Security


2FA, SPF, DKIM, IPv6, DNSSEC, TLS, HSTS

Zomaar wat technische termen met betrekking tot security. Wij vinden security belangrijk en hechten dan ook veel waarde aan de beveiliging van alle omgevingen waarvoor wij verantwoordelijk zijn. Deze pagina toont van een aantal aanvullende security maatregelen een korte beschrijving.

Security meting

De technieken die genoemd zijn op deze pagina komen ook terug in de security meting. Wilt u kosteloos en vrijblijvend een security meting op uw IPROX omgeving, vul dan het aanmeldformulier in.

Beveiliging inloggen redactieomgeving

De toegang tot de redactieomgeving is de sleutel tot de content die in de omgeving is opgeslagen. Het is dan ook essentieel dat deze toegang goed beveiligd is. Gebruik van een certificaat is verplicht en we adviseren gebruik te maken van aanvullende bescherming door middel van 2 Factor Authentication (2FA) of Single Sign On (SSO). Voor SSO zijn er diverse mogelijkheden zoals AD, Azure-AD, Office365, ADFS maar ook LDAPS.

Gebruikersbeheer

Beveiliging valt of staat bij de menselijke invulling hiervan. Gebruiken de gebruikers sterke wachtwoorden? Worden accounts afgesloten van medewerkers die uit dienst gaan? Verlopen accounts die niet meer in gebruik zijn automatisch? De verantwoordelijkheid van het gebruikersbeheer ligt bij de klant. Er zijn instellingen om bepaalde zaken af te dwingen. Zorg ervoor dat deze instellingen staan ingesteld zodat ze passen bij het beleid van uw organisatie met betrekking tot informatiebeveiliging.

Opschonen Redactie

Zijn er nog oude sites in het CMS aanwezig die niet meer ontsloten worden. In sommige gevallen is het beter om deze op te schonen. Zijn er foutmeldingen in structuren aanwezig? Zie Mijn IPROX > Rapporten > Waarschuwingen over structuren.

Reacties op formulieren met persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor het doel waarvoor deze zijn verzameld.

Beveiliging omgeving

IPROX wordt doorlopend doorontwikkeld. Hierbij komen nieuwe functionaliteiten of aanpassingen op bestaande functionaliteiten beschikbaar. Ook worden er regelmatig security aanpassingen doorgevoerd. Soms als gevolg van nieuwe inzichten, soms als gevolg van een uitgevoerde penetratietest. We adviseren om de IPROX-CMS omgeving regelmatig te voorzien van een update, minimaal 2 keer per jaar. Ook aanvullende beveiligingsmaatregelen en protocollen als IPv6 en DNSSEC wordt geadviseerd.

Beveiliging website

Voor websites is het wenselijk dat deze voorzien worden van een HTTPS-certificaat. Voor overheidswebsites is dit zelfs verplicht. Ook Google ondersteund de overgang naar alle websites op HTTPS; geen HTTPS, dan kom je lager in de zoekresultaten. Wil je zeker weten dat de verbinding altijd over HTTPS gaat, dan is de aanvullende beveiliging HSTS vereist.

Beveiliging e-mail

E-mail is een handig middel voor diverse soorten communicatie. Snel, eenvoudig en bijna iedereen gebruikt het. Goede eigenschappen ook voor mensen die minder geode bedoelingen hebben. phishing is aan de orde van de dag. Zorg er met beveiligingsmaatregelen (SPF, DKIM, DMARC) voor dat uw domeinnaam niet gebruikt kan worden voor deze praktijken. E-mail is standaard onveilig aangezien de berichten onversleuteld over internet gaan en als deze onderschept worden, kunnen ze gelezen worden. Door het toepassen van aanvullende maatregelen (STARTTLS) is het mogelijk om e-mail toch te voorzien van adequate beveiliging.

Media aandacht

Aandacht is leuk, behalve als het negatieve aandacht is. Regelmatig komt in het nieuws dat de beveiliging van websites niet voldoende is. Diverse partijen proberen met behulp van deze media aandacht de beheerders ertoe te zetten de beveiliging te verhogen. Denk aan sites als basisbeveiliging.nl voor gemeente-sites en pulse.openstate.eu voor overheid-sites.

Online testen

Er zijn verschillende sites om je site te testen. In de nulmeting gebruiken we naast de internet.nl test onder andere ook de testen van www.ssllabs.com/ssltest/ en securityheaders.com.

Ondersteuning nodig?

Wilt u ondersteuning bij het toepassen van aanvullende beveiligingsmaatregelen? Neem dan contact op met uw contactpersoon of de IPROX-helpdesk.

Disclaimer

De op deze pagina genoemde security maatregelen zijn slechts een beperkte set van maatregelen die nodig zijn om een veilige omgeving te realiseren. Aan de informatie op deze pagina kunnen geen rechten worden ontleend. Indien u essentiële onderdelen mist op deze pagina of vragen heeft over de inhoud van deze pagina, neem dan contact met ons op.