DeltaISIS logo
Kabelstraat 1
1322 AD Almere
t 036 5241 111
f 036 5241 110
info@deltaisis.nl
DeltaISIS
Missie Portfolio Bijzondere Expertise Partnerships De naam DeltaISIS Historie
Implementatie Services
Gestructureerd testen Auditing Implementatie Begeleiding Pakketselectie Procesmanagement
Infrastructuur Services
IT-Beheer Ontwerp Netwerken Security Scan Software as a service (S.A.A.S) Skilled Servicedesk ITSC Support
 SBC & Virtualisatie
Eigen oplossingen Expertise met Virtualisatie DVS DVS4SBC
Werken Bij
Hoogvlieger in de ICT gezocht! Accountmanager Evenwichtskunstenaar met ICT-achtergrond Systeembeheerders / Netwerkbeheerders met virtualisatie bloed! Projectleider Tester Sollicitatieformulier
Publicaties
Algemeen
De overheid koopt vanaf 2010 duurzaam in
Crisis
MVO tijdens de economische crisis
Security
Geldklopperij? Invoering EPD na kraak uitgesteld [ZDNET] Kraak EPD-pas kost Rijk miljoenen euro's [NRC] Mijn wachtwoord! Security beleid Security door je netwerkapparatuur Website hacking
Virtualisatie
De relativiteitstheorie van virtualisatie Gebruikers zijn lastige wezens...! Technologie ontwikkelt zich te snel door Valkuil: Verstandsvirtualisatie Valkuil: Rendementsvirtualisatie Valkuil: "Goedemorgen, met Edwin..." Valkuil: Gezond verstand en echt rendement Volgende generatie SBC, VDI en cloud computing
Security beleid

Auteur: E. Westhovens

Vaak krijg ik de vraag van bedrijven wat ze moeten doen om veilig te zijn voor de buitenwereld, maar ook voor de interne medewerkers. De gesprekken gaan dan vaak over Firewalls, antivirus, anti-malware en dergelijke. Dat is heel belangrijk, natuurlijk en ook goed om te bespreken, maar het belangrijkste wordt vaak wel vergeten. Want om écht veilig te zijn moet er gestart worden met een beveiligingsbeleid. Binnen het bedrijf waar ik voor werk (DeltaISIS, red.) hebben we mensen getraind in het begeleiden en maken van een beveiligingsbeleid op maat. Maar wat is nu een beveiligingsbeleid? Een goed beveiligingsbeleid beschrijft een aantal punten:

  • Server Security
  • Netwerk Security
  • Cliënt Security
  • DMZ Security
  • Email- en Internetbeleid

Server Security
Server Security beschrijft een standaard waaraan elke server moet voldoen voordat deze operationeel geplaatst kan worden. Het beschrijft de local security policy, inrichtingsspecificaties maar ook de local hardening. Het testen van een server kan handmatig gedaan worden, maar dat leid vaak tot vergeten, of nog erger, niet doen. Er zijn echter goede tools om dit te doen. Altiris heeft een oplossing genaamd Altiris Security Expressions en Audit Express. Met behulp van deze software is het niet alleen mogelijk om een server te scannen voordat hij live gaat, maar ook om op wekelijkse of maandelijkse basis te scannen. De rapportages die dan ontstaan kunnen vervolgens als KPI (Key Performance Indicator) gebruikt worden. 

Netwerk Security
Bij Netwerk Security worden alle componenten beschreven. Meestal denkt men alleen aan de firewall, maar er is natuurlijk veel meer. Denk bijvoorbeeld eens aan subnetting. Door het gebruik van sunbennting op grotere netwerken wordt het netwerk als het ware verdeelt in meerdere netwerken. Als er een calamiteit ontstaat op een segment door hetzij een trojan horse, hetzij een virus, dan wordt de rest niet snel besmet. Al met al beschrijft Netwerk Security de firewall, de switches maar ook de componenten als scanners/printers, proxy servers en patchpunt-beveiligingen.  

Cliënt Security
Cliënt Security beschrijft waaraan een pc moet voldoen voordat hij gebruikt kan worden. De policies moeten geladen zijn. De proxy moet gezet worden. Maar ook of de cliënt wel op het netwerk mag.  Voor vaste pc’s is dit niet al te ingewikkeld. Met behulp van Altiris Security Expressions kunnen deze ook gescand worden. Maar vaak wil je continu weten of een pc wel voldoet. Zeker bij laptops die niet continu in het netwerk geplaatst zijn is dit vaak moeilijk. Ook hiervoor is er een oplossing. Met behulp van Symantec SEP 7 (Security Endpoint Protection) monitort een agent continu een pc. Op het moment dat de pc besmet raakt of niet voldoet dan sluit SEP de pc af van het netwerk en kan het virus zich niet verder verspreiden. Geïntegreerd in SEP 7 zit dan ook nog eens een heel mooie oplossing waarmee actief een WIFI of Bluetooth poort gemonitord wordt. Je wilt natuurlijk niet dat als een gebruiker op je secure netwerk is ingelogd deze de WIFI poort aan heeft staan en daarom via een Peer to Peer connectie je netwerk compleet open zet. Meerdere malen hebben we al geconstateerd dat dit tot een groot risico op je netwerk leid. 

DMZ Security
Je DMZ is de toegang tot je netwerk, en alleen gescheiden door een firewall. Maar telkens weer zien we dat het DMZ ook meteen een groot risico is. DMZ servers die door de firewall toegestaan word om LDAP queries te doen zodat gebruikers maar 1 wachtwoord hoeven te onthouden. Dat zijn dus compleet open deuren voor kwaadwillenden. 

Email- en Internetbeleid
Mogen je gebruikers zomaar alle Internet sites bezoeken en/of alle e-mail openen? Heb je dit ingeregeld op je proxy- en/of je emailserver? Heel vaak lopen we dan achter de feiten aan. We kunnen simpelweg niet op elk moment van de dag weten wat wel en wat niet gevaarlijk is. In een goed beleid kunnen we gebruikers bewust maken van het gevaar van hun gedrag. Het simpelweg blokkeren van alles waar het woord SEX in voorkomt lijkt een goede maatregel, maar je klant in Sussex die net een gigantische order heeft geplaatst word er niet blij van. En je baas ook niet want de order blijft steken in je email of firewall.  

Wat zijn de belangrijkste punten waaraan je moet voldoen om een goed beveiligingsbeleid te hebben?

 

  • Het volledige management moet het beleid dragen. Je hebt niets aan een beleid als er geen sancties tegenover staan. Wat vaak als sanctie goed werkt is een aangetekende brief aan de gebruiker die zich niet volgens de regels gedraagt en een aantekening in zijn/haar dossier. Als het een periodieke beoordeling kan beïnvloeden, dan werkt het zelfs heel erg goed.
  • Je medewerkers moeten op de hoogte zijn van het beleid en dit regelmatig kunnen inzien. Plaats het op het intranet. Maar stuur het ook aan alle medewerkers.
  • Stel het NIET zelf op. Vaak zie je dingen over het hoofd en dat leid tot nog ergere gevolgen. Het geeft een vals gevoel van veiligheid. Huur een gespecialiseerde consultant in die het beleid voor je ontwerpt. Mensen van DeltaISIS zien vaak een falend beveiligingsbeleid en moeten het dan goed maken. En dan blijkt dat er cruciale zaken over het hoofd zijn gezien.
  • Selecteer in je bedrijf een vertrouwenspersoon met een functie op HR of P&O, en een medewerker van ICT die je primair verantwoordelijk maakt voor een correcte naleving.
  • Koop geen monitortools, maar selecteer een tool die in jouw omgeving niet alleen monitort, maar ook gebruikt kan worden voor auditing. Onder het motto voorkomen is beter dan genezen.
  • Maar vooral! Begin met een goed advies van een partij als DeltaISIS die de basis uitzet en als leidraad dient voor een juiste en correcte implementatie van je eigen bedrijfs security beleid.