Hoe veilig is je informatie – deel 1

De laatste tijd hebben we, mede dankzij Brenno de Winter, een heleboel openheid gezien in verband met de veiligheid van de gegevens die we op internet achter laten. Wat we daaruit hebben kunnen opmaken is dat onze gegevens helemaal niet zo veilig online staan. Ook ik zelf ben gegevens kwijt geraakt door een lekke database bij Cheaptickets.nl Helaas het is nou eenmaal niet anders. Maar ik ben wel gaan kijken wat ik nu precies ben kwijt geraakt en ben de papieren gaan vervangen die van belang waren. Zo heb ik ondertussen een nieuw paspoort en heb ik dat wachtwoord gewijzigd.

Maar er zijn meer raakvlakken die dit onderwerp raken. Natuurlijk moet je als eerste je hand in eigen boezem steken. Hoe kun je over veiligheid praten als je eigen producten wellicht niet veilig zijn? Maar hoe weet je dat nou eigenlijk? Met Nexocial maken wij een sociaal business platform voor grote ondernemingen, dat heet weConnect. Dat betekent dat we een webapplicatie hebben waar gebruikers op inloggen en mogelijkerwijs via het internet beschikbaar is. Zo’n platform is natuurlijk een gewild doelwit voor veel hackers. En met onze cloud deployment wordt de applicatie ook nog eens 24/7 beschikbaar.

Hoe ga je daar dan mee om? Een paar goede stelregels om mee te nemen:
1. Herbruik de veilige systemen die al aanwezig zijn in de organisatie. Voor gebruikers is er meestal een directory structuur bezig. Hergebruik die directory structuur in plaats van nog een aparte login-database. Dat is namelijk de eerste plek waar het bij de meeste sites mis gaat. Zo gebruiken wij voor weConnect de Active Directory voor al onze gebruikers.
2. Databases waar informatie instaat, zal echt goed in elkaar moeten zitten, liefst een ISO gecertificeerde database. Hergebruik dus de databases die er al zijn, en laat informatie daarin opslaan. Daarmee worden kosten bespaard en heeft een minder groot veiligheidsrisico dan een non-proven database. Voor weConnect hergebruiken wij de Microsoft Sharepoint database.
3. Laat software aansluiten op bestaande IT beleid. Software die daar niet op aan kan sluiten, zal dus ge-evalueerd moeten worden of dat wel geschikte software is.
4. Zorg voor intrusion detection systemen voor applicaties die vanaf het internet beschikbaar zijn en zorg dat die ook gemonitored worden

Maar ook software moet veilig gemaakt worden. Voordat een applicatie in en bedrijfsomgeving naar buiten beschikbaar gemaakt wordt, moet er eens iemand met kennis naar hebben gekeken of de applicatie gehacked kan worden. Het gemakkelijkst kan dat gedaan worden door een white-hacker in te huren en hem er een week op los te laten.

Wij hebben met ons Chinese ontwikkelcentrum een unieke positie. Wij hebben geen keuze dan om onze software en infrastructuur extreem te beveiligen. Al onze communicatie, firewalls en informatie is met hoge encryptie en intrusion detectors beveiligd. Daarin zien we dat, omdat we een buitenlands bedrijf zijn in China, een hoge mate van aanvallen hebben op ons netwerk. Dat verschilt van script-kiddies tot en met serieuze (overheids?) hackers. Gelukkig geeft ons dit de ervaring hoe we hier het beste mee om kunnen gaan en daarmee ook hoe wij onze klanten beter kunnen bedienen van de juiste veilige oplossingen. Wellicht ook iets voor u?