“Een goede gegevensbeveiliging is een proces, geen checklist.” We hebben deze slogan allemaal gehoord – en met goede reden. De manier waarop gevoelige informatie het netwerk van uw bedrijf of de softwareproducten die u ontwikkelt binnenkomt, door en verlaat, evolueert voortdurend. Dat geldt ook voor de risico’s die hackers en datadieven met zich meebrengen als zij zich aanpassen aan de tegenmaatregelen die u neemt om hun inspanningen te dwarsbomen. Wanneer u gegevensbeveiliging benadert met een eenmalige houding, negeert u de realiteit van het hier en nu waarmee u te maken krijgt. Daarom Begin met veiligheid beveelt bedrijven aan procedures hiervoor in te voeren houd uw beveiliging up-to-date en verhelp eventuele kwetsbaarheden die zich kunnen voordoen.
Een blik op de handhavingsacties van de FTC, de afgesloten onderzoeken en de ervaringen die bedrijven met ons hebben gedeeld, toont de wijsheid van dit advies aan. Deze voorbeelden illustreren waarom u uw beveiliging up-to-date moet houden en snel moet reageren op geloofwaardige bedreigingen.
Software bijwerken en patchen.
Soms komen bedrijven erachter dat hun netwerken (of software van derden die op hun netwerken is geïnstalleerd) kwetsbaar zijn voor een nieuw type bedreiging. Als dat zo is, zoek dan uit wat de experts aanbevelen en handel dienovereenkomstig.
In andere gevallen stelt een bedrijf vast dat zijn eigen producten die al in handen zijn van consumenten kwetsbaar zijn voor een bestaande of nieuwe dreiging. Onderneem in dit geval stappen om het probleem op te lossen met een update of patch en onderneem snel actie om klanten te informeren over de te nemen herstelstappen.
Voorbeeld: De eigenaar van een thuisbedrijf koopt een nieuwe laptop om zijn bedrijf te beheren. Hij installeert antivirussoftware van een gerenommeerd bedrijf. Wanneer de bedrijfseigenaar de keuze op het scherm krijgt, staat hij toe dat de software de antivirusbescherming van de laptop automatisch bijwerkt. In die situatie is kiezen voor automatische updates een verstandige beslissing.
Voorbeeld: Een regionale keten van kapsalons gebruikt software van derden om de detailhandelsverkopen en voorraad te beheren. Wanneer er een e-mail binnenkomt van de leverancier waarin gebruikers van software worden geadviseerd een patch te installeren om een beveiligingsprobleem op te lossen, bezoekt een aangewezen medewerker de website van de leverancier, verifieert de authenticiteit van het bericht en onderneemt vervolgens de nodige stappen om de software bij te werken. Door te beschikken over een systeem dat beveiligingscommunicatie van leveranciers monitort en erop reageert, heeft het bedrijf geholpen de beveiliging up-to-date te houden.
Voorbeeld: Een bedrijf verkoopt een populaire lijn persoonlijke financiële software. Nadat veel consumenten het product al hebben gekocht, ontdekt het bedrijf een beveiligingsprobleem in de software. Het bedrijf maakt een nieuwe versie van de software die de kwetsbaarheid verhelpt. Er wordt echter geen contact opgenomen met bestaande klanten om een patch aan te bieden, en er wordt geen rekening gehouden met kwetsbare software die nog steeds in de winkel verkrijgbaar is. Door de oplossing niet effectief te implementeren, bracht het bedrijf gevoelige informatie van consumenten in gevaar.
Plan hoe u beveiligingsupdates voor de software van uw product levert.
Hoe veilig u ook denkt dat uw product is, er kunnen in de toekomst softwarekwetsbaarheden worden ontdekt. Beveiligingsbewuste bedrijven hebben een plan om tijdig beveiligingsupdates uit te brengen. De methode zal afhangen van de aard van het product, maar het is verstandig om deze onvoorziene omstandigheden in te bouwen voordat het op de markt komt.
Voorbeeld: Een bedrijf produceert een thermostaat die verbinding maakt met internet. Het bedrijf configureert standaardinstellingen om automatisch te controleren op beveiligingsupdates die het bedrijf implementeert en deze te installeren. Door zijn product te ontwerpen met een methode om de noodzakelijke updates te leveren, heeft het bedrijf een veiligere ontwerpkeuze gemaakt.
Voorbeeld: Een bedrijf produceert een keukenapparaat dat verbinding maakt met internet. In de eerste productontwikkelingsfase stelt het bedrijf vast dat automatische beveiligingsupdates niet mogelijk zijn. Daarom ontwerpt het bedrijf het apparaat met een waarschuwingsknop die een visueel signaal geeft dat er online een beveiligingsupdate beschikbaar is. Bovendien hebben consumenten tijdens de initiële installatiewizard de mogelijkheid om een extra communicatiemethode toe te voegen (bijvoorbeeld sms of e-mail) om meldingen te ontvangen wanneer er een beveiligingsupdate beschikbaar is. Door deze communicatiekanalen vanaf het begin in te bouwen, heeft het bedrijf het gemakkelijker gemaakt om klanten te informeren over toekomstige beveiligingsupdates of patches.
Let op geloofwaardige beveiligingswaarschuwingen en onderneem snel actie om het probleem op te lossen.
Als het om beveiliging gaat, is er veel overleg tussen technische experts, onderzoekers, overheidsinstanties, professionals uit de industrie en consumenten. Omdat er een schat aan expertise beschikbaar is, is het verstandig om uw oor op de grond te houden als het gaat om opkomende risico’s en potentiële kwetsbaarheden. Wees alert als u beveiligingswaarschuwingen hoort die van invloed kunnen zijn op uw netwerk of product. Als experts uw bedrijf proberen te bereiken om een specifiek alarm te slaan, komen hun berichten dan net zo snel bij de juiste mensen terecht?
Voorbeeld: Een app-ontwikkelaar ontvangt duizenden e-mails per dag. Op de website verwijst het mensen naar e-mail klantenservice(at)bedrijfsnaam.com met vragen of opmerkingen over het opnieuw instellen van wachtwoorden, betalingen en andere typische consumentenproblemen. In het geval van een mogelijk beveiligingsprobleem worden mensen echter doorverwezen naar e-mail security(at)bedrijfsnaam.com. De app-ontwikkelaar wijst een deskundige medewerker aan die deze mailbox regelmatig controleert en plausibele zorgen onmiddellijk meldt aan het juiste personeel, bijvoorbeeld de softwarebeveiligingsingenieurs van de ontwikkelaar. Door gehoor te geven aan geloofwaardige beveiligingswaarschuwingen en snel actie te ondernemen om deze te onderzoeken en op te lossen, kan de app-ontwikkelaar mogelijk een probleem voorkomen of een risico beperken.
Voorbeeld: Een beveiligingsonderzoeker vindt een grote kwetsbaarheid in een app. De onderzoeker probeert contact op te nemen met de app-ontwikkelaar, maar kan het bedrijf niet anders bereiken dan via een regulier zakelijk telefoonnummer. Tijdens de training krijgen administratieve medewerkers die voicemails ophalen van het algemene nummer de opdracht om berichten van onbekende derden te verwijderen. Een betere praktijk zou zijn om communicatie over potentiële kwetsbaarheden (bugrapporten) naar een speciaal kanaal te leiden waar ze kunnen worden geëvalueerd door gekwalificeerd beveiligingspersoneel.
De les voor bedrijven die zich inzetten voor beveiliging is om vooraf kanalen te creëren voor het ontvangen en verzenden van kritische informatie over potentiële kwetsbaarheden. Handel snel om passende beveiligingsmaatregelen te implementeren.
Volgende in de serie: Beveilig papier, fysieke media en apparaten
