De 10 vragen die je eens aan jouw ICT-er zou moeten stellen

De 10 vragen die je eens aan jouw ICT-er zou moeten stellen

Ik kom regelmatig bij MKB-ondernemingen op bezoek om te beoordelen voor hoeverre het mogelijk is om op de uitkomst van de ICT-systemen te steunen. Vanuit mijn werkgever (BonsenReuling) moet men immers wat vinden van de cijfers die uit de ICT-systemen komen.
In de praktijk kunnen vrijwel alle organisaties hun ICT-omgeving nog verder verbeteren als het gaat om ICT-Security. De vraag is natuurlijk altijd hoever je hierin moet gaan. Het is een utopie om te denken dat een ICT-omgeving 100% betrouwbaar kan zijn.

De meeste maatregelen die de veiligheid ten goede komen, gaan anderzijds vaak ten koste van het gebruikersgemak. Het meest eenvoudige voorbeeld hiervan is een wachtwoord. Een simpel en kort wachtwoord is gebruikersvriendelijk maar niet veilig. Een lang en complex wachtwoord is wel veilig, maar weer minder gebruikersvriendelijk.
Er zal dus altijd gezocht moeten worden naar een situatie die enerzijds veilig genoeg is en anderzijds gebruikersvriendelijk genoeg.

Over gebruikersgemak kan een eindgebruiker vaak wel iets zeggen. Voor wat betreft veiligheid zijn we dan weer afhankelijk van wat onze ICT-ers ons vertellen. Deze ICT-ers (zowel intern als extern) staan vaak weer onder enige druk om aandacht aan gebruikersgemak te geven met het risico dat hiervoor veiligheid opgeofferd wordt.

Vanuit mijn ervaringen heb ik een aantal vragen op een rij gezet die interessant zijn om aan jouw ICT-er te vragen;

“Kun je bestand x voor me uit de back-up terughalen?”

Dit is een vraag die al jaren bekend is als tip om uit te zoeken hoeveel moeite het kost om een bestand terug te halen uit de back-up en natuurlijk of de back-up goed werkt. Hierbij kan het geen kwaad om te vragen naar een versie van 1 of 2 maanden terug. Niet alle back-upsystemen zijn in staat om over een langere periode terug bestanden terug te zetten.
Indirect zit hier dus ook de vraag in hoelang je terug kunt met de back-up. Stel dat je een back-up hebt die 30 dagen terug gaat (dit kom ik met enige regelmaat tegen) en je wilt een bestand wat 5 weken geleden is overschreven terughalen, dan kan dat dus niet.  Kijk in overleg met jouw ICT-er of de back-up aansluit bij jouw wensen.

“Ik heb hier een USB-stick van de klant gekregen. Kan ik deze gewoon in mijn computer stoppen?”

USB-sticks zijn een erg goed voorbeeld van gemak. Via een USB-stick kun je snel gegevens overzetten. Om dit mogelijk te maken worden verschillende USB-apparaten standaard door een computer vertrouwd. Hiermee vormen ze automatisch een risico.
Een USB-stick kan naast bestanden ook een computervirus bevatten die door de computer vanzelf wordt opgestart. Daarnaast kan een USB-stick zich voordoen als een toetsenbord waarop nagedaan wordt dat een hacker razendsnel en foutloos dié commando’s intikt die nodig zijn om de beveiliging van een computer te kraken.
Als het dus meezit begint jouw ICT-er over de maatregelen die zijn genomen om te voorkomen dat de omgeving middels een gevaarlijke USB-stick gehackt wordt. De beste maatregel is natuurlijk de toegang tot USB helemaal uit te schakelen. Hiermee wordt ook het risico op verlies van een USB-stick met daarop gevoelige gegevens verkleind. Bij BonsenReuling wordt er bijvoorbeeld gestuurd op het gebruik van BRTransfer, een online bestandskluis die vanaf zowel de klant, als vanuit BonsenReuling benaderbaar is.

“Kan het ons gebeuren dat onze back-up door een ransomware-aanval beschadigd raakt?”

De nachtmerrie van menig ondernemer. Een ransomwarevirus heeft de omgeving versleuteld. Belangrijke gegevens zijn versleuteld en nu blijkt dat de back-up zelf ook is aangetast waardoor deze niet gebruikt kan worden om de omgeving te herstellen. Deze vraag zal voor menig ICT-er een lastigere zijn om te beantwoorden.
De industrie van criminelen die met ransomware-aanvallen geld verdienen zien back-ups als een directe bedreiging van hun verdienmodel en zijn steeds vaker in staat om ongemerkt back-ups defect te maken. De omgeving zelf wordt in zo’n geval pas versleuteld zodra de back-ups gecompromitteerd zijn.
Een interessante vraag hier is dan ook hoe vaak men de integriteit van een back-up controleert en of een gecontroleerde back-up dan ook helemaal buiten het bereik van mogelijke hackers wordt gehaald. Als dat maandelijks gebeurt, kun je dan als onderneming nog verder wanneer je een back-up van een maand oud terugzet of is dat echt te oud?

“Stel dat hier brand uitbreekt, hoe lang duurt het dan voor we weer operationeel zijn?”

Bij deze vraag is het natuurlijk relevant hoeveel systemen ‘on premise’ (ofwel binnen het gebouw zelf) draaien. Indien een organisatie uit meerdere vestigingen of locaties bestaat, dan kan gekozen worden om op een andere locatie (die bij een flinke brand niet getroffen kan worden) een back-up of kopie van de omgeving te hebben. Als jouw ICT-er hier al over heeft nagedacht, vraag dan ook of de gegevens op deze omgeving versleuteld zijn zodat deze bij diefstal niet voor onbevoegden beschikbaar zijn.
Bij organisaties die veel systemen ‘in de cloud’ hebben draaien is de kans op snel herstel veel groter omdat dan de systemen bijvoorbeeld van thuis of een andere locatie ook beschikbaar zijn.

“Zit onze WiFi rechtstreeks op het kantoornetwerk?”

Veel organisaties maken gebruik van een WiFi-netwerk. Vanuit security-oogpunt is WiFi een risico. Het signaal houdt namelijk niet op bij de muren van het gebouw en het protocol van WiFi bevat zwakheden. Men kan buiten jouw kantoorpand dus gebruik proberen te maken van de zwakheden van het protocol en toegang krijgen tot jouw omgeving. Zeker als je gebruik maakt van een vast wachtwoord, waardoor bijvoorbeeld voormalige medewerkers het wachtwoord kunnen weten.
Het is dus aan te raden om een WiFi-verbinding te behandelen alsof deze verbinding ‘voor iedereen’ te gebruiken is en deze dus niet rechtstreeks aan jouw IT-omgeving te koppelen. Sluit WiFi dus op een aparte internetlijn direct naar buiten aan, en laat gebruikers via bijvoorbeeld VPN verbinding maken met het kantoornetwerk. Voor barcodescanners kun je vast een aparte firewall-regel aanmaken waarmee de scanners alleen met de benodigde toegang (poort) naar de juiste server kunnen.

“Wat moet ik doen als jij langdurig ziek bent?”

Organisaties worden steeds afhankelijker van ICT. Daarmee neemt ook de afhankelijkheid van degene die de omgeving beheert toe. Het kan geen kwaad om na te denken hoe je zorgt dat jouw omgeving beheerd kan worden zodra jouw ‘vaste’ ICT-er onverwijld uitvalt.
Dit betekent eigenlijk altijd dat er afspraken met externen moeten zijn; ofwel de afspraak dat ze jouw interne ICT-er kunnen vervangen, ofwel hoe ze zorgen dat jouw organisatie niet afhankelijk is van één externe medewerker.
De mate waarin specifieke kennis nodig is, bepaalt sterk voor hoeverre het voor een ‘onbekende’ van jouw omgeving mogelijk is om het beheer ervan te doen. Het kan dus geen kwaad om zo veel mogelijk gebruik te maken van algemene en bekende systemen in plaats van op maat gemaakte specifieke software.

“Voor hoeverre is mijn ICT-omgeving gedocumenteerd?”

Documentatie van een omgeving heeft meerdere doelen. Het eerste doel is het beheersbaar houden van de omgeving. Dit is direct in aansluiting met de vorige vraag. Welke documentatie is beschikbaar als de omgeving onverwijld door een andere persoon beheerd moet worden. Dit kunnen ook procedures zijn die moeten worden gevolgd om bepaalde handelingen uit te voeren.
Een ander doel is het kunnen oplossen van complexe storingen waarbij derden nodig zijn. Het is voor een buitenstaander niet goed mogelijk om mee te denken over een storing als de omgeving niet bekend is. In het meest extreme geval zal een omgeving opnieuw moeten worden opgebouwd. Hierbij kan een goede documentatie ook een belangrijke rol spelen.
In de tussentijd heb ik al veel ICT-ers gesproken. Op de één of andere manier lijkt de liefde voor het documenteren niet in het gemiddelde DNA van een ICT-er te zitten. De kans dat de omgeving dus slecht of niet gedocumenteerd is, is dus vrij groot. Daarnaast wil je als ondernemer ook niet onnodig veel geld uitgeven aan het compleet documenteren van een omgeving als blijkt dat dit in de praktijk maar zelden écht nodig lijkt. Zeker niet omdat documentatie van een omgeving bij iedere wijziging ook moet worden bijgehouden, wat dan ook weer tijd kost.

Het is goed om te beginnen met:

  • documenteren van afwijkingen en bijzonderheden in de omgeving
  • documenteren van de reactie van de organisatie op calamiteiten (wie moet wat, wanneer doen) waaronder bijvoorbeeld;
    • virusaanval;
    • ransomwareaanval (gijzeling van ICT-omgeving);
    • diefstal/lekken van gegevens (bijv. verloren of gestolen laptop, USB-sticks, etc.);
    • brand of overstroming;
    • etc.

“Worden bij medewerkers rechten ingetrokken wanneer deze niet meer nodig zijn?”

Deze vraag wordt bij veel organisaties met ‘nee’ beantwoord. Dat is niet gek. Wanneer iemand bijvoorbeeld een nieuwe functie krijgt, dan kan iemand met extra rechten zijn nieuwe functie soms niet goed uitvoeren. Het is daarentegen erg onwaarschijnlijk dat iemand te veel rechten heeft voor zijn nieuwe functie. Hierdoor kan de gewenste scheiding van taken binnen een organisatie onder druk komen te staan. Ook is de kans groot dat het te veel aan rechten binnen de organisatie steeds verder groeit doordat men voor nieuwe medewerkers om ‘dezelfde rechten als die-en-die’ vraagt.
Een oplossing kan zijn om te werken met functieprofielen waarbij rechten nooit direct aan een persoon worden gegeven, maar worden uitgedeeld op basis van rollen en functies. Het valt dan veel meer op als een medewerker zijn ‘oude’ functie nog zou behouden.

“Hoe is toegang geregeld voor een (tijdelijke) externe medewerker?”

De accountant komt langs. Of een softwareleverancier. Of een externe beheerder…. Natuurlijk moet die bij gegevens op jouw omgeving. Wat is dan de beste oplossing? Wanneer een externe met regelmaat op bezoek komt, kan het verstandig zijn om hiervoor een apart account te maken. Zo is herleidbaar wat deze persoon heeft gedaan. Een alternatief is een apart extern account wat beperkte rechten heeft en wat alleen ingeschakeld wordt wanneer het account nodig is.
Een softwareleverancier kan het beste onder begeleiding van jouw ICT-er de installatie doen zodat deze gelijk kans heeft om te zien wat de leverancier precies doet.

“Wanneer is onze ICT-omgeving voor het laatst door een externe beoordeeld?”

In analogie met de accountancy is een interessante vraag natuurlijk wanneer de ICT-omgeving voor het laatste door een externe is beoordeeld en van terugkoppeling voorzien.
Heel wat bedrijven stellen zelf hun jaarrekening op, net zoals veel bedrijven hun ICT-omgeving zelf beheren. Een aantal bedrijven (degene die aan bepaalde eisen voldoen) zijn wettelijk verplicht om de jaarrekening te laten controleren door een accountant. Op diezelfde manier zijn bijvoorbeeld organisaties  in de zorg verplicht om te voldoen aan de NEN7510, een certificering voor de betrouwbaarheid van ICT-systemen.
Net zoals er een grote groep bedrijven, die niet controleplichtig is, is de kans groot dat jouw organisatie niet verplicht is om een certificaat voor informatiebeveiliging te hebben. Aan de andere kant moet je wel voldoen aan adequate digitale beveiliging.
Om die reden kan het geen kwaad om af en toe met een externe partij te overleggen over de wijze waarop jouw ICT-omgeving is ingericht. Mogelijk kunnen afspraken gemaakt worden over het ‘doormeten’ van jouw omgeving met speciale software.

BonsenReuling denkt graag mee met haar klanten, dus wil je eens praten over de mogelijkheden? Neem dan gerust contact met mij op via g.koster@bonsenreuling.nl of 0544-39 33 33.

Auteur

Geert Koster

Senior Medewerker ICT
Binnen BonsenReuling werkzaam op de ICT-afdeling. Ik houd mij daar met name bezig met het operationeel houden van de ICT-omgeving voor onze eigen kantoren. Daarnaast breng ik voor de Audit-afdeling ICT-omgevingen van klanten in kaart en adviseer ik op het gebied van informatiebeveiliging.

  

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *