Waarom heb je een MindYourPass Online Security Risk Assessment laten uitvoeren?
Peter: ‘In 2022 kwam het nieuws naar buiten dat een aantal corporaties gehackt was. Ik was toen net begonnen bij Samenwerking en ik ben gelijk gaan beoordelen waar onze kwetsbaarheden zitten. Wetende dat de menselijke factor het grootste risico vormt kwam het wachtwoordbeleid naar voren. Een van de punten is dat we geen wachtwoordmanager hebben. We hebben wel behoorlijk wat applicaties en dat betekent ook veel wachtwoorden die niet allemaal te onthouden zijn. Zonder wachtwoordmanager wordt er ongetwijfeld een andere manier gebruikt om wachtwoorden te onthouden die niet zo veilig is.’
‘Om een helder beeld te krijgen van hoe groot het risico van zwakke wachtwoorden nu daadwerkelijk is voor onze organisatie, besloten we om een MindYourPass Assessment te laten uitvoeren’
‘In 2023 hebben we een BIC 4.0 toetsing op ons informatiebeveiligingbeleid laten uitvoeren door VVA, onze partner op gebied van security- en privacy. Hier zijn een aantal verbeteringen gedefinieerd waaronder het invoeren van een wachtwoordmanager. Om een helder beeld te krijgen van hoe groot het risico van zwakke wachtwoorden nu daadwerkelijk is voor onze organisatie, besloten we om een Password Risk Assessment te laten uitvoeren en zijn we overgegaan op de aanschaf van een password manager. Voorwaarde voor ons was dat het assessment anoniem uit te voeren is, zodat de privacy van medewerkers niet in het geding komt. Gelukkig biedt MindYourPass die mogelijkheid.’
“We hebben duidelijk inzicht gekregen in hoe sterk de wachtwoorden zijn die door medewerkers worden gebruikt om in te loggen op onze applicaties.”
Wat heeft het MindYourPass Assessment jullie opgeleverd?
Peter: ‘We hebben duidelijk inzicht gekregen in hoe sterk de wachtwoorden zijn die door medewerkers worden gebruikt om in te loggen op onze applicaties. Ook zijn we achter het hergebruik van wachtwoorden gekomen en of er nog wachtwoorden worden gebruikt die openbaar zijn, oftewel voorkomen in databases als haveibeenpwnd.com. Het mooie is dat deze inzichten gekoppeld zijn aan ons applicatielandschap, zodat we nu een beeld hebben waar de grootste risico’s zitten. Daaruit bleek dat er werk aan de winkel is.’
Heeft het assessment jullie nog meer geleerd?
Peter: ‘Ja. Het assessment heb ik ook gebruikt om ons applicatielandschap, dat we eerder dit jaar opnieuw hebben geïnventariseerd, te cross-checken. Het assessment registreert de inlogmomenten van elke online applicatie. Zo krijg je automatisch een volledig beeld van je applicatielandschap. Het assessment leverde voor ons niet veel verrassingen op en bleek het vooral een bevestiging te zijn van wat we al wisten en zelf in kaart hadden gebracht. Daar was ik wel blij mee.’
“Het rapport heb ik gedeeld met het management, waardoor ook zij nog meer het belang inzagen om dit risico serieus aan te gaan pakken.”
Was het ingewikkeld om het assessment uit te laten voeren door MindYourPass?
Peter: ‘Nee, in tegendeel. De installatie van de software was binnen een uur geregeld. Vervolgens is de scan gaan draaien en na iets meer dan een maand ontvingen we de resultaten in een overzichtelijk rapport. De rapportage geeft concrete cijfers en resultaten over de wachtwoordveiligheid en online beveiliging van onze organisatie. Het rapport heb ik gedeeld met het management, waardoor ook zij nog meer het belang inzagen om dit risico serieus aan te gaan pakken.’
“We kozen voor de wachtwoordmanager van MindYourPass, omdat het de mogelijkheid biedt om het gebruik en wachtwoordeisen af te dwingen.”
Wat is jullie volgende stap?
Peter: ‘Samenwerking heeft met de selectie voor het MindYourPass Assessment ook besloten om de wachtwoordmanager van MindYourPass aan te schaffen. Het assessment hebben wij vooral gebruikt als nulmeting en eerste stap van de implementatie en uitrol naar de organisatie. Daar gaan we nu mee aan de slag. We kozen voor de wachtwoordmanager van MindYourPass, omdat het de mogelijkheid biedt om het gebruik en wachtwoordeisen af te dwingen. Zodat je zeker weet dat iedereen veilige wachtwoorden gebruikt. We gaan nu gefaseerd, afhankelijk van de impact van de applicatie, wachtwoordbeleid afdwingen waar het niet door de leverancier wordt afgedwongen. Dat biedt ons de zekerheid waarnaar we zochten. Mijn ervaring was dat er vaak een wachtwoordmanager aangeboden wordt, maar vrijwel niemand er gebruik van maakt. Dat is dus niet effectief en zonde van het geld.’
Heb je nog een advies aan collega-corporaties?
Peter: ‘Neem het risico van zwakke wachtwoorden serieus. Met het MindYourPass Assessment stel je jezelf in staat om het wachtwoordgebruik te meten en risico’s objectief in beeld te krijgen. Meten is immers weten! Vanuit daar kun je aan de slag met verbeteren, bijvoorbeeld door de inzet van een wachtwoordmanager.’
Heb je vragen aan de hand van dit artikel?
Wij kunnen je helpen.
Triple-i™ verbetermethode
Wachtwoordveiligheid meten om doelgericht te verbeteren
Elke verandering begint met het verkrijgen van volledig inzicht in de huidige situatie. Om vanuit daar met behulp van een concreet en praktisch plan toe te werken naar de gewenste situatie: het gebruik van kwetsbare wachtwoorden binnen jouw organisatie onmogelijk maken.