“Sterke gegevensbeveiliging is een proces, geen checklist.” We hebben deze slogan allemaal gehoord – en met goede reden. De manier waarop gevoelige informatie de netwerken van uw bedrijf of de softwareproducten die u ontwikkelt binnenkomt, passeert en verlaat, evolueert voortdurend. Hetzelfde geldt voor de risico’s die hackers en datadieven met zich meebrengen als ze zich aanpassen aan de tegenmaatregelen die zijn genomen om hun inspanningen te dwarsbomen. Als u gegevensbeveiliging met een harde houding benadert, negeert u de realiteit van het hier en nu waarmee u te maken krijgt. Dit is waarom Begin met veiligheid beveelt bedrijven aan procedures hiervoor in te voeren houd uw beveiliging up-to-date en adresseer eventuele kwetsbaarheden.
Een blik op de handhavingsacties van de FTC, de afgesloten onderzoeken en de ervaringen die bedrijven met ons hebben gedeeld, toont de wijsheid van dit advies aan. Deze voorbeelden illustreren waarom u uw beveiliging up-to-date moet houden en snel moet reageren op geloofwaardige bedreigingen.
Software bijwerken en patchen.
Soms komen bedrijven erachter dat hun netwerken – of software van derden die op hun netwerken is geïnstalleerd – kwetsbaar zijn voor een nieuwe vorm van bedreiging. Als dat zo is, zoek dan uit wat de experts aanbevelen en handel dienovereenkomstig.
In andere gevallen stelt een bedrijf vast dat zijn producten die al in handen zijn van consumenten kwetsbaar zijn voor een bestaande of nieuwe dreiging. Als dit het geval is, onderneem dan stappen om het probleem op te lossen met een update of patch, en handel snel om klanten te informeren over de corrigerende stappen die ze moeten nemen.
Voorbeeld: Een eigenaar van een thuisbedrijf koopt een nieuwe laptop om zijn bedrijf te runnen. Installeer antivirussoftware van een gerenommeerd bedrijf. Wanneer de bedrijfseigenaar de keuze op het scherm krijgt, staat hij toe dat de software de virusbescherming van de laptop automatisch bijwerkt. In dergelijke omstandigheden is de keuze voor automatische updates een verstandige beslissing.
Voorbeeld: Een regionale kapsalonketen gebruikt software van derden om de detailhandelsverkopen en voorraad te beheren. Wanneer er een e-mail binnenkomt van de leverancier waarin gebruikers van de software worden geadviseerd een patch te installeren om een beveiligingsprobleem aan te pakken, bezoekt een aangewezen medewerker de site van de leverancier, bevestigt de authenticiteit van het bericht en onderneemt vervolgens de nodige stappen om de software bij te werken. Door een systeem te hebben dat beveiligingscommunicatie van leveranciers bewaakt en erop reageert, heeft het bedrijf geholpen de beveiliging up-to-date te houden.
Voorbeeld: Een bedrijf verkoopt een populaire lijn persoonlijke financiële software. Nadat veel consumenten het product al hebben gekocht, ontdekt het bedrijf een beveiligingsprobleem in de software. Het bedrijf maakt een nieuwe versie van de software die de kwetsbaarheid verhelpt. Het neemt echter geen contact op met bestaande klanten om een patch aan te bieden en houdt geen rekening met kwetsbare software die nog in de winkelschappen verkrijgbaar is. Door de oplossing niet effectief te implementeren, bracht het bedrijf gevoelige consumenteninformatie in gevaar.
Plan hoe u beveiligingsupdates voor uw productsoftware gaat leveren.
Hoe veilig u ook denkt dat uw product is, er kunnen in de toekomst softwarekwetsbaarheden worden ontdekt. Beveiligingsbewuste bedrijven hebben een plan opgesteld om tijdige beveiligingsupdates uit te brengen. De methode zal afhangen van de aard van het product, maar het is raadzaam om deze eventualiteiten te voorzien voordat u het op de markt brengt.
Voorbeeld: Een bedrijf maakt een thermostaat die verbinding maakt met internet. Uw bedrijf stelt standaardinstellingen in om automatisch te controleren op beveiligingsupdates die door uw bedrijf worden verspreid, en deze te installeren. Door hun product zo te ontwerpen dat het de nodige updates biedt, heeft het bedrijf een veiligere ontwerpkeuze gemaakt.
Voorbeeld: Een bedrijf maakt een keukenapparaat dat verbinding maakt met internet. Al vroeg in de productontwikkeling stelt het bedrijf vast dat automatische beveiligingsupdates niet haalbaar zijn. Daarom ontwerpt het bedrijf het apparaat met een waarschuwingsknop die een visueel signaal geeft dat er online een beveiligingsupdate beschikbaar is. Bovendien hebben gebruikers tijdens de initiële installatiewizard de mogelijkheid om een extra communicatiemethode toe te voegen, zoals sms of e-mail, om waarschuwingen te ontvangen wanneer er een beveiligingsupdate beschikbaar is. Door deze communicatiekanalen vanaf het begin op te bouwen, heeft het bedrijf het gemakkelijker gemaakt om klanten te informeren over toekomstige updates of beveiligingspatches.
Besteed aandacht aan geloofwaardige beveiligingswaarschuwingen en handel snel om het probleem op te lossen.
Als het om beveiliging gaat, zijn er veel gesprekken tussen technologie-experts, onderzoekers, overheidsinstanties, professionals uit de industrie en consumenten. Gezien de rijkdom aan expertise die beschikbaar is, is het verstandig om de vinger aan de pols te houden als het onderwerp zich richt op opkomende risico’s en potentiële kwetsbaarheden. Wees voorzichtig als u zich bewust wordt van beveiligingsadviezen die van invloed kunnen zijn op uw netwerk of product. En als experts proberen contact op te nemen met uw bedrijf om een bepaald alarm te slaan, zullen hun berichten dan snel de juiste mensen bereiken?
Voorbeeld: Een app-ontwikkelaar ontvangt duizenden e-mails per dag. Op zijn website verwijst hij mensen naar e-mail klantenservice(at)bedrijfsnaam.com met vragen of opmerkingen over het opnieuw instellen van wachtwoorden, betalingen en andere typische consumentenproblemen. Als er echter potentiële beveiligingsproblemen zijn, stuur mensen dan door naar e-mail security(at)bedrijfsnaam.com. De app-ontwikkelaar wijst een ervaren medewerker aan die de inbox regelmatig controleert en eventuele plausibele problemen onmiddellijk rapporteert aan het juiste personeel, zoals de softwarebeveiligingsingenieurs van de ontwikkelaar. Door aandacht te besteden aan geloofwaardige beveiligingswaarschuwingen en snel te handelen om deze te onderzoeken en op te lossen, kan de app-ontwikkelaar mogelijk een probleem voorkomen of een risico beperken.
Voorbeeld: Een beveiligingsonderzoeker vindt een ernstige kwetsbaarheid in een app. De onderzoeker probeert contact op te nemen met de app-ontwikkelaar, maar kan het bedrijf niet anders bereiken dan via een algemeen zakelijk telefoonnummer. In de training krijgen administratieve medewerkers die spraakberichten ophalen van het algemene nummer de opdracht om berichten van onbekende derden te verwijderen. Een betere praktijk zou zijn om communicatie over potentiële kwetsbaarheden – bugrapporten – door te sturen naar een speciaal kanaal waar ze kunnen worden geëvalueerd door gekwalificeerd beveiligingspersoneel.
De les voor bedrijven die zich inzetten voor het waarborgen van de veiligheid is om vooraf kanalen te creëren voor het ontvangen en verzenden van kritische informatie over potentiële kwetsbaarheden. Handel snel om passende beveiligingsmaatregelen te implementeren.
Volgende in de serie: Bescherm papier, fysieke media en apparaten
