Securitybeleid Cobra Systems
Versie 2.0
laatste update: oktober 2018
Dit is een samenvatting van het Cobra Systems security (of beveiligings-)beleid dat betrekking heeft op het veilig gebruik maken van de apparatuur en services van Cobra Systems.
Cobra medewerkersbeleid
Alle werknemers van Cobra Systems dienen akkoord te gaan met het Security Beleid en hebben een geheimhoudingsverklaring ondertekend. Onze medewerkers zijn verplicht om alles wat als bedrijfsgeheim aangemerkt kan worden vertrouwelijk te behandelen.
Vertrouwelijke Gegevens Policy
Persoonsgegevens
Alle werknemers zijn verplicht om persoonsgegevens vertrouwelijk te behandelen en moeten zich ten alle tijde houden aan de Algemene verordening gegevensbescherming (AVG).
Onder persoonsgegevens vallen:
- Namen
- Adresgegevens
- Telefoonnummers
- E-mailadressen
- MAC-adressen
- IP-adressen
Andere persoonsgegevens, zoals bankrekeningnummers, verwerken wij alleen met zwaarwegende redenen en met bijbehorende extra maatregelen en afspraken.
Persoonsgegevens moeten ten alle tijden opgeslagen worden in een beveiligde omgeving en moeten indien mogelijk ook geanonimiseerd of versleuteld worden.
De klanten van Cobra Systems dienen op de hoogte te worden gesteld van de mogelijkheid dat het nodig is om nadere afspraken te maken over het verzamelen van persoonsgegevens van hun klanten. Cobra Systems dient hierbij volgend te zijn in de behoeften van de klant en heeft -indien van toepassing- bij voorkeur de rol van ‘Bewerker’ van persoonsgegevens.
Gegevensopslag Policy
Beveiliging van het medium
Het medium waar de vertrouwelijke gegevens zijn opgeslagen moet goed beveiligd worden. Beveiliging is conform de Cobra Systems Policy waarin onder meer behandeld wordt dat:
- een sterk wachtwoord gebruikt moet worden
- gegevens op externe locaties (bijvoorbeeld in een datacenter) alleen kunnen worden benaderd vanaf het adres van Cobra Systems door middel van ofwel een firewall ofwel een SSL VPN
- alle met internet verbonden systemen een goede firewall moeten hebben (iptables of ufw in linux)
- er goede beveiliging tegen virussen moet zijn (virusscanners, etc.)
- het administrator of root account geblokkeerd moet zijn en gebruikers alleen rechten moeten hebben voor de bestanden en/of locaties die zij nodig hebben om hun werk goed uit te kunnen voeren (need-to-know principe)
- er geen read-down of write-up mag plaatsvinden (Biba-model), dit om ervoor te zorgen dat de data integer blijft
- alleen accounts en programma’s die echt nodig zijn op de apparaten staan waardoor er minder kans is op beveiligingslekken
- alle programma’s en het OS zelf up-to-date gehouden worden om de kans op beveiligingslekken zo klein mogelijk te houden
- Remote Connectie alleen versleuteld mag (bijv. met SSH)
- standaard poorten bij voorkeur moeten worden veranderd om de meeste standaard aanvallen tegen te gaan
- logs periodiek moeten worden gecontroleerd, automatisch of met de hand (bijvoorbeeld met logsentry)
Fysieke Beveiliging
Het medium waar de vertrouwelijke gegevens zijn opgeslagen moet fysiek ook goed beveiligd zijn. Dit betekent dat ervoor gezorgd moet worden dat:
- er niemand bij het medium kan die geen toegang zou mogen hebben
- het medium beveiligd is door bijvoorbeeld een slot op de deur of op een kast
- het medium niet oververhit kan raken waardoor er gegevens verloren kunnen gaan
- het medium tegen omgevingsinvloeden beschermd moet worden
Ons kantoor en onze datacentra zijn ontworpen om minimaal aan deze eisen te voldoen.
Versleuteling
Wanneer belangrijke gegevens worden opgeslagen of verstuurd zijn, is het belangrijk dat de gegevens op de juiste manier versleuteld worden zodat deze niet onderschept kunnen worden. Dit betekent dat er bijvoorbeeld gebruik gemaakt moet worden van SHA-256 encryptie en niet van een verouderde algoritme zoals MD5 of SHA1. Ook moet ervoor gezorgd worden dat wanneer vertrouwelijke gegevens verstuurd worden dit over een versleutelde verbinding gebeurt, bijvoorbeeld met SSL.
Anonimiseren
Wanneer persoonsgegevens worden opgeslagen voor een performance test en/of verbeteringsdoeleinden, maar ook wanneer er gebruikersaantallen worden geteld, is het soms nodig om gegevens van gebruikers op te slaan, maar dit hoeft niet alle verzamelde informatie te bevatten. Omdat bijvoorbeeld een MAC-adres als een persoonsgegeven wordt gezien, mag het in vele gevallen alleen als geanonimiseerd gegeven opgeslagen worden. Dit kan bijvoorbeeld gedaan worden door de eerste tekens af te schermen door ze te veranderen in x. Google Analytics heeft een functie die dit automatisch doet.
Wachtwoorden
Wanneer er een wachtwoord voor een account of document aangemaakt moet worden is het belangrijk dat het wachtwoord een sterk wachtwoord is. Sterke wachtwoorden houden in dat het wachtwoord uit een bepaald aantal en soorten tekens bestaat, zoals genoemd in het beveiligingsbeleid. Ook is het belangrijk dat wachtwoorden niet hergebruikt worden om de kans op beveiligingslekken te verkleinen. Het is verstandig om voor het maken van nieuwe wachtwoorden een tool te gebruiken die ‘random’ wachtwoorden verzint.
Back-up
Het is verstandig dat er van bestanden en gegevens die opgeslagen staan op servers en computers minimaal één keer per maand een back-up wordt gemaakt naar een locatie die niet met het internet is verbonden. Dit zorgt ervoor dat de data op de back-up zo goed als zeker niet veranderd kan worden, en dat als gegevens verloren gaan er een intacte kopie terug te vinden valt. Per klant zullen hierover nadere afspraken worden gemaakt.
Acceptabel Gebruik Policy
Het is niet gewenst om gegevens die naar verwachting vertrouwelijk zijn via de email te versturen, tenzij dit niet anders kan. Mocht het niet anders kunnen, dan moet er expliciet bij gezet worden dat het om vertrouwelijke gegevens gaat, zodat dit ook duidelijk is naar de ontvangende partij. Ook mogen de gegevens niet gedeeld worden met partijen die niets met de gegevens te maken hebben.
Andere doeleinden
De vertrouwelijke gegevens mogen niet gebruikt worden voor andere doeleinden dan ze door Cobra Systems voor verzameld zijn. Dit betekent ook dat de gegevens niet voor persoonlijke doeleinden gebruikt mogen worden en niet verspreid mogen worden aan derden, tenzij de eigenaar van de gegevens anders aangeeft.
Incident Response Policy
Mocht er zich een incident voordoen, dan is het belangrijk dat men weet wat er gedaan moet worden. Het is belangrijk om zo snel mogelijk te handelen bij incidenten zodat er zo min mogelijk schade ontstaat. De stappen in het incident response plan zijn als volgt:
- uitzoeken wat er is gebeurd (bijvoorbeeld gegevens gelekt)
- uitzoeken hoe het is gebeurd (bijvoorbeeld een brute-force aanval op een zwak wachtwoord op de server)
- uitzoeken wat er is gestolen/verwijderd (bijvoorbeeld wachtwoorden of bankgegevens van klanten)
- indien nodig melding maken aan de daarvoor bedoelde autoriteiten
- het lek dichten
- melding maken aan de eigenaren van de gestolen/verwijderde gegevens
- systeem audit/meer lekken zoeken
- informatie audit/integriteit van informatie bepalen
- beveiliging aanscherpen om gelijke incidenten te voorkomen
- reflecteren