Hoe langer hoe meer ondernemingen doen een beroep op consultants, besteden opdrachten aan freelancers uit of werven stagiairs aan. Brengen zulke externe medewerkers de veiligheid van het computerpark in het gedrang? Hoe kunt u er zeker van zijn dat ze geen data wissen, de klantenlijst niet kopiëren en geen virus op het computersysteem overdragen? Het advies van twee deskundigen.
Een goed gestructureerd netwerk
“In KMO’s en snelgroeiende organisaties gebeurt het dat het netwerk helemaal niet beveiligd is” François Bryssinck (Megabyte)
François Bryssinck, bestuurder bij de ondertussen 30 jaar jonge Megabyte, oordeelt dat eerst de structuur van het bedrijfsnetwerk onder de loep moet worden genomen. “Hoe zit het netwerk in elkaar? Is het mogelijk om de toegang tot bepaalde data te beperken? Werden verscheidene profielen gedefinieerd in functie van de medewerkers? Dit zijn allemaal belangrijke vragen als u stilstaat bij de risico’s die externe medewerkers kunnen vertegenwoordigen”, zegt hij. Jean-Paul Boon is als bestuurder en voorzitter van BDE-Group dezelfde mening toegedaan: “Het is mogelijk met virtueel gescheiden netwerken te functioneren. Het werk van externen maakt gebruik van een secundair netwerk en wordt slechts na validatie naar het hoofdnetwerk overgeheveld.”
Wanneer een externe medewerker binnen het bedrijf actief is, moet u eerst verduidelijken waartoe deze persoon toegang mag of moet krijgen. “In functie van het vertrouwen die de persoon geniet en uiteraard ook de taken waarmee ze belast is”, weet François Bryssinck. De student die een stage boekhouding komt doen, dient natuurlijk toegang te krijgen tot de boekhoudkundige gegevens. “In een dergelijk geval besteedt u best extra aandacht aan het profiel van de aangeworven stagiair of medewerker.”
Verder kunt u de toegang beperken tot het lezen van informatie (read only), zonder mogelijkheid om de data te wissen of te kopiëren. Eventueel kunnen alarmsignalen de netwerkbeheerder informeren van de pogingen van een niet bevoegde persoon om toegang te krijgen tot bepaalde data, of van het gebruik van een platform als SharePoint, waarmee kan worden nagegaan wie welke documenten heeft gedownload. “Laten we wel rekening houden met de extra werklast die hiermee gepaard gaat”, geven de twee deskundigen toe.
Doordacht investeren
“Zaakvoerders die zich druk inzetten voor het dagelijkse bestuur, beschouwen computerveiligheid niet altijd als een prioriteit. En omdat het computernetwerk goed functioneert, zien ze het nut niet in van extra investeringen.” Jean-Paul Boon (BDE-Group)
Allemaal goed en wel, maar dan moet de onderneming stroomopwaarts eraan gedacht hebben haar computernetwerk goed te structureren, wat helaas niet overal het geval is. “In grote ondernemingen is er op dat vlak doorgaans geen gebrek aan structuur. Maar in KMO’s en snelgroeiende organisaties gebeurt het dat het netwerk helemaal niet beveiligd is”, betreurt François Bryssinck. “In het begin bestaat de onderneming uitsluitend uit een aantal vertrouwenspersonen – en beveiliging lijkt dan overbodig. Maar na een groeifase wordt beveiliging wel een noodzaak, zonder dat de bedrijfsleiders zich daar rekenschap van geven.” Jean-Paul Boon beaamt: “Zaakvoerders die zich druk inzetten voor het dagelijkse bestuur, beschouwen computerveiligheid niet altijd als een prioriteit. Zij gaan er vanuit dat dit veel zou kosten en dat ze dat geld beter aan iets anders besteden. En omdat het computernetwerk goed functioneert, zien ze het nut niet in van extra investeringen.”
Tips & tricks
Nochtans kan met enkele elementaire en (nagenoeg) kosteloze maatregelen al veel worden gedaan om gegevens en configuratie te beschermen.
- Laten we beginnen met het paswoord. “Paswoorden als ‘12345’ of ‘password’ zijn niet meteen bijzonder efficiënt, maar wel heel veel gebruikt”, stelt François Bryssinck vast. Volgens hem moet een goed paswoord tegelijk letters, cijfers en een speciaal teken bevatten – en regelmatig worden veranderd.
- Het wifi netwerk is een andere klassieke zwakke schakel, die toegang kan verschaffen tot de server van de onderneming. “Als uw bedrijf regelmatig bezoekers onthaalt, voorziet u best voor hen een afzonderlijk wifi netwerk, beperkt tot internettoegang”, raadt Jean-Paul Boon aan.
- Hij pleit verder voor heel regelmatige kwaliteitsvolle back-ups van de bedrijfsgegevens. “En vergeet niet te controleren of u alle bestanden binnen de back-up gegevens vlot kunt recupereren.” Een andere manier om gegevens te beschermen, is zoveel mogelijk in een cloud te werken.
- Bescherming kan ook via het invoeren van een proces dat al het werk van externen valideert. “Dit is wel een logge manier van werken”, geeft François Bryssinck toe. Neem nu het geval van een webmaster die de web pages van zijn klant beheert. De validatie van deze publicaties door een interne medewerker voordat ze online verschijnen, is technisch mogelijk. Hierdoor verkleint het risico dat de webmaster ongepaste informatie publiceert, maar de procedure is vrij tijdrovend, in een domein waar reactiviteit van belang is.
- Een andere aanbeveling: laat externen op computerapparatuur van het bedrijf werken. De laptops van externen zijn niet noodzakelijk up-to-date of efficiënt beschermd. Als een dergelijke laptop (al dan niet opzettelijk) een virus bevat, dan kan hij via een eenvoudige connectie het ganse netwerk van de onderneming besmetten. Jean-Paul Boon: “Ik raad ondernemingen ook aan om bedrijfseigen e-mailadressen te creëren voor externen, ook al blijven ze niet lang, en de toegang te verbieden tot persoonlijke mailboxen als hotmail en gmail, die heel wat virussen kunnen bevatten.”
- Wees voorzichtig bij de rekrutering. Naargelang van de opdrachten dient u min of meer streng te zijn bij de selectie van externen en/of stagiairs … zonder in paranoia te vervallen, uiteraard! “Alle gevaren uitsluiten, is niet mogelijk, maar wanneer u opdrachten aan zorgvuldig geselecteerde personen hebt toevertrouwd, verdienen ze ook uw vertrouwen. Een externe medewerker heeft er in principe geen enkel belang bij om zijn klant in de problemen te brengen, want hij riskeert ontslag en zelfs vervolgingen”, stelt François Bryssinck.
- Voor Bryssinck is ook een zeer duidelijke procedure van opdrachtbeëindiging noodzakelijk: “Vertrekkende medewerkers en computertoegang op afstand krijgen niet altijd de nodige aandacht. Sluit elke vorm van toegang af wanneer de opdracht van een externe medewerker is beëindigd. Zeker als de afscheid niet optimaal is gebeurd.”
Een beroep op professionals
Data zijn van vitaal belang voor een onderneming. Daarom stellen bedrijven hun computerbeveiliging best regelmatig in vraag, beweren onze deskundigen. Bedrijven groeien en de technologie ontwikkelt zich razendsnel, terwijl hackers steeds nieuwe aanvalstechnieken bedenken. Tijdens de afgelopen maanden werden talrijke organisaties geconfronteerd met de zogenaamde cryptolockers. Deze nieuwe bedreigingen worden vaak per e-mail verstuurd. Het volstaat dat een medewerker op de link klikt om alle gegevens van het bedrijf te versleutelen. De data worden ‘gegijzeld’ en slechts tegen betaling van een fors losgeld weer vrijgegeven. “Dat soort aanslagen bestond vijf jaar geleden niet”, zegt François Bryssinck. De hackers zijn steeds creatiever. Een keer per jaar de beveiligingsmaatregelen van de onderneming doorlichten, is dus zeker geen luxe. “In kleinere bedrijven is een dergelijke aanpak echter nog niet ingeburgerd”, betreurt hij. Hij pleit voor een waarachtig computerbeveiligingsbeleid die externen systematisch zouden moeten ondertekenen.
Beide deskundigen raden bedrijven aan om een beroep te doen op gespecialiseerde professionals die oplossingen kunnen ontwikkelen volgens de specifieke risico’s en behoeften van de onderneming. Niet alle bedrijven ondergaan hetzelfde gevaar. Daar moet rekening mee worden gehouden tijdens de analyse van de beveiligingsbehoeften. “Laten we ook niet in het andere uiterste gevallen, want met overdreven beveiliging wordt het werk van het personeel bijzonder omslachtig”, besluit François Bryssinck.