“Een goede gegevensbeveiliging is een proces, geen checklist.” We hebben deze slogan allemaal gehoord – en met goede reden. De manier waarop gevoelige informatie de netwerken van uw bedrijf of de softwareproducten die u ontwikkelt binnenkomt, door en verlaat, verandert voortdurend. Dat geldt ook voor de risico’s die hackers en datadieven met zich meebrengen als ze zich aanpassen aan de tegenmaatregelen die u neemt om hun inspanningen te dwarsbomen. Als u gegevensbeveiliging benadert met een eenmalige houding, negeert u de realiteit van het hier en nu waarmee u te maken krijgt. Dat is waarom Begin met beveiliging beveelt bedrijven aan om hiervoor procedures in te voeren houd uw beveiliging up-to-date en adresseer eventuele kwetsbaarheden.
Een blik op de wetshandhavingsacties van de FTC, afgesloten onderzoeken en de ervaringen die bedrijven met ons hebben gedeeld, toont de wijsheid van dat advies aan. Deze voorbeelden illustreren waarom u uw beveiliging up-to-date moet houden en snel moet reageren op geloofwaardige bedreigingen.
Software bijwerken en patchen.
Soms komen bedrijven erachter dat hun netwerken – of software van derden die op hun netwerken is geïnstalleerd – kwetsbaar zijn voor een nieuwe vorm van bedreiging. Als dat het geval is, zoek dan uit wat de experts aanbevelen en handel dienovereenkomstig.
In andere gevallen stelt een bedrijf vast dat zijn eigen producten die al in handen zijn van consumenten kwetsbaar zijn voor een bestaande of nieuwe dreiging. Onderneem in dat geval stappen om het probleem op te lossen met een update of patch en onderneem snel actie om klanten op de hoogte te stellen van de herstelstappen die ze moeten nemen.
Voorbeeld: De eigenaar van een thuisbedrijf koopt een nieuwe laptop om zijn onderneming te beheren. Hij installeert antivirussoftware van een gerenommeerd bedrijf. Wanneer de bedrijfseigenaar de keuze op het scherm krijgt, staat hij toe dat de software de antivirusbescherming van de laptop automatisch bijwerkt. In dat geval is kiezen voor automatische updates een verstandige beslissing.
Voorbeeld: Een regionale keten van kapsalons gebruikt software van derden om de detailhandelsverkopen en voorraad te beheren. Wanneer er een e-mail binnenkomt van de leverancier waarin gebruikers van software worden geadviseerd een patch te installeren om een beveiligingsprobleem aan te pakken, bezoekt een aangewezen medewerker de site van de leverancier, bevestigt de authenticiteit van het bericht en onderneemt vervolgens de stappen die nodig zijn om de software bij te werken. Door een systeem te hebben dat beveiligingscommunicatie van leveranciers bewaakt en erop reageert, heeft het bedrijf geholpen de beveiliging up-to-date te houden.
Voorbeeld: Een bedrijf verkoopt een populaire lijn persoonlijke financiële software. Nadat veel consumenten het product al hebben gekocht, ontdekt het bedrijf een beveiligingsprobleem in de software. Het bedrijf maakt een nieuwe versie van de software die de kwetsbaarheid verhelpt. Er wordt echter geen contact opgenomen met bestaande klanten om een patch aan te bieden, en er wordt geen rekening gehouden met kwetsbare software die nog steeds in de winkel verkrijgbaar is. Door de oplossing niet effectief te implementeren, heeft het bedrijf gevoelige informatie van consumenten in gevaar gebracht.
Plan hoe u beveiligingsupdates voor de software van uw product levert.
Hoe veilig u ook denkt dat uw product is, er kunnen in de toekomst softwarekwetsbaarheden worden ontdekt. Beveiligingsbewuste bedrijven hebben een plan opgesteld om tijdige beveiligingsupdates uit te brengen. De methode zal afhangen van de aard van het product, maar het is verstandig om deze onvoorziene omstandigheden in te bouwen voordat u het op de markt brengt.
Voorbeeld: Een bedrijf produceert een thermostaat die verbinding maakt met internet. Het bedrijf configureert standaardinstellingen om automatisch beveiligingsupdates te zoeken en te installeren die het bedrijf implementeert. Door zijn product te ontwerpen met een methode om de noodzakelijke updates te leveren, heeft het bedrijf een veiligere ontwerpkeuze gemaakt.
Voorbeeld: Een bedrijf produceert een keukenapparaat dat verbinding maakt met internet. In de eerste productontwikkelingsfase stelt het bedrijf vast dat automatische beveiligingsupdates niet haalbaar zijn. Daarom ontwerpt het bedrijf het apparaat met een waarschuwingsknop die een visueel signaal geeft dat er online een beveiligingsupdate beschikbaar is. Bovendien hebben consumenten tijdens de initiële installatiewizard de mogelijkheid om een extra communicatiemethode toe te voegen – bijvoorbeeld sms of e-mail – om meldingen te ontvangen wanneer er een beveiligingsupdate beschikbaar is. Door deze communicatiekanalen vanaf het begin in te bouwen, heeft het bedrijf het gemakkelijker gemaakt om klanten te informeren over toekomstige beveiligingsupdates of patches.
Luister naar geloofwaardige beveiligingswaarschuwingen en onderneem snel actie om het probleem op te lossen.
Op het gebied van beveiliging is er veel discussie tussen technologie-experts, onderzoekers, overheidsinstanties, professionals uit de industrie en consumenten. Omdat er een schat aan expertise beschikbaar is, is het verstandig om uw oor op de grond te houden als het onderwerp zich richt op opkomende risico’s en potentiële kwetsbaarheden. Let op wanneer u beveiligingswaarschuwingen krijgt die van invloed kunnen zijn op uw netwerk of uw product. En als experts uw bedrijf proberen te bereiken om een bepaald alarm te laten afgaan, komen hun berichten dan snel bij de juiste mensen terecht?
Voorbeeld: Een app-ontwikkelaar ontvangt duizenden e-mails per dag. Op zijn website verwijst het mensen naar e-mail klantenservice(at)bedrijfsnaam.com met vragen of opmerkingen over het opnieuw instellen van wachtwoorden, betalingen en andere typische consumentenproblemen. Als er echter sprake is van een mogelijk beveiligingsprobleem, worden mensen doorverwezen naar e-mail security(at)bedrijfsnaam.com. De app-ontwikkelaar wijst een deskundig personeelslid aan dat de mailbox regelmatig controleert en plausibele problemen onmiddellijk signaleert aan het betreffende personeel, bijvoorbeeld de softwarebeveiligingsingenieurs van de ontwikkelaar. Door geloofwaardige beveiligingswaarschuwingen in acht te nemen en snel actie te ondernemen om deze te onderzoeken en op te lossen, kan de app-ontwikkelaar mogelijk een probleem voorkomen of een risico beperken.
Voorbeeld: Een beveiligingsonderzoeker vindt een grote kwetsbaarheid in een app. De onderzoeker probeert contact op te nemen met de app-ontwikkelaar, maar kan het bedrijf niet anders bereiken dan via een algemeen zakelijk telefoonnummer. Administratief personeel dat voicemails ophaalt van het algemene nummer krijgt tijdens de training de opdracht om berichten van onbekende derden te verwijderen. Een betere praktijk zou zijn om communicatie over potentiële kwetsbaarheden – bugrapporten – door te sturen naar een speciaal kanaal waar ze kunnen worden geëvalueerd door gekwalificeerd beveiligingspersoneel.
De les voor bedrijven die zich aan de beveiliging willen houden, is om vooraf kanalen te creëren om cruciale informatie over potentiële kwetsbaarheden te ontvangen en te verzenden. Ga snel te werk om passende beveiligingsmaatregelen te implementeren.
Volgende in de serie: Beveilig papier, fysieke media en apparaten
