Hoe jij als marketeer een hack kunt voorkomen
Met de extreme variatie aan kanalen en third-party-platformen waarmee een gemiddelde e-commerce- & online-marketingafdeling zich bezighoudt, zijn de securitymaatregelen vaak nog ondermaats. Als iemand uit dienst gaat, zorgt P&O netjes dat die persoon uit de mail, het backofficesysteem en vaak ook nog wel het CMS wordt verwijderd. Maar veel andere applicaties blijven ongemoeid, met alle risico’s van dien. Niet iedere ex-werknemer is rancuneus en heeft kwaad in de zin om je accounts te schaden, maar slechte hygiëne met betrekking tot rechten kan allerlei onbedoelde gevolgen hebben. Wat kun jij doen om te voorkomen dat je bedrijf gehackt wordt?
Daarnaast is beheer onontbeerlijk: een online team van 6 tot 20 FTE voor een bedrijf dat Europees werkt, zou zo enkele tientallen analytics-, AdWords-, socialmedia-, tagmanagement-, remarketing- en CMS-accounts en ga zo maar door kunnen hebben. Dit komt neer op binnen en buiten de organisatie potentieel honderden verschillende personen die zijn gekoppeld.
Hoe voorkom je dit?
Stap 1: Rechten alleen toewijzen aan werkaccounts
In Google Analytics ben ik het regelmatig tegengekomen: piet@bureau.nl die ook een account heeft als pietertjeyolo@gmail.com. Na drie wisselingen van de wacht bij zowel het bureau als het bedrijf, weet niemand meer wie Pieter is en waarom hij adminrechten heeft op je belangrijkste dataprofiel. Spreek daarom intern én met externe partners af dat persoonlijke profielen niet worden toegestaan. Een Google-account maken van je werkaccount is twee minuten werk.
Een lastig aspect hierin is de trend van partijen om accounts te koppelen aan mobiele nummers. Op het moment dat mensen geen bedrijfsmobiel hebben, zullen ze het koppelen aan hun privémobiel. Probeer dit te vermijden waar mogelijk, of koppel het aan een centrale bedrijfsmobiel. Een password-reset-sms op een nummer van iemand die niet meer bij je werkt is een frustrerend dood spoor.
Stap 2: Voor adminrechten geldt het ‘snackbarprincipe’
In veel omgevingen, zoals Facebook, Google Analytics en en andere platformen, zijn er naast adminaccounts ook andere profielmogelijkheden, zoals analist-, klantenservice- of leesrechtprofielen. Veel mensen hoeven alleen maar mee te kijken en hoeven niet dingen te kunnen aanpassen.
Het snackbarprincipe komt vanuit de televisieserie New Kids en is vrij eenvoudig:
Wie is hier nou de snackbar, jij of ik?
Als voor het betreffende platform de ‘snackbar’ ligt bij de e-mailmarketeer, de AdWords-specialist, de socialmediamanager, een IT’er of de data-analist, dan zijn dat de mensen die adminrechten krijgen. Eventueel krijgt ook de e-commerce manager zelf die rechten, als achtervang.
Maar bijvoorbeeld stagiairs of zelfs directie krijgen die rechten niet! Het risico is namelijk dat wanneer iemand per abuis op “remove profile” drukt, het lastig te achterhalen wie van de 20 mensen met adminrechten de mist in ging (waaronder eventueel bovengenoemde pietertjeyolo@gmail.com die drie jaar na dato gehackt is).
Dit is nog prangender voor advertentieplatformen waaraan budgetten gekoppeld zijn. Iemand die wél kwaadwillend is en toegang heeft tot iets waar automatisch wordt afgeschreven op de corporate creditcard, kan enorme economische schade aanrichten.
Stap 3: Masteraccounts gaan boven werkaccounts
Stel dat meike@bedrijf.nl de Twitterkoningin is binnen een team, dan is het toch niet verstandig dat het twitterprofiel is gekoppeld aan haar persoonlijke werkmail. Een generieke inbox als marketing@bedrijf.nl (waarin Meike eventueel gedelegeerd is) is veel verstandiger, zodat er niet twee jaar na haar vertrek een password-reset-mail in een zwart gat eindigt.
Daarnaast wordt binnen Google alles gekoppeld aan accounts. Zo heb ik meegemaakt dat na verwijdering van iemands account ook onverwacht een YouTube-kanaal was verdwenen, waarvan de video’s op honderden websitepagina’s waren gekoppeld. Gelukkkig heb ik deze na veel vijven en zessen terug kunnen halen, anders had dit werkweken aan het opnieuw uploaden van content en in het CMS koppelen ervan betekend.
Het is veel verstandiger accounts aan te maken op een master-e-mailadres en vervolgens rechten te delegeren naar een werkaccount.
Stap 4: Opschonen – ofwel het ‘piepprincipe’
Ik durf te zeggen dat ik op de 100 accounts die ik ooit verwijderde of ontdeed van adminrechten, ik mogelijk drie keer op mijn vingers getikt ben. Dat is het piepprincipe: als je niemand hoort piepen, zal het wel goed zijn. Twijfel je over verwijdering, dan kun je een sheet bijhouden met de accountnamen en deze alsnog verwijderen. Van accounts die overblijven moet je evalueren of ze toekunnen met minder rechten. Hierbij is het ook belangrijk goed te kijken waar rechten allemaal ingesteld kunnen worden: binnen Facebook zijn er bijvoorbeeld al diverse manieren om iemand admin te maken, die allemaal moeten worden nagekeken.
Stap 5: Wachtwoorden centraal bijhouden
Een e-commercemanager, team lead of senior afdelingslid moet in ieder geval het overzicht hebben over alle inloggegevens. Deze wachtwoorden moeten ook regelmatig worden gewijzigd, zeker na een wat gevoeliger vertrek van een teamlid. Onlangs kwam ik een masteraccount tegen dat sinds 2009 hetzelfde wachtwoord had; een securitybreuk in dat account zou een ramp kunnen betekenen.
Het centraal bijhouden zorgt er ook voor dat de on-boarding van een nieuw teamlid soepeler verloopt, omdat zij gelijk toegang heeft tot alle juiste accounts, zonder dat er gewacht moet worden op andere mensen omdat gegevens bij specifieke mensen bekend zijn (of erger: niet bekend).
Stap 6: Oh, Oauth
Je kunt je wachtwoord veranderen, maar als je nog 31 apps – waarvan 6 tools waarmee je al 2 jaar niet meer werkt – hebt gekoppeld aan Twitter, Facebook, Instagram en meer, kan iemand alsnog toegang krijgen tot je account, vooral wanneer het mobiele apps betreft. Je kunt bij de accountsettings van elk platform kijken aan welke apps je deze account hebt gekoppeld, of via een tool als Mypermissions.
Overigens geldt ook voor het ontkoppelen van deze apps het piepprincipe: een koppeling die uiteindelijk toch nodig is, is zo weer opgezet.
Stap 7: Bewustwording bij P&O
Borging van deze principes zou eigenlijk doorgevoerd moeten worden in personeelsbeleid. Het minimale dat P&O kan doen bij uitdiensttreding, is alle afdelingshoofden een update sturen, zodat nagekeken kan worden of er permissies moeten worden ingetrokken. Zeker mensen die langer in een organisatie zitten hebben rechten verworven binnen een diversiteit aan systemen die niet allemaal op 1 afdeling beheerd worden.
Stap 8: Ga je zelf weg bij een bedrijf? Ontkoppel je werkmail
Bij het beheren van een Facebook-pagina kwam ik iemand tegen die haar privé-account op Facebook had gekoppeld met het master-e-mailadres. Na een password reset kon ik dan ook inloggen in dat persoonlijke account. Uit fatsoen heb ik het e-mailadres ontkoppeld in haar persoonlijke profiel en daarna het wachtwoord gewijzigd.
Dit geeft alleen wel aan hoe verleidelijk het is en efficiënt het lijkt om privé- en werkaccounts te koppelen, omdat je dan niet telkens over hoeft te schakelen. Maar het is beter dit wel gescheiden te houden waar mogelijk.
Stap 9: Wereldoverheersing?
Natuurlijk is de uiteengezette aanpak niet zaligmakend en zullen er nog security issues zijn die ik over het hoofd heb gezien. Het is vooral een continu bewustwordingsproces. Kijk eens per applicatie en platform met alle betrokkenen na waar, wie en wat er allemaal toegang hebben en veeg er om de zoveel tijd een bezem doorheen. Het internet vergeet namelijk nooit iets.
Zet ook altijd 2 staps verificatie aan voor je Google en Facebook accounts.