Een beveiligingsbeleid koop je niet in een doos
Bedrijven hebben dringend nood aan een actief beveiligingsbeleid. Tegen beter weten in worden er vaak standaard beveiligingsoplossingen geïnstalleerd. Of erger: er komt pas een systeem als er zich een incident heeft voorgedaan.
Vaak wordt dan beroep gedaan op de expertise van een reseller of integrator, die in de meeste gevallen een ‘doos’ installeert, op basis van wat bij een gemiddeld bedrijf werkt. Het probleem lijkt opgelost, tot het volgende zich aandient.
De huidige wedloop tussen internetcriminelen en de makers van beveiligingssoftware maakt van IT-beveiliging een dynamisch gegeven. Toch is het merendeel van de huidige configuraties eerder statisch te noemen is, waarbij er geen rekening wordt gehouden met de eigen zakelijke behoeften en de nieuwe gevaren. In het beste geval wordt er regelmatig gekeken naar de rapportering die de tool fabriceert. In het slechtste geval worden zelfs deze rapporten genegeerd. Eens geïnstalleerd, wordt het beveiligingstool letterlijk vergeten.
Hoe ga je dan best wel te werk ?
- Maak je huiswerk: breng de bestaande resources en de verschillende risico’s in kaart. Dit laat je toe prioriteiten te stellen.
- Definieer een beveiligingsbeleid: idealiter wordt dit vanuit zakelijke overwegingen opgesteld en vertaald naar IT, die maatregelen treft om het af te dwingen.
- Voed je medewerkers op: communiceer je beleid en de te volgen procedures. Maak ook de gevolgen van het niet naleven ervan duidelijk.
- Beheer je securitybeleid: installeer tools om het beleid af te dwingen of te controleren. Deze moeten feilloos samenwerken en eenvoudig te beheren zijn.
- Maak onderscheid tussen typen gebruikers en systemen: het securitybeleid moet tegemoetkomen aan specifieke behoeften.
- Controleer en analyseer: Logs en rapportages moeten met regelmaat geanalyseerd worden, zodat de beveiliging, daar waar nodig, bijgestuurd kan worden. Cybercriminelen innoveren continu. Het is dus zeer belangrijk om actief met beveiliging bezig te zijn. Zo voorkom je dat je organisatie onbedoeld slachtoffer wordt van een cybercrimineel of een internetvandaal. Naast het actief controleren, is het bijstellen van het beleid op een veranderende organisatie van essentieel belang. Het is een continu proces dat onderdeel moet uitmaken van het bedrijfsproces.