INFORMATIEBEVEILIGING VOOR WEBWINKELS

Transcriptie

1 INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS

2 In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten. Als webwinkeleigenaar staat de bescherming en beveiliging van de gegevens van uw klanten op nummer 1. Bovendien zit u niet te wachten op reputatieschade door slechte beveiliging, of op hackers die in uw systemen rommelen. Helaas blijkt uit onderzoek van de Consumentenbond dat veel webwinkels de beveiliging nog niet goed op orde hebben. 1 Nu is 100% veiligheid een sprookje. U kunt wel proberen zoveel mogelijk risico s in kaart te brengen, en deze vervolgens te verkleinen. Dat doet u niet uitsluitend met technologie, ook het gedrag van de mensen in uw organisatie is cruciaal. U kunt uw beveiliging nog zo goed op orde denken te hebben; zodra uw programmeur per ongeluk een onveilige uitbreiding toevoegt aan uw webwinkel, heeft u een probleem. In deze whitepaper geven we u tips die kunnen bijdragen aan een optimaal beleid op het gebied van informatiebeveiliging. 1: GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP 2

3 BEVEILIGINGSTIPS VOOR UW WEBWINKEL Dit kunt u doen om uw eigen data en die van uw organisatie zo goed mogelijk te beschermen: 1 Investeer in de bewustwording van uw personeel Zorg dat uw personeel weet hoe ze met phishing s, vreemde links en openbare netwerken omgaan, geef hen informatie over zaken als bijvoorbeeld het veilig achterlaten van de werkplek en maak afspraken over het gebruik van eigen apparaten op de werkvloer. 2 Zorg voor handhaving van het informatiebeveiligingsbeleid Breng in kaart hoe uw webwinkel omgaat met gegevens, en zorg dat dit beleid zo breed mogelijk wordt gedragen binnen uw organisatie. 3 Gebruik een sterk SSL-certificaat Zorg dat u de gegevens van uw klanten verstuurt via een veilige verbinding, ook wanneer u gebruik maakt van een derde partij voor het afhandelen van uw betalingen. 4 Bescherm uzelf tegen veel voorkomende kwetsbaarheden Zorg dat uw webwinkel niet kwetsbaar is voor SQL injection en cross site scripting aanvallen. 5 Geef via de broncode niet prijs welke systemen u gebruikt Om het kwaadwillenden zo lastig mogelijk te maken is het belangrijk dat u op geen enkele manier informatie vrijgeeft over welke systemen u gebruikt. 6 Bescherm uzelf tegen DDoS aanvallen Een DDoS aanval is tegenwoordig zeer makkelijk te regelen, terwijl de gevolgen van zo n aanval enorm kunnen zijn. Zorg daarom dat u in kaart heeft hoe u een dergelijke aanval zo snel mogelijk kunt afwenden en de effecten kunt minimaliseren. 7 Gebruik waar mogelijk two-factor authentication Door een extra stap in te bouwen in het inlogproces voorkomt u dat kwaadwillenden misbruik kunnen maken van eventuele door hen onderschepte gebruikersnamen en inloggegevens. Deze gegevens geven dan immers geen direct toegang tot uw systemen. 8 Vraag partijen waar u mee samenwerkt naar hun security maatregelen Vraag ook uw leveranciers naar hun securitybeleid, en kijk bijvoorbeeld welke certificaten zij in bezit hebben op het gebied van beveiliging. 9 Zorg voor een goed back-up systeem Om ervoor te zorgen dat uw gegevens ook na een eventuele aanval of storing niet verloren zijn, is het belangrijk te zorgen voor een goed back-upsysteem. 3

4 NADER TOEGELICHT: MELDPLICHT DATALEKKEN Ieder bedrijf dat persoonsgegevens verwerkt, krijgt per 1 januari 2016 te maken met de nieuwe meldplicht datalekken. We spreken van een datalek als een organisatie onbedoeld persoonsgegevens vernietigt, wijzigt of toegankelijk maakt. Het gaat dus niet alleen om het lekken van gegevens, ook wanneer gegevens onrechtmatig worden verwerkt moet u melding doen. Sinds 1 januari 2016 bent u verplicht uw datalekken te melden bij het College Bescherming Persoonsgegevens (CBP). De meldplicht valt uiteen in 2 onderdelen: U moet het CBP inlichten over inbreuken op uw beveiliging. Wanneer een inbreuk specifiek betrekking heeft op personen waarvan u data verzamelt, moet u hen informeren. De betrokkene moet dan wel ongunstige gevolgen ondervinden van het datalek. Dit is bijvoorbeeld het geval wanneer er creditcardgegevens zijn gestolen. Gaat het fout, en komen er gegevens op straat terecht, dan moet u dit melden. Doet u dat niet, dan zijn de gevolgen aanzienlijk. Boetes kunnen oplopen tot euro, of 10% van de omzet van uw bedrijf. Wat bedrijven vaak niet beseffen is dat een datalek niet alleen financiële gevolgen kan hebben, maar ook kan leiden tot aanzienlijke reputatie- en imagoschade opleveren. 4

5 HOE STAAT UW ORGANISATIE ER NU VOOR? Om u voor te bereiden op deze meldplicht en voor het creëren van een effectief securitybeleid, is het noodzakelijk in kaart te brengen welke middelen u in huis heeft, maar ook welke risico s en bedreigingen die middelen met zich meebrengen. Ons cybersecurity model kan hierbij helpen, door een antwoord te formuleren op de volgende vragen: 1 Wat heeft u nu in huis? Hoe verandert dit morgen, of in de toekomst? Denk bijvoorbeeld aan een overzicht van alle software binnen uw bedrijf. Houd daarvoor bij wanneer software gedateerd of volledig verouderd is. Zo kunt u actie ondernemen wanneer het tijd is om software te updaten, te vervangen of wanneer software niet meer wordt ondersteund door de leverancier. Op die manier houdt u de risico s op dit gebied minimaal. 2 Wie hebben (al dan niet tijdelijk) toegang tot de data op uw systemen? Proactieve monitoring is van groot belang: houd bij of er sprake is van abnormaal gedrag van zowel gebruikers als systemen. Door gedrag continu te monitoren, worden eventuele afwijkingen snel herkend en kunt u daar tijdig en adequaat op reageren. 3 Wie of wat bedreigt u (zowel intern als extern)? Breng in kaart waar, hoe en op welke manier u risico loopt. Maak hierbij onderscheid tussen risico s die kunnen ontstaan door menselijk falen binnen uw organisatie, en risico s van kwaadwillenden die u bewust schade proberen toe te brengen. 4 Heeft u voldoende inzicht in de aard van deze bedreigingen? Door de aard en achtergrond van eventuele bedreigingen in kaart te brengen, kunt u betere maatregelen nemen om dergelijke situaties te voorkomen. 5 Wat moet u doen wanneer er iets fout gaat? Wie heeft welke verantwoordelijkheden op het moment dat er iets fout gaat? Het is belangrijk een procedure vast te leggen waarin staat wie wat moet doen in het geval er toch iets fout gaat, zodat op zo n moment snel actie ondernomen kan worden en u niet voor verrassingen komt te staan. 6 Zijn alle managers en andere belanghebbenden op de hoogte van deze informatie? Om een optimaal draagvlak te creëren en ervoor te zorgen dat procedures optimaal geïmplementeerd kunnen worden, is het belangrijk deze informatie op alle niveaus in het bedrijf te verspreiden. 7 Welke verbeteringen kunt u op basis van al deze informatie doorvoeren binnen uw bedrijf of instelling? U kunt de informatie die u nu heeft verzameld gebruiken om direct verbeteringen door te voeren die u helpen eventuele risico s te minimaliseren. 5

6 PRIVACY POLICY Een paar uitzonderingen daargelaten, moet in ieder bedrijf een privacy policy aanwezig zijn. Daarin staat waarom er gegevens worden verzameld, wat ermee gebeurt en hoe die data worden behandeld. U bent verantwoordelijk voor de bij u aanwezige gegevens en de beveiliging daarvan, ook wanneer een andere partij die gegevens voor u bewerkt. Het is dus belangrijk de rol van een databewerker bij een datalek goed vast te leggen, bij voorkeur in een bewerkersovereenkomst. Naast het inventariseren en updaten van deze zaken, is het ook belangrijk voorbereidingen te treffen voor de aankomende meldplicht. Hiervoor dient u nog een aantal extra stappen te nemen: Zorg ervoor dat u duidelijke afspraken heeft gemaakt met uw bewerkers over deze meldplicht. Heeft u met alle partijen een bewerkersovereenkomst afgesloten? Zijn eventuele bestaande bewerkersovereenkomsten up-to-date en bevatten zij een bepaling over datalekken? Sluit met iedere partij waarmee u samenwerkt een NDA (Non Disclosure Agreement)/geheimhoudingsverklaring af, waarin u persoonsgegevens benoemt en vastlegt dat deze niet door derden gebruikt mogen worden. Leg ook de procedure vast wanneer er onverhoopt toch een melding gedaan moet worden aan het CBP. Wie heeft welke rol en verantwoordelijkheden in dat geval? In deze procedure moet ook staan wanneer u de betrokkenen van wie u data verzamelt, inlicht. Bepaal daarnaast ook of u eventueel de media inlicht, en zorg voor een procedure voor het geval er vanuit de media vragen komen over het incident. 6

7 INFORMATIEBEVEILIGING BEGINT BIJ UZELF Dit kunt u doen om uw eigen gegevens zo goed mogelijk te beschermen: Installeer nieuwe patches en updates direct, op al uw apparaten. Dit zorgt ervoor dat u altijd zo goed mogelijk beschermd bent tegen actuele bedreigingen. Besef u dat alleen een virusscanner niet voldoende bescherming biedt. Klik nooit op vreemde links of attachments in s. Let ook op de afzender van s, en bedenk of deze partijen u überhaupt per zouden benaderen. Gratis bestaat niet. Diensten die beweren gratis te zijn, gebruiken uw gegevens voor andere doeleinden. Toon voorbeeldgedrag en wees kritisch over hoe u met informatie omgaat. Verstuur bijvoorbeeld geen gevoelige informatie over openbare netwerken. Gebruik zoveel mogelijk diensten die uw anonimiteit online garanderen. Versleutel daarnaast uw informatie ook zoveel mogelijk, en probeer zoveel mogelijk advertenties te blokkeren met tools. Gebruik unieke en lange wachtwoorden, en verander deze regelmatig. Gebruik indien nodig een password manager. 7

8 HOE KAN GUARDIAN360 U HELPEN? De dienstverlening van Guardian360 kan u helpen bij het voldoen aan de meldplicht datalekken. Dat doen we door u Securityas-a-Service te leveren. Ieder uur scannen we uw systemen, op dezelfde manier als een hacker dat zou doen. Dat doen we vanaf het internet en indien gewenst, ook vanuit uw eigen netwerk. We scannen alles met een IP-adres en webapplicaties, en proberen daarnaast zo snel mogelijk hackers te betrappen. Gebeurt er niets, dan hoort u ons niet. Is het wel nodig, dan komen we direct in actie. We testen sowieso non-intrusive; we verstoren uw normale werkproces en de performance van uw apparatuur, netwerken en applicaties niet. Ook melden we eventuele kwetsbaarheden en toetsen we deze aan verschillende normenkaders (onder andere ISO27002:2013, NEN7510 en Logius/DigiD). Dat is hard nodig, want de risico s en kwetsbaarheden waar we mee te maken hebben veranderen dagelijks. Bovendien is het zelf bijhouden en regelmatig testen vrijwel onmogelijk, en een jaarlijkse penetration test betekent dat u 364 dagen per jaar geen actueel beeld hebt van de beveiliging van uw IT-omgeving. Ook heeft u dan geen idee of u al dan niet compliant bent. Daarnaast helpen we u bij uw proactieve monitoring, en geven we u op een duidelijk en gebruiksvriendelijk portal doorlopend inzicht in de bedreigingen die we voor u gevonden hebben. U kunt daardoor sneller handelen wanneer er een kwetsbaarheid gesignaleerd wordt, daarnaast kunt u gemakkelijk aan derden- denk aan patiënten, IT-auditors en accountants - aantonen dat u in control bent. 8

9 Guardian360 Weena zuid NC Rotterdam Postbus CR Rotterdam +31(0) Guardian360.nl Guardian360 HOE OMGAAN MET DE MELDPLICHT DATATLEKKEN? 9