijven maken ze sowieso, maar back-ups zijn ook verplicht voor organisaties die een bepaalde ISO-norm willen behalen, zoals de norm ISO 27001 voor informatiebeveiliging. te maken. Deze back-ups moeten ook gecontroleerd worden en kunnen worden teruggezet indien nodig.

De back-upregel is een voorzorgsmaatregel die alle bedrijven sowieso maar beter kunnen nemen, onafhankelijk van of er een certificaat op het spel staat of niet. Er wordt ondernemingen aangeraden één keer per dag een back-upBack-ups zijn kopieën van data. Deze kopieën worden bewaard op een andere plaats dan de originele data, zoals op externe servers, een externe harde schijf, in een datacenter via een cloudservice etc. Zo kunnen de data steeds worden teruggehaald, mochten ze op hun originele locatie verloren gaan of gestolen worden. Het maken van back-ups is een van de belangrijkste elementen van IT-security. De meeste bedrijven maken ze sowieso, maar back-ups zijn ook verplicht voor organisaties die een bepaalde ISO-norm willen behalen, zoals de norm ISO 27001 voor informatiebeveiliging. te maken. Er bestaan verschillende soorten back-ups. De meest gebruikte zijn volledige back-ups, differentiële back-ups en incrementele back-ups. Bij een volledige back-up wordt een kopie gemaakt van alle bestanden op het gekozen device of de server. Een differentiële en incrementele back-up zijn beide gedeeltelijke kopieën, maar de vorm is net iets anders:

• Differentiële back-up: alle bestanden waarin iets veranderd is, worden geback-upt. Een bestand (bijvoorbeeld een Word-document) dat gewijzigd is ten opzichte van de vorige back-up, wordt dus in zijn geheel overschreven, ook al is er maar één puntje (bijvoorbeeld een karakter) veranderd ten opzichte van de vorige back-up.
• Incrementele back-up: alleen de gegevens die veranderd zijn in bestanden worden geback-upt. Een bestand (bijvoorbeeld een Word-document) dat gewijzigd is ten opzichte van de vorige back-up, wordt dus niet in zijn geheel overschreven. Alleen het gewijzigde puntje (bijvoorbeeld een karakter) wordt toegevoegd of gewijzigd in de bestaande kopie.

Differentiële en incrementele back-ups nemen minder tijd in beslag dan volledige back-ups. Daarom maken veel bedrijven tijdens het weekend een volledige back-up en elke dag een differentiële of incrementele back-up. Zo wordt er tijd bespaard, maar zijn ze toch zeker van een volledige kopie die teruggezet kan worden mocht er iets gebeuren.

Welke soorten IT-security bestaan er?

IT-security is niet één concept. Er zijn veel manieren om IT-activiteiten te beveiligen, of om IT in te zetten voor de beveiliging van andere activiteiten. Over het algemeen worden deze vier soorten onderscheiden:

Netwerkbeveiliging

Netwerkbeveiliging, ook bekend als network security, zorgt voor de beveiliging van een bedrijfsnetwerk. Dit betreft zowel hardware als software. Het zijn de netwerkbeheerders of systeembeheerders die verantwoordelijk zijn voor het intact houden van het bedrijfsnetwerk.

Een van de taken van netwerkbeheerders is de zoektocht naar zwakheden. Zodra deze gedetecteerd zijn, kunnen er proactief maatregelen genomen worden om deze punten te versterken. Zo wordt het netwerk beschermd tegen mogelijke vijandige aanvallen. Om de zwakke plekken bloot te leggen, wordt een audit uitgevoerd. Deze audit bestaat (minstens) uit:

• Evaluatie van de toegangspunten
  • Is er een certificaat dat de kwaliteit van gebruikte kabels garandeert? Dit certificaat wordt uitgereikt wanneer bewezen is dat de kabels niet kunnen breken of worden geperforeerd.
  • Is de router geüpdatet? Zowel operationele updates als bugfixes en andere beveiligingsupdates zijn belangrijk.
  • Wordt de persoon die toegang probeert te krijgen gecontroleerd en eventueel geblokkeerd? Het is belangrijk dat onbevoegden geen toegang krijgen tot het netwerk, zowel fysiek als in de digitale vorm. Fysiek kan dit door gebruik te maken van toegangspasjes om bepaalde installaties te betreden. Digitaal kan de toegang tot het wifi-netwerk beperkt worden tot wie het wachtwoord kent.
• Revisie van de apparaten: zijn de software, browsers, en antivirusprogramma’s geüpdatet op alle computers? Als een van deze computers niet geactualiseerd is, kan een beveiligingsrisico ontstaan, en kan een black hat hacker sneller infiltreren.
• Controle op de gebruikers: respecteren alle gebruikers de beveiligingsvoorschriften en beleidsprotocollen? Dit soort protocollen kunnen zijn: blokkering van verdachte internetpagina’s, geen externe USB-sticks en CD-roms gebruiken, alleen bestanden met toegestane formaten en die gescand zijn door het antivirusprogramma uploaden etc.

Om de objectiviteit te behouden, wordt er aangeraden om de audit door een externe partij te laten doen. Zodra de resultaten bekend zijn, moeten deze aan het management gecommuniceerd worden. De manager of het managementteam zal bepalen of aanpassingen nodig zijn, en wie deze aanpassingen zal doorvoeren. In sommige gevallen kan dit intern opgevangen worden door het ICT-team. In andere gevallen zal er een externe, gespecialiseerde partij bijgehaald moeten worden. Het is belangrijk dat het steeds duidelijk is wie welke aanpassingen gedaan heeft aan de beveiliging of het netwerk. Dit heeft met verantwoordelijkheid te maken. Mocht er een fout of lek opduiken, dan moet dit probleem opgelost worden door wie gewerkt heeft aan de beveiliging of het netwerk: het eigen bedrijf, de auditor of een derde partij. Een extra maatregel die genomen kan worden zodra aanpassingen gedaan zijn, is een scan met een Network Intrusion Detection System (NIDS). Deze scan onderwerpt het zwakke punt aan een test om te kijken of het nu wel in orde is, en er geen mogelijkheid meer is om in het netwerk binnen te dringen.

Veel bedrijven zijn terughoudend tegenover software-updates. Dit komt omdat sommige personalisaties niet meer werken na een update. Toch is dit een gevaarlijke aanpak. Zo worden namelijk beveiligingsrisico’s genomen die de bedrijfsdata kunnen compromitteren. Naast het regelmatig updaten van software zijn er nog andere voorzorgsmaatregelen die een bedrijf kunnen redden. Dit zijn bijvoorbeeld: de toevoeging van willekeurige woorden aan eenvoudig te raden wachtwoorden, de halfjaarlijkse verplichte wijziging van wachtwoorden, toegangscontroleToegangscontrole, of Access Control in het Engels, is een veiligheidsmaatregel die verzekert dat alleen de bevoegde personen of apparaten toegang krijgen tot bepaalde systemen of fysieke locaties. Deze controle is een onderdeel van Identity and Access Management. Meestal wordt er gebruik gemaakt van een toegangspasje, gebruikersnaam en wachtwoord, een vingerafdruk, gezichtsherkenning of een irisscan. en honeypotsEen honeypot is een computersysteem dat gebouwd is om virussen en malware aan te trekken. Zo kunnen deze bedreigingen geanalyseerd worden, en kunnen de bedrijfsessentiële systemen beter beveiligd worden..

Cyberbeveiliging

Via cyberbeveiliging, ook wel cyber security of internet security genoemd in het Engels, proberen bedrijven zich te beschermen tegen de onzekerheden die het internet met zich meebrengt. Cyberbeveiliging heeft dus te maken met de informatie die verzonden en ontvangen wordt via het internet.

Cyberbeveiliging is nauw verwant aan netwerkbeveiliging. De twee overlappen elkaar zelfs vaak, bijvoorbeeld wanneer een software-applicatie gebruik maakt van het wifi-netwerk. In dit geval wordt er een firewall, anti-malware of anti-spyware gebruikt om ervoor te zorgen dat de informatie uit de applicaties niet verspreid wordt over het hele netwerk.

Let op! Een firewall kan ook bepaalde applicaties blokkeren. Afhankelijk van de instellingen van de firewall zullen werknemers bepaalde populaire applicaties wel of niet kunnen gebruiken. Denk hierover dus na bij het opzetten van de firewall.

Een andere maatregel om de beveiliging op het web te bewaren, is het instellen van TCP/IP-protocollenTCP/IP is een verbindingsprotocol dat ervoor zorgt dat gegevens worden ontvangen op exact dezelfde manier als dat ze verzonden werden, zonder communicatiefouten. en de encryptie van websites met een Secure Sockets Layer (SSL)Een Secure Sockets Layer (SSL) is een encryptieprotocol dat zorgt voor de beveiligde communicatie tussen systemen. Meestal gaat het hierbij om een verbinding tussen een webbrowser en de server die de bezochte website gebruikt, maar het kan ook gaan om bedrijfssoftware die communiceert met externe servers. Een SSL-verbinding is vooral belangrijk wanneer er gevoelige gegevens doorgegeven worden, zoals bij internetbankieren, of aankopen via e-commerce.. Andere beveiligingsmaatregelen zijn tokens, WebSockets, end-to-end-encryptie etc.

Beveiliging van clouddiensten

Door het toenemende gebruik van de cloudCloud computing is het gebruik van software of opgeslagen gegevens (database) via een netwerk, meestal het internet. Bedrijfssoftware of een database in de cloud kan op uw eigen servers worden geïnstalleerd of op de servers van een derde partij. Een bedrijf hoeft bovendien niet volledig voor de cloud of het lokale model te kiezen: lokaal geïnstalleerde software kan in veel gevallen perfect gebruik maken van een online database., wordt ook de beveiliging van deze diensten, of cloud securityHoe veilig is de cloud? Het maken van duidelijke afspraken met leveranciers van cloud-oplossingen is hierbij cruciaal. Er moeten zowel afspraken gemaakt worden voor online als fysieke beveiliging van respectievelijk de cloud en de servers. Voor wat betreft online veiligheid is het belangrijk dat de leverancier in het bezit is van geldige certificaten op het gebied van online databeveiliging en cloud security. Daarnaast moet de privacy-waarborg helder zijn, zoals het respecteren van de Wet Bescherming Persoonsgegevens en het ontzeggen van toegang voor derde partijen. De leverancier moet heldere beveiligingsrichtlijnen hanteren om de dienst zo veilig mogelijk te maken. Het versleutelen van de datastromen en –opslag is hier een voorbeeld van., steeds belangrijker. Bedrijven doen er goed aan bepaalde protocollen op te zetten, zeker in het geval van een hybride of openbare cloud-omgeving. Deze protocollen kunnen bijvoorbeeld te maken hebben met de manier waarop in de cloud gewerkt wordt, met toegangscontroleToegangscontrole, of Access Control in het Engels, is een veiligheidsmaatregel die verzekert dat alleen de bevoegde personen of apparaten toegang krijgen tot bepaalde systemen of fysieke locaties. Deze controle is een onderdeel van Identity and Access Management. Meestal wordt er gebruik gemaakt van een toegangspasje, gebruikersnaam en wachtwoord, een vingerafdruk, gezichtsherkenning of een irisscan., met encryptie etc. Ook bij software in de cloud is het belangrijk dat er geen verdachte bestanden geüpload worden. Een bestand dat een virus bevat, zou dit virus namelijk kunnen verspreiden.

De gebruikers blijven dus een grote verantwoordelijkheid dragen, maar bij de meeste clouddiensten zorgt de leverancier van de software voor de beveiliging van het systeem en de servers zelf. Dit komt omdat de meeste software in de cloud aangeschaft wordt in SaaS-vormSaaS-licenties zijn licenties die periodiek gefactureerd worden. SaaS staat voor Software as a Service. De leverancier biedt de oplossing dus niet te koop aan, maar factureert voor het gebruik ervan.. Dit is een groot verschil ten opzichte van het on-premise modelLetterlijk vertaald betekent “on-premise” in het Nederlands “op locatie” of “ter plaatse”. Wanneer iets dus on-premise staat of gebeurt, wordt er verwezen naar de eigen locatie. In een bedrijfscontext kan je dit zien als de fysieke ruimte van het eigen bedrijf. Wanneer we over software spreken, betekent een installatie on-premise dat de software binnen de eigen IT-infrastructuur wordt geplaatst. De software wordt hierbij op de eigen servers geïnstalleerd, en niet, zoals het geval is bij cloud computing, op externe servers., waar het bedrijf zelf de software en hardware in bezit heeft, en dus ook instaat voor de beveiliging ervan. Of clouddiensten op het vlak van beveiliging een voor- of nadeel zijn, hangt af van de situatie. Een bedrijf dat een gespecialiseerd team in vast dienstverband heeft, zal liever de controle houden en on-premise voor de correcte beveiliging zorgen. Maar een bedrijf dat zo’n team niet heeft, kan maar beter vertrouwen op de expertise van een cloud-partner.

Let op! Bij een systeem in de cloud kan de locatie van het datacenter belangrijk zijn om wettelijke redenen. Bepaalde wetten en richtlijnen verplichten bedrijven bijvoorbeeld om hun servers in Europa te houden.

Beveiliging van apparaten

De beveiliging van apparaten wordt ook wel end-point security genoemd. Dit zijn maatregelen die ervoor zorgen dat de data beveiligd wordt op het moment dat ze binnenkomen en verzonden worden via apparaten. Met apparaten bedoelen we in dit verband bijvoorbeeld PC’s, laptops, tablets, smartphones, draadloze POS-systemenEen POS-systeem is een computergestuurd kassasysteem. Een klassieke kassa is alleen bedoeld is voor het afrekenen van goederen. Een POS-systeem doet dit uiteraard ook, maar beschikt daarnaast over extra informatie zoals een actuele voorraadindicatie, klantgegevens en verkoopstatistieken. Het computergestuurde kassasysteem kan de gegevens bijhouden van één verkoopkanaal, maar ook van alle verschillende verkooppunten of -kanalen. Zo kunnen digitale klantenkaarten bijvoorbeeld in elk filiaal van een elektronicawinkel opgeroepen worden. Ook kan een medewerker in de fysieke winkel een artikel afrekenen dat via e-commerce besteld is. etc.

In de eerste plaats moet elk apparaat dat verbonden wordt met het bedrijfsnetwerk hiervoor toestemming krijgen. Dit kan gaan over apparaten aangekocht door het bedrijf zelf, maar ook over persoonlijke apparaten. In veel bedrijven krijgen medewerkers namelijk de mogelijkheid om hun eigen mobiel, laptop of tablet te gebruiken voor werkgerelateerde takenBring Your Own Device (BYOD) refereert aan de trend waarbij werknemers privé-apparatuur meenemen naar het werk. Ze gebruiken hun eigen laptop, tablet of mobiele telefoon dus om werktaken uit te voeren. De trend komt vooral voort uit de steeds toenemende wens van werknemers om flexibel te kunnen werken.. Zowel de softwareleverancier als de bedrijfsleider kunnen apparaten autoriseren, of deze autorisatie intrekken. Wanneer een apparaat gestolen wordt, moet dit dan ook zo snel mogelijk bij een van deze twee personen gemeld worden.

De meest voorkomende manier om apparaten te beveiligen is het gebruik van een Virtual Private Network (VPN)Een VPN is een privénetwerk (LAN) dat uitgebouwd is over een bestaand netwerk (meestal het internet). Extra veiligheidsmaatregelen kunnen worden toegevoegd, zoals het blokkeren van bepaalde websites.. Wanneer een gebruiker toegang wil krijgen tot dit netwerk, via eender welk apparaat, moet hij of zij zich eerst identificeren door middel van een gebruikersnaam en wachtwoordToegangscontrole, of Access Control in het Engels, is een veiligheidsmaatregel die verzekert dat alleen de bevoegde personen of apparaten toegang krijgen tot bepaalde systemen of fysieke locaties. Deze controle is een onderdeel van Identity and Access Management. Meestal wordt er gebruik gemaakt van een toegangspasje, gebruikersnaam en wachtwoord, een vingerafdruk, gezichtsherkenning of een irisscan.. Een bekend voorbeeld is het VPN dat universiteiten vaak gebruiken voor studenten en onderwijzend personeel. Wanneer een niet-geautoriseerd persoon binnen probeert te dringen, zal zijn of haar digitale vingerafdruk geregistreerd worden. De toegang wordt geweigerd en de leverancier krijgt een melding van het incident, zodat de nodige maatregelen genomen kunnen worden.

Ten slotte kunnen bedrijven apparaten ook letterlijk afsluiten van buiten. Zo kan de USB-poort onbruikbaar gemaakt worden. Op deze manier kunnen werknemers via die weg geen externe bestanden uploaden. Ook platformen die geen uitsluitsel geven over de veiligheid kunnen geband worden. Platformen die niet garanderen dat de data in de EU wordt opgeslagen, kunnen bijvoorbeeld geblokkeerd worden. Er wordt zo op twee fronten gestreden: tegen malware of virussen, en tegen datalekken.

Welke IT-beveiligingsregels zitten er in een DMS-oplossing?

Veel belangrijke bedrijfsdata staan opgeslagen in documenten. Een documentbeheersysteemVeel bedrijven hebben moeite om documenten terug te vinden, erin samen te werken, of ze correct te archiveren. Een Document Management Systeem kan zorgen voor meer orde en efficiëntie in het beheer van documenten en documentstromen. Maar hoe doet deze software dat precies? speelt dus een grote rol bij IT-security. Er zijn verschillende maatregelen voorzien in dit soort systemen:

Toegangscontrole en autorisatieniveaus

In de eerste plaats moet ervoor gezorgd worden dat niemand onbevoegd toegang krijgt tot het DMS-pakket. Hiervoor wordt in de eerste plaats gebruik gemaakt van toegangscontroleToegangscontrole, of Access Control in het Engels, is een veiligheidsmaatregel die verzekert dat alleen de bevoegde personen of apparaten toegang krijgen tot bepaalde systemen of fysieke locaties. Deze controle is een onderdeel van Identity and Access Management. Meestal wordt er gebruik gemaakt van een toegangspasje, gebruikersnaam en wachtwoord, een vingerafdruk, gezichtsherkenning of een irisscan. door middel van gebruikersnaam en wachtwoord. Zodra de werknemer ingelogd is, zal deze ook alleen die bestanden of mappen te zien krijgen waarvoor hij of zij autorisatieIdentity and Access Management is een parapluterm voor het beheer van gebruikers en hun toegangsrechten binnen een (bedrijfs)netwerk. Het idee is hierbij dat een bedrijf de controle kan houden over wie inlogt en bewerkingen doet in de systemen, applicaties, databases etc. Dit kunnen werknemers zijn, maar ook klanten of leveranciers. heeft. Ook kunnen er op basis van autorisatieniveau andere beperkingen opgelegd worden, zoals het niet kunnen bewerken van een bestand. Leidinggevenden kunnen de account van een werknemer blokkeren, maar zien uiteraard de gebruikersnaam en het wachtwoord niet. Zo wordt voorkomen dat documenten in naam van een ander gewijzigd worden.

Interessant: het is in de meeste DMS-pakketten ook mogelijk om tijdelijk toegang te geven tot het systeem, een bepaalde map of een specifiek bestand. Deze tijdelijke toegang kan van lange duur zijn, bijvoorbeeld gedurende een heel bouwproject, of erg gelimiteerd zijn, bijvoorbeeld 10 minuten inkijktijd.

Rigoureus versiebeheer

In principe is er in een document management systeem altijd bekend welke versiesWanneer documenten regelmatig worden aangepast is versiebeheer van documenten geen overbodige luxe. Medewerkers hebben toegang tot de centraal opgeslagen documenten en kunnen zien wat de meest recente versie is. Daarnaast is te zien of er aanpassingen zijn gemaakt in het document, wanneer dat is gebeurd en wie dat heeft gedaan. Hierdoor ontstaan er geen onduidelijkheden over wat de meest recente versies zijn van alle bedrijfsdocumenten. Word-documenten vergelijken behoort daarmee tot het verleden. er bestaan van een bestand. Om er zeker van te zijn dat versies goed onderscheiden worden, is het echter belangrijk dat er ook regels worden gesteld aan het downloaden en printen van een bestand. Zodra een bestand gedownload of geprint wordt, is de controle erover in principe verloren. Dan kan het fysiek of via elektronische wegen (zoals e-mail) verstuurd worden. Dit kan duplicatie tot gevolg hebben, of de bestanden kunnen in handen vallen van mensen met slechte bedoelingen. Maar, er kan wel geregistreerd worden wie de informatie gedownload heeft en wanneer. Ook kan het gewoonweg onmogelijk gemaakt worden om bepaalde bestanden uit het systeem te halen.

Encryptie

Een extra maatregel is de encryptie van bestanden en mappen. Bij encryptie ligt er een soort code op de bestanden, waardoor ze zonder de juiste software niet te lezen zijn. Mocht een bestand dus uit het DMS-pakket ‘ontsnappen’, is dit niet leesbaar voor buitenstaanders.

Elektronisch tekenen

De elektronische handtekeningDe term digitale handtekening wordt gebruikt om te refereren aan een elektronische vorm van handtekenen. Dit kan gaan om een gewone elektronische handtekening, of een gekwalificeerde elektronische handtekening. Soms wordt alleen deze tweede vorm echt als digitaal tekenen gedefinieerd. is een functionaliteit die kan voorkomen dat bestanden worden geprint, getekend en weer gescand. Dit laatste brengt namelijk heel wat risico met zich mee. De kans is bijvoorbeeld groot dat de fysieke kopie blijft ronddwalen.

Traceerbaarheid

De laatste maatregel, die eerder geneest dan voorkomt, is het toevoegen van een traceerbaarheidmoduleTraceerbaarheid, ook wel traceability genoemd, is de mogelijkheid om een element te volgen vanaf zijn ontstaan tot bij de aankomst op de eindbestemming. Zowel op het niveau van praktische bedrijfsactiviteiten, als voor producten en documentbeheer is het een belangrijke functionaliteit. Vandaar dat traceerbaarheidssystemen vaak voorkomen in pakketten voor Enterprise Resource Management (ERP) en in Document Management Systemen (DMS).. Deze module zorgt ervoor dat er van elk bestand bekend is welke bewerkingen erop gemaakt zijn, wanneer dit gebeurde en door wie. Zo kunnen fouten en veiligheidsrisico’s snel opgespoord worden, en kan er een passende oplossing gezocht worden.