“Goede databeveiliging is een proces, geen checklist.” We hebben deze slogan allemaal gehoord – en met goede reden. De manier waarop gevoelige informatie het netwerk van uw bedrijf of de softwareproducten die u ontwikkelt binnenkomt, via en verlaat, evolueert voortdurend. Hetzelfde geldt voor de risico’s die hackers en datadieven met zich meebrengen als zij zich aanpassen aan de voorzorgsmaatregelen die u neemt om hun inspanningen te dwarsbomen. Als u gegevensbeveiliging benadert met een eenmalige houding, negeert u de realiteit waarmee u vandaag de dag wordt geconfronteerd. Daarom Begin met beveiliging aanbevelen dat bedrijven procedures implementeren om dit te bewerkstelligen het up-to-date houden van uw beveiliging en het aanpakken van eventuele kwetsbaarheden die zich kunnen voordoen.
Een blik op de handhavingsacties van de FTC, afgesloten onderzoeken en ervaringen die door het bedrijfsleven met ons zijn gedeeld, laat zien hoe verstandig dat advies is. Deze voorbeelden illustreren waarom u uw beveiliging up-to-date moet houden en snel moet reageren op geloofwaardige bedreigingen.
Software bijwerken en patchen.
Soms ontdekken bedrijven dat hun netwerken – of software van derden die op hun netwerken is geïnstalleerd – kwetsbaar zijn voor nieuwe vormen van bedreigingen. Als dat het geval is, zoek dan uit wat de experts aanbevelen en handel dienovereenkomstig.
In andere gevallen stelt een bedrijf vast dat zijn producten die al in handen zijn van consumenten kwetsbaar zijn voor bestaande of nieuwe bedreigingen. Onderneem in dit geval stappen om het probleem op te lossen met een update of patch en onderneem snel actie om klanten op de hoogte te stellen van de herstelstappen die ze moeten nemen.
Voorbeeld: De eigenaar van een thuisbedrijf koopt een nieuwe laptop om zijn bedrijf te beheren. Hij installeerde antivirussoftware van een gerenommeerd bedrijf. Wanneer bedrijfseigenaren de optie op het scherm krijgen, laten ze de software automatisch de antivirusbescherming van de laptop bijwerken. In dit geval is het kiezen voor automatische updates een verstandige beslissing.
Voorbeeld: Een regionale kapsalonketen gebruikt software van derden om de detailhandelsverkopen en voorraad te beheren. Wanneer er een e-mail binnenkomt van een leverancier die softwaregebruikers adviseert een patch te installeren om een beveiligingsprobleem aan te pakken, bezoekt een aangewezen medewerker de site van de leverancier, bevestigt de authenticiteit van het bericht en onderneemt vervolgens de nodige stappen om de software bij te werken. Door een systeem te hebben dat beveiligingscommunicatie van leveranciers bewaakt en erop reageert, hebben bedrijven geholpen hun beveiliging up-to-date te houden.
Voorbeeld: Een bedrijf verkoopt een populair pakket persoonlijke financiële software. Nadat veel consumenten het product hadden gekocht, merkte het bedrijf een beveiligingsprobleem in de software op. Het bedrijf heeft een nieuwe versie van de software gemaakt die het beveiligingslek verhelpt. Het bedrijf nam echter geen contact op met bestaande klanten om patches aan te bieden en hield geen rekening met kwetsbare software die nog steeds in de winkel verkrijgbaar is. Door de oplossing niet effectief te implementeren, heeft het bedrijf gevoelige informatie van consumenten in gevaar gebracht.
Plan hoe u beveiligingsupdates voor uw productsoftware gaat leveren.
Hoe veilig uw product ook is, er kunnen in de toekomst softwarekwetsbaarheden worden ontdekt. Beveiligingsbewuste bedrijven hebben een plan om beveiligingsupdates tijdig uit te brengen. De methode zal afhangen van de aard van het product, maar het is verstandig om die mogelijkheden vast te stellen voordat je het op de markt brengt.
Voorbeeld: Een bedrijf produceert op internet aangesloten thermostaten. Bedrijven configureren standaardinstellingen om automatisch door het bedrijf geïmplementeerde beveiligingsupdates te zoeken en te installeren. Door zijn producten te ontwerpen met een methode die direct de nodige updates biedt, heeft het bedrijf veiliger ontwerpkeuzes gemaakt.
Voorbeeld: Een bedrijf produceert keukenapparatuur die verbinding maakt met internet. In de vroege stadia van de productontwikkeling stelde het bedrijf vast dat automatische beveiligingsupdates niet mogelijk waren. Daarom ontwierp het bedrijf de tool met een waarschuwingsknop die een visuele indicatie geeft dat er online een beveiligingsupdate beschikbaar is. Bovendien hebben consumenten tijdens de initiële installatiewizard de mogelijkheid om extra communicatiemethoden toe te voegen – bijvoorbeeld sms of e-mail – om meldingen te ontvangen wanneer beveiligingsupdates beschikbaar zijn. Door deze communicatiekanalen vanaf het begin op te zetten, maken bedrijven het gemakkelijker om informatie aan klanten te communiceren over toekomstige updates of beveiligingspatches.
Besteed aandacht aan geloofwaardige beveiligingswaarschuwingen en onderneem snel actie om problemen op te lossen.
Wat betreft veiligheidskwesties is er veel discussie tussen technologie-experts, onderzoekers, overheidsinstanties, experts uit de industrie en consumenten. Met zoveel expertise tot uw beschikking kunt u het beste gefocust blijven als het onderwerp zich richt op opkomende risico’s en potentiële kwetsbaarheden. Let op wanneer u zich bewust wordt van beveiligingswaarschuwingen die van invloed kunnen zijn op uw netwerk of producten. En als experts proberen contact op te nemen met uw bedrijf om een bepaald alarm te laten afgaan, komt hun boodschap dan snel bij de juiste mensen terecht?
Voorbeeld: App-ontwikkelaars ontvangen elke dag duizenden e-mails. Op zijn website verwijst hij mensen naar e-mail klantenservice(at)bedrijfsnaam.com met vragen of opmerkingen over het opnieuw instellen van wachtwoorden, betalingen en andere veelvoorkomende consumentenproblemen. Als er echter een potentieel beveiligingsprobleem is, worden mensen hierdoor doorverwezen naar e-mail security(at)bedrijfsnaam.com. De applicatieontwikkelaar wijst een deskundige medewerker aan die de mailbox regelmatig controleert en redelijke zorgen onmiddellijk meldt aan het juiste personeel, bijvoorbeeld de softwarebeveiligingsingenieur van de ontwikkelaar. Door geloofwaardige beveiligingswaarschuwingen in acht te nemen en snel actie te ondernemen om deze te onderzoeken en op te lossen, kunnen applicatieontwikkelaars mogelijk problemen voorkomen of risico’s beperken.
Voorbeeld: Een beveiligingsonderzoeker vindt een grote kwetsbaarheid in een applicatie. Onderzoekers probeerden contact op te nemen met de app-ontwikkelaar, maar konden geen andere manier vinden om contact op te nemen met het bedrijf dan via het openbare telefoonnummer van het bedrijf. Tijdens de training wordt administratief personeel dat spraakberichten ophaalt van openbare nummers geïnstrueerd om berichten van onbekende derden te verwijderen. Een betere praktijk is om communicatie over potentiële kwetsbaarheden – bugrapporten – te sturen naar een speciaal kanaal waar de kwetsbaarheid kan worden geëvalueerd door gekwalificeerd beveiligingspersoneel.
De les voor bedrijven die zich inzetten om veilig te blijven, is om vooraf kanalen te creëren om cruciale informatie over potentiële kwetsbaarheden te ontvangen en te verzenden. Handel snel om de juiste beveiligingsoplossingen te implementeren.
Volgende serie: Beveilig papier, fysieke media en apparaten
