Cybercriminaliteit, een topic dat wekelijks in het nieuws voorbij komt. RTL nieuws plaatste deze week een bericht waarin zij toetsen in hoeverre criminelen bij gevoelige informatie van bedrijven kunnen komen. De resultaten zijn schokkend: Zwakke wachtwoorden, eenvoudige toegang via verschillende apparaten tot gevoelige informatie (medische dossiers en financiële gegevens).
Veel organisaties geven naar mijn mening nog steeds te weinig aandacht aan security. Het schort aan concrete maatregelen. ‘We hebben ons netwerk goed beveiligd’ (dat is de firewall), het komt echt nog voor. Hoe zit dit bij u? Met een aantal stappen maakt u ICT-security onderdeel van uw organisatie.
De risico’s in kaart
Analyseer en classificeer uw data. Hoe sterk bent u afhankelijk van uw it-services? Dit bepaalt de eisen aan beschikbaarheid. Hoe gevoelig is uw data? Dit bepaalt de eisen aan toegang tot- en encryptie van data. Hoe zit het met de locatie van uw data? Als het hier in Nederland staat valt het onder Nederlandse jurisdictie. En dan? De Amerikaanse overheid kan ieder Amerikaans bedrijf dwingen om mee te werken aan het uitleveren van data, ongeacht waar die zich bevindt. De processen hierover lopen. Ze beloven dat ze het niet doen zonder reden.
Maar (ook) een hacker interesseert het technisch gezien niet waar de data staat. Het heeft natuurlijk wel impact op het risico op vervolging. Maar veel waarschijnlijker is dat een breach nooit opgemerkt wordt, of niet herleidbaar is. Een security audit geeft antwoorden op de eerstgestelde vragen. U brengt de risico’s in kaart, een eerste stap.
De maatregelen
Nadat u inzicht heeft is het tijd voor het nemen van maatregelen. U heeft vast een firewall en antivirus. Laten we hopen dat uw software en hardware compliant is, alles netjes gepatched is voor securitylekken en draaiend op de laatste versie.
Hoe is het geregeld met de toegang tot uw data? Multi-factor authenticatie, log in met een wachtwoord aangevuld met een identiteitscheck via uw mobiele telefoon. Dat maakt authenticatie al een stuk veiliger. Niet alleen versleutelde verbindingen tot, maar encryptie van de data zelf mitigeert de impact van datalekken. CISO’s (Chief Information Security Officer) en analisten in SOC’s (Security Operations Center) hanteren het principe dat er ingebroken is, niet of er ingebroken kan worden. Continue gedragsmonitoring is een must. Niet elk bedrijf heeft zijn eigen SOC, maar er zijn softwareoplossingen die uw netwerk in de gaten houden. Tenslotte moet erover nagedacht worden hoe u ervoor kunt zorgen dat gevoelige data de gecontroleerde omgeving niet verlaat, maar dat mensen er wel ongestoord mee kunnen werken. Ook hiervoor bestaan echt goede oplossingen.
Wellicht verwacht u het niet, maar het grootste gevaar zit bij de gebruiker: uzelf en uw collega’s. De medewerkers beheren immers hun eigen gegevens en data. En een ‘foutje’ is snel gemaakt. Daarom is locatie van data, en ‘security-awareness’ binnen de gehele organisatie van belang. Dan ben ik nog niet eens begonnen over phishing, malware, ransomware.
Continu onder de aandacht
Security is geen eenmalig project! De security dient continu onder de loep te liggen, de software dient continu geüpdatet te worden en het dient continu ‘top of mind’ te zijn bij uw medewerkers. Dat vraagt een cultuuromslag. Maar middels secure inventarisatie, het nemen van professionele maatregelen en het creëren van voldoende awareness realiseert u optimale security. Wij helpen u hier graag bij. Onderzoek gratis met ons uw mogelijkheden.
0 reacties