We hebben er tegenwoordig allemaal mee te maken: data. Grote techbedrijven, kleine organisaties, sportverenigingen, maar ook privé. Helaas zien en horen we in het nieuws steeds meer verhalen over grootschalige datalekken.
Wanneer je het boek “Ik weet je wachtwoord” van schrijver Daniël Verlaan leest, wordt meteen duidelijk dat geen enkele organisatie veilig is en dat er niet één methode is die meteen volledige bescherming biedt. Zo zijn medewerkers vaak een groot risico voor een bedrijf. Ze veroorzaken regelmatig bewust of onbewust een datalek. Reden voor mij om een aantal tips op een rijtje te zetten waarmee je het risico voor een bedrijf verkleint en waar je als privépersoon ook zeker wat aan hebt.
Je ontkomt tegenwoordig niet meer aan het hebben en aanmaken van wachtwoorden. Er zijn zoveel plekken waar je wachtwoorden moet invullen; van webshops en social media accounts tot aan de laptops en applicaties op je werk. Omdat we zoveel wachtwoorden moeten ‘onthouden’ bedenken we meestal makkelijk te onthouden en dus ook te raden wachtwoorden. Het liefste gebruiken we deze wachtwoorden dan op meerdere plekken of we maken voor verschillende inlogplekken een versie van hetzelfde wachtwoord door er een nummer achter te zetten. Een wachtwoord als ‘Nieuwegein1’ is makkelijk te raden en zou je dus niet moeten gebruiken. Een tip is om eens gebruik te gaan maken van zinnen. Een voorbeeld als ‘Ik_w3rk_1n_Nieuwegein!’ is veel complexer, minder makkelijk te raden en is nog steeds goed te onthouden.
Wat nog beter is, is het gebruiken van een willekeurig wachtwoord, zoals ‘Rt3-PnQ24-v783-NW’. Maar hoe onthoud je die willekeurige wachtwoorden dan? Het gebruik van een wachtwoordmanager kan hierbij helpen. Hierdoor hoef je in principe maar één hoofdwachtwoord te onthouden, waarmee je inlogt in de wachtwoordmanager. Je kunt in de wachtwoordmanager willekeurige wachtwoorden genereren en ze vastleggen in je eigen ‘kluis’. De meeste wachtwoordmanagers hebben ook vaak de optie om gebruikersnamen en wachtwoorden die in je kluis staan, automatisch in te vullen zodra je ergens moet inloggen. Het enige wat je hiervoor hoeft te doen is eenmaal in je kluis inloggen. Belangrijk is hierbij wel dat je een complex hoofdwachtwoord kiest en dat je bij voorkeur werkt met tweestapsverificatie.
Het inlogproces wordt nog veiliger als je gebruik maakt van een tweestapsverificatie, ofwel een ‘tweefactor’ authenticatie. Deze manier van authenticatie bestaat uit twee componenten: iets dat je al weet, zoals je wachtwoord, en iets wat je hebt, zoals een token. Je moet je bij het inloggen identificeren via een code die toegestuurd wordt via SMS of e-mail. Een steeds meer gebruikt alternatief voor een code via SMS of e-mail is een authenticatie app. Deze app genereert een ‘token’: een code die je binnen een bepaalde tijd moet invullen bij het inloggen, anders vervalt de code. Je zou kunnen zeggen dat deze vorm zelfs betrouwbaarder is, omdat je dan fysiek je telefoon, met de app erop, bij je moet hebben. Meestal ben je echter in je keuze afhankelijk van wat het bedrijf als tweefactor authenticatie ingesteld heeft. Een goed en bekend voorbeeld van een tweestapsverificatie, waarbij zowel de optie via SMS of e-mail als gebruik van een app wordt ondersteund, is je DigiD.
Een belangrijke manier om te voorkomen dat je data ‘leesbaar’ op de verkeerde plekken terecht komt is versleuteling. Mijn collega’s Roxanne Robijns en Bas Rekveldt schreven een blogserie over pseudonimiseren, een methode van versleuteling, waarmee je voorkomt dat iemands identiteit bekend wordt bij personen die dit niet hoeven of mogen weten. Het is extra veiligheid waarmee je gegevens over individuen beschermt in het geval van een datalek. Door het pseudonimiseren van gegevens wordt het moeilijker gemaakt om de gegevens te herleiden (direct of indirect) naar een individu. Het zorgt ervoor dat de impact bij ongeoorloofd gebruik of openbaring van de persoonsgegevens wordt verkleind terwijl de persoonsgegevens wel verwerkt kunnen worden. De blogserie kun je hier teruglezen.
Het monitoren van alles wat er gebeurt op beveiligingsgebied is een belangrijk onderdeel van het voorkomen van datalekken. Dit kun je bijvoorbeeld doen door gebruik te maken van BI-tooling, waar veel organisaties al mee werken. Op deze manier zet je een bestaande applicatie in voor een betere beveiliging. Applicaties houden op de achtergrond meestal een log bij om te kijken wie geautoriseerd is, wie een dashboard mag bekijken of zelfs wie een export van gegevens naar Excel maakt. Door een monitoringdashboard te maken waarin dit soort loggegevens worden weergegeven, krijg je zelf meer inzicht in wie wat doet binnen een organisatie. Hier kun je dan weer beveiligingsacties op uitzetten door bijvoorbeeld te bepalen dat gebruikers, nadat ze zes maanden niet inloggen, automatisch de autorisatie ontnomen wordt. Zo voorkom je in ieder geval dat medewerkers die niet meer werkzaam zijn voor je organisatie nog altijd toegang hebben tot vertrouwelijke bedrijfsgegevens.
Je kunt allerlei maatregelen treffen om je data te beschermen, maar je bent hierbij in veel gevallen afhankelijk van het gedrag van de mens. Een menselijke fout is snel gemaakt. Dat is maar weer eens gebleken tijdens de grootschalige storing van Facebook begin oktober 2021. Een medewerker had, tijdens een update proces, op een verkeerde knop geklikt. Systemen hadden hier een melding van moeten maken maar bleken ook niet te werken. Gelukkig is er in dit geval geen datalek geweest, maar het had zomaar anders kunnen aflopen.
Personen gaan in veel gevallen nog niet goed om met beveiliging en specifiek met wachtwoorden. De wachtwoorden die ze gebruiken zijn eenvoudig te raden of ze hangen zelfs met een sticky note aan schermen of op laptops op de werkplek. Een ander voorbeeld is het fenomeen phishing, waarbij mailtjes die afkomstig lijken te zijn van bijvoorbeeld een klant op de achtergrond een link bevatten waardoor je je (inlog)gegevens deelt.
Door medewerkers bewust te maken van de noodzaak van beveiliging en de gevaren die er zijn, verklein je het risico op een datalek. Dit kun je doen in de vorm van jaarlijks terugkerende trainingen of assessments. Er zijn al veel bedrijven waar je ieder jaar een korte privacy assessment moet maken dat eventuele risico’s in beeld brengt en dat je laten weten wat je moet doen als je bijvoorbeeld op zo’n phishing mailtje geklikt hebt.
Er zijn veel technische mogelijkheden om een datalek te voorkomen. Maar hoe goed je dit ook regelt, de mens is en blijft een bepalende factor bij het wel of niet succesvol zijn van de technische maatregelen die je hebt getroffen. Bewustwording van de gevaren en de noodzaak van beveiliging is daarom het allerbelangrijkste in de strijd tegen datalekken.
Stefan van Iersel
BI Consultant
Deel dit met uw volgers
Comments are closed.
We hebben er tegenwoordig allemaal mee te maken: data. Grote techbedrijven, kleine organisaties, sportverenigingen, maar ook privé. Helaas zien en horen we in het nieuws steeds meer verhalen over grootschalige datalekken.
Wanneer je het boek “Ik weet je wachtwoord” van schrijver Daniël Verlaan leest, wordt meteen duidelijk dat geen enkele organisatie veilig is en dat er niet één methode is die meteen volledige bescherming biedt. Zo zijn medewerkers vaak een groot risico voor een bedrijf. Ze veroorzaken regelmatig bewust of onbewust een datalek. Reden voor mij om een aantal tips op een rijtje te zetten waarmee je het risico voor een bedrijf verkleint en waar je als privépersoon ook zeker wat aan hebt.
Je ontkomt tegenwoordig niet meer aan het hebben en aanmaken van wachtwoorden. Er zijn zoveel plekken waar je wachtwoorden moet invullen; van webshops en social media accounts tot aan de laptops en applicaties op je werk. Omdat we zoveel wachtwoorden moeten ‘onthouden’ bedenken we meestal makkelijk te onthouden en dus ook te raden wachtwoorden. Het liefste gebruiken we deze wachtwoorden dan op meerdere plekken of we maken voor verschillende inlogplekken een versie van hetzelfde wachtwoord door er een nummer achter te zetten. Een wachtwoord als ‘Nieuwegein1’ is makkelijk te raden en zou je dus niet moeten gebruiken. Een tip is om eens gebruik te gaan maken van zinnen. Een voorbeeld als ‘Ik_w3rk_1n_Nieuwegein!’ is veel complexer, minder makkelijk te raden en is nog steeds goed te onthouden.
Wat nog beter is, is het gebruiken van een willekeurig wachtwoord, zoals ‘Rt3-PnQ24-v783-NW’. Maar hoe onthoud je die willekeurige wachtwoorden dan? Het gebruik van een wachtwoordmanager kan hierbij helpen. Hierdoor hoef je in principe maar één hoofdwachtwoord te onthouden, waarmee je inlogt in de wachtwoordmanager. Je kunt in de wachtwoordmanager willekeurige wachtwoorden genereren en ze vastleggen in je eigen ‘kluis’. De meeste wachtwoordmanagers hebben ook vaak de optie om gebruikersnamen en wachtwoorden die in je kluis staan, automatisch in te vullen zodra je ergens moet inloggen. Het enige wat je hiervoor hoeft te doen is eenmaal in je kluis inloggen. Belangrijk is hierbij wel dat je een complex hoofdwachtwoord kiest en dat je bij voorkeur werkt met tweestapsverificatie.
Het inlogproces wordt nog veiliger als je gebruik maakt van een tweestapsverificatie, ofwel een ‘tweefactor’ authenticatie. Deze manier van authenticatie bestaat uit twee componenten: iets dat je al weet, zoals je wachtwoord, en iets wat je hebt, zoals een token. Je moet je bij het inloggen identificeren via een code die toegestuurd wordt via SMS of e-mail. Een steeds meer gebruikt alternatief voor een code via SMS of e-mail is een authenticatie app. Deze app genereert een ‘token’: een code die je binnen een bepaalde tijd moet invullen bij het inloggen, anders vervalt de code. Je zou kunnen zeggen dat deze vorm zelfs betrouwbaarder is, omdat je dan fysiek je telefoon, met de app erop, bij je moet hebben. Meestal ben je echter in je keuze afhankelijk van wat het bedrijf als tweefactor authenticatie ingesteld heeft. Een goed en bekend voorbeeld van een tweestapsverificatie, waarbij zowel de optie via SMS of e-mail als gebruik van een app wordt ondersteund, is je DigiD.
Een belangrijke manier om te voorkomen dat je data ‘leesbaar’ op de verkeerde plekken terecht komt is versleuteling. Mijn collega’s Roxanne Robijns en Bas Rekveldt schreven een blogserie over pseudonimiseren, een methode van versleuteling, waarmee je voorkomt dat iemands identiteit bekend wordt bij personen die dit niet hoeven of mogen weten. Het is extra veiligheid waarmee je gegevens over individuen beschermt in het geval van een datalek. Door het pseudonimiseren van gegevens wordt het moeilijker gemaakt om de gegevens te herleiden (direct of indirect) naar een individu. Het zorgt ervoor dat de impact bij ongeoorloofd gebruik of openbaring van de persoonsgegevens wordt verkleind terwijl de persoonsgegevens wel verwerkt kunnen worden. De blogserie kun je hier teruglezen.
Het monitoren van alles wat er gebeurt op beveiligingsgebied is een belangrijk onderdeel van het voorkomen van datalekken. Dit kun je bijvoorbeeld doen door gebruik te maken van BI-tooling, waar veel organisaties al mee werken. Op deze manier zet je een bestaande applicatie in voor een betere beveiliging. Applicaties houden op de achtergrond meestal een log bij om te kijken wie geautoriseerd is, wie een dashboard mag bekijken of zelfs wie een export van gegevens naar Excel maakt. Door een monitoringdashboard te maken waarin dit soort loggegevens worden weergegeven, krijg je zelf meer inzicht in wie wat doet binnen een organisatie. Hier kun je dan weer beveiligingsacties op uitzetten door bijvoorbeeld te bepalen dat gebruikers, nadat ze zes maanden niet inloggen, automatisch de autorisatie ontnomen wordt. Zo voorkom je in ieder geval dat medewerkers die niet meer werkzaam zijn voor je organisatie nog altijd toegang hebben tot vertrouwelijke bedrijfsgegevens.
Je kunt allerlei maatregelen treffen om je data te beschermen, maar je bent hierbij in veel gevallen afhankelijk van het gedrag van de mens. Een menselijke fout is snel gemaakt. Dat is maar weer eens gebleken tijdens de grootschalige storing van Facebook begin oktober 2021. Een medewerker had, tijdens een update proces, op een verkeerde knop geklikt. Systemen hadden hier een melding van moeten maken maar bleken ook niet te werken. Gelukkig is er in dit geval geen datalek geweest, maar het had zomaar anders kunnen aflopen.
Personen gaan in veel gevallen nog niet goed om met beveiliging en specifiek met wachtwoorden. De wachtwoorden die ze gebruiken zijn eenvoudig te raden of ze hangen zelfs met een sticky note aan schermen of op laptops op de werkplek. Een ander voorbeeld is het fenomeen phishing, waarbij mailtjes die afkomstig lijken te zijn van bijvoorbeeld een klant op de achtergrond een link bevatten waardoor je je (inlog)gegevens deelt.
Door medewerkers bewust te maken van de noodzaak van beveiliging en de gevaren die er zijn, verklein je het risico op een datalek. Dit kun je doen in de vorm van jaarlijks terugkerende trainingen of assessments. Er zijn al veel bedrijven waar je ieder jaar een korte privacy assessment moet maken dat eventuele risico’s in beeld brengt en dat je laten weten wat je moet doen als je bijvoorbeeld op zo’n phishing mailtje geklikt hebt.
Er zijn veel technische mogelijkheden om een datalek te voorkomen. Maar hoe goed je dit ook regelt, de mens is en blijft een bepalende factor bij het wel of niet succesvol zijn van de technische maatregelen die je hebt getroffen. Bewustwording van de gevaren en de noodzaak van beveiliging is daarom het allerbelangrijkste in de strijd tegen datalekken.
Stefan van Iersel
BI Consultant
Beste Stefan, heb getwijfeld of ik rectie zou sturen, doe ik meestal niet, maar toch maar gedaan. Vooral omdat ik het opvallend vind dat de rol van autorisaties i.c.m. gebruik door medewerkers nagenoeg onbenoemd blijft. Het moet m.i. hier meer overgaan dan de bekende opmerkingen over wachtwoorden, tweestapsverificatie etc. De rol van eigen medewerkers met geaccepteerde usernaam/password is groot punt van zorg. Het verkeerd omgaan met autorisaties is ook een datalek. Een proces om te kunnen handelen bij gewenste autorisatie wijziging is cruciaal. Monitoring zoals hier beschreven is vaak onvoldoende. Een andere rol voor een medewerker kan al gauw een datalek opleveren. Is er een proces dat actief reageert op bijvoorbeeld rolwijziging. Daar helpen de door jou genoemde onderwerpen niet bij. Ik mis uitwerking van dergelijke risico’s op een datalek.
Tot zover mijn reactie. Succes verder, greot Paul Rakké
Hallo Paul,
Bedankt voor je reactie. Altijd fijn om feedback te krijgen.
De blog die ik heb geschreven is voornamelijk gericht op de gebruikers. Wat kunnen zij zelf doen om datalekken te voorkomen?
De tips zijn dan ook laagdrempelig en gericht op een breder publiek. Als het gaat om organisaties, ben ik het helemaal met je eens.
Organisaties moeten heel wat dingen regelen en ook een raamwerk inrichten voor autorisatie en omgang met wijzigingen in dienstverband en rollen van medewerkers.
Wellicht voer voor een volgende blog!
Groet, Stefan van Iersel
Comments are closed.
Scamander
Bernhardstraat 1
3433 EL Nieuwegein
Algemeen: 030-6029000
KvK : 30 15 16 09, Utrecht
E-mail: info@scamander.com
Scamander
Bernhardstraat 1
3433 EL Nieuwegein
Algemeen: 030-6029000
KvK : 30 15 16 09, Utrecht
E-mail: info@scamander.com
Copyright Scamander 2024
Copyright Scamander 2024
Beste Stefan, heb getwijfeld of ik rectie zou sturen, doe ik meestal niet, maar toch maar gedaan. Vooral omdat ik het opvallend vind dat de rol van autorisaties i.c.m. gebruik door medewerkers nagenoeg onbenoemd blijft. Het moet m.i. hier meer overgaan dan de bekende opmerkingen over wachtwoorden, tweestapsverificatie etc. De rol van eigen medewerkers met geaccepteerde usernaam/password is groot punt van zorg. Het verkeerd omgaan met autorisaties is ook een datalek. Een proces om te kunnen handelen bij gewenste autorisatie wijziging is cruciaal. Monitoring zoals hier beschreven is vaak onvoldoende. Een andere rol voor een medewerker kan al gauw een datalek opleveren. Is er een proces dat actief reageert op bijvoorbeeld rolwijziging. Daar helpen de door jou genoemde onderwerpen niet bij. Ik mis uitwerking van dergelijke risico’s op een datalek.
Tot zover mijn reactie. Succes verder, greot Paul Rakké
Hallo Paul,
Bedankt voor je reactie. Altijd fijn om feedback te krijgen.
De blog die ik heb geschreven is voornamelijk gericht op de gebruikers. Wat kunnen zij zelf doen om datalekken te voorkomen?
De tips zijn dan ook laagdrempelig en gericht op een breder publiek. Als het gaat om organisaties, ben ik het helemaal met je eens.
Organisaties moeten heel wat dingen regelen en ook een raamwerk inrichten voor autorisatie en omgang met wijzigingen in dienstverband en rollen van medewerkers.
Wellicht voer voor een volgende blog!
Groet, Stefan van Iersel