Column Hugo Leijtens: Hoe veilig is je informatie? – deel 1
15-12-2011
Deel dit artikel:

Column Hugo Leijtens: Hoe veilig is je informatie? – deel 1


De laatste tijd hebben we, mede dankzij journalist Brenno de Winter, veel openheid gekregen over de veiligheid van gegevens die we op internet achterlaten. Wat we daaruit kunnen opmaken is dat onze gegevens online helemaal niet zo veilig zijn. Ook ik zelf ben gegevens kwijt geraakt door een lekke database bij Cheaptickets.nl. Helaas, het is niet anders. Maar ik ben wél gaan kijken wat ik nu precies ben kwijt geraakt en heb papieren die van belang zijn vervangen. Zo heb ik intussen een nieuw paspoort en heb ik mijn wachtwoord voor Cheaptickets gewijzigd.

Maar er is meer dat dit onderwerp raakt. Natuurlijk moet je als eerste je hand in eigen boezem steken. Hoe kun je over veiligheid praten als je eigen producten wellicht niet veilig zijn? Maar hoe weet je dat eigenlijk? Met Nexocial maken wij weConnect, een sociaal business platform voor grote ondernemingen. Het is een webapplicatie waar gebruikers op moeten inloggen en die applicatie is eventueel ook via het internet beschikbaar. Zo’n platform is dan natuurlijk een gewild doelwit voor hackers. En als onze applicatie in de cloud draait, is die ook nog eens 24/7 beschikbaar.

Hoe ga je daar dan mee om? Een paar goede stelregels:

  1. Hergebruik veilige systemen die al aanwezig zijn in de organisatie. Voor gebruikers is er meestal een directorystructuur. Gebruik die directorystructuur in plaats van een aparte login-database. Op dit punt gaat het namelijk als eerste mis bij de meeste sites. Zo gebruiken wij voor weConnect de Active Directory voor alle gebruikers.
  2. De databases waar informatie voor de applicatie in wordt opgeslagen, zullen echt goed in elkaar moeten zitten. Werkt het liefst met een ISO-gecertificeerde database. Gebruik dus de databases die er al zijn, en zorg dat informatie daarin wordt opgeslagen. Dat bespaart kosten en met zo’n database loop je minder veiligheidsrisico’s dan met een database die zich niet in de praktijk heeft bewezen. Voor weConnect hergebruiken wij de Microsoft Sharepoint database.
  3. Laat software aansluiten op het IT-beleid. Van software die daar niet op aan kan sluiten, zal dus bepaald moeten worden of die wel geschikt is.
  4. Zorg voor intrusion detection systemen voor applicaties die via het internet beschikbaar zijn en zorg dat die systemen ook gemonitord worden.

Maar ook software zelf moet veilig gemaakt worden. Voordat een applicatie in en bedrijfsomgeving van buitenaf toegankelijk gemaakt wordt, moet eerst iemand met kennis nagaan of de applicatie gehackt kan worden. Dat kan het gemakkelijkst door een ‘white hat’ hacker in te huren en hem er een week op los te laten.

Wij bevinden ons met ons Chinese ontwikkelcentrum in een unieke positie. Wij hebben geen andere keuze dan onze software en infrastructuur extreem te beveiligen. Al onze communicatie, firewalls en informatie is met zware encryptie en intrusion detectors beveiligd. We zijn een buitenlands bedrijf in China en we zien daardoor veel aanvallen op ons netwerk door script-kiddies tot en met serieuze (overheids?) hackers. Gelukkig krijgen we zo ervaring om hier het beste mee om te gaan en daarmee ook hoe wij onze klanten echt veilige oplossingen kunnen bieden. Wellicht ook iets voor u?
 

Terug naar nieuws overzicht

Tags

Security
Security