Ligt de fout wel bij de mens?
Laatst nog in het nieuws: het datalek bij de politie. De oorzaak volgens het bericht? ‘Het foutief handelen van een vrijwilliger’. Voor een leek klinkt dit logisch. Het datalek ontstond toch omdat een medewerker een fout maakte? Wij bij yellow arrow kijken er toch anders naar. Kun je de schuld wel bij de vrijwilliger leggen als er voldoende oplossingen zijn om een datalek te voorkomen?
Een voorbeeld. Stel, er is een druk kruispunt met standaard verkeersregels. Hier vinden vijf ernstige verkeersongevallen per jaar plaats. Zijn dit allemaal menselijke fouten? Het korte antwoord is ja. Maar van de gemeente verwachten we dat ze de onderliggende oorzaak boven krijgen. En bedenken: hoe kunnen we die ongevallen voorkomen? Misschien is de ’technische’ oplossing wel een rotonde. Zo verklein je de kans op menselijke fouten. En omdat auto’s afremmen voor een rotonde, is de impact wanneer het tóch misgaat veel kleiner. Hooguit blikschade.
Terug naar de ICT-omgeving. Daar geldt hetzelfde, alleen zijn de oplossingen in de digitale wereld lastig zonder de combi van digitale kennis én kennis van de organisatie. Oplossingen in het verkeer zijn vaak tastbaar en zichtbaar, in de digitale wereld niet.
Hoe vang je het risico af?
Ook al is de digitale wereld niet tastbaar, het is tóch mogelijk om op basis van goede informatie en risico’s keuzes te maken. Om oplossingen te bieden. Je begint met het identificeren van kritische en gevoelige data. Bepaal ook welke data de meeste impact hebben op je organisatie, als ze níet beschikbaar zijn. En kijk welke digitale incidenten er het afgelopen jaar zijn geweest op het gebied van informatiebeveiliging en privacy. In je organisatie én bij branchegenoten en leveranciers. Gebruik deze kennis om digitale risico’s te identificeren.
Veelvoorkomende incidenten zijn de beruchte phishingmails. Voor een aanvaller eenvoudig en massaal uit te voeren. Er bestaan phishing-simulatietools die het klikgedrag van medewerkers omlaaghalen. Dat zou dan dé oplossing zijn. Zo’n tool kan zeker helpen om medewerkers bewust te maken van de gevaren van phishing. Maar wat veel belangrijker is, doet het niet: voorkomen dat medewerkers in de situatie komen om een datalek te veroorzaken.
Je kunt allerlei technische maatregelen nemen om phishingmails te voorkomen. Een voorbeeld: phishingmails verwijzen vaak naar nieuwe domeinen die pas enkele dagen of weken bestaan. Het is mogelijk om domeinen die jonger zijn dan één maand te blokkeren. Dit voorkomt al een hoop phishing-incidenten.
Naast die technische maatregelen is het ook belangrijk om je personeel te trainen. Met een adoptietraining leren ze de bedrijfsmiddelen goed te gebruiken. Zo is de kans kleiner dat ze zelf een manier van werken bedenken en bijvoorbeeld via privémail of Whatsapp bedrijfsgegevens delen.
Dataveiligheid monitoren
Het is belangrijk om de kritische en gevoelige data van jouw organisatie goed te beschermen. Een datalek waardoor criminelen klantgegevens in handen krijgen, kan enorme financiële en reputatieschade veroorzaken. Ook als je alle beveiligingsmaatregelen toepast, bestaat er helaas geen 100 procent veiligheid. Bij yellow arrow werken we met de gedachte dat criminelen jouw bedrijf al binnen zijn. Assume breach, noemen we dat.
Hoe we dan aanvallen tijdig kunnen signalen, stoppen of de impact van een aanval beperken? Met security monitoring. Een systeem dat tot voor kort alleen was weggelegd voor grote bedrijven. Vanwege de kosten. Maar door nieuwe ontwikkelingen, optimalisaties en automatisering kan het mkb er nu ook van meegenieten.
Security monitoring gebeurt vanuit een SIEM-systeem (Security Information and Event Monitoring). Dat is een centrale verzamelbak van allerlei gegevens vanuit systemen binnen jouw IT-omgeving. Het SIEM-systeem correleert al deze gegevens om verdacht en afwijkend gedrag te signaleren. Ontdekt het iets? Dan gaan toeters en bellen af. Een security-specialist probeert vervolgens de aanvallers te stoppen, voordat die toeslaat.
Wanneer is mijn data veilig genoeg?
Heb je al deze acties afgevinkt en de digitale risico’s behandeld? Dan ben je in control in je digitale omgeving. Helaas ben je er dan nog niet. Stilstand is achteruitgang, zeker in de digitale beveiliging. Elke dag vinden aanvallers nieuwe manieren om digitaal in te breken. Zelfs vertrouwde technieken zoals MFA (Multi-Factor Authenticatie) geven nu niet meer de hoge mate van veiligheid. Het is dus belangrijk om regelmatig kritisch naar je digitale risico’s te kijken. Om te ontdekken of de genomen maatregelen nog passen. Ja, dat is een hoop werk. Wij adviseren daarom een goede partner te vinden om je te helpen. Die relevante risico’s voor jouw organisatie vindt én meteen maatregelen neemt (zonder je medewerkers lastig te vallen).
Hoe laat ik mijn klanten zien dat ik mijn dataveiligheid op orde heb?
Data. Daar hoort ook klantdata bij. En dus wil je je klanten laten zien (en geruststellen) dat je veilig omgaat met hun data. Met de komende cyberbeveiligingswet (NIS2) krijg je misschien wel de vraag hoe je de informatiebeveiliging hebt ingericht. Hoe je kan aantonen wat je doet? Daar zijn verschillende manieren voor. Je kunt beleid maken waarin je de maatregelen noemt. En dat doornemen met je klanten. Het is ook goed om na te denken over certificering van jouw dataveiligheid. Veelvoorkomende certificeringen voor dataveiligheid zijn de ISO27001, NEN7510 (binnen de zorg sector), BIO2 (overheidssector) en ISEA 3402 type 2.
Wat kun je zelf doen?
Je kan als organisatie veel dingen zelf ondernemen om de veiligheid van je data te waarborgen. Denk aan het duidelijk instrueren van je medewerkers. Ook is het belangrijk dat niet iedereen binnen je organisatie toegang heeft tot alle gegevens. Wil je meer weten over online veiligheid binnen jouw organisatie? Neem dan contact op met ons!
Wil je meer weten over online veiligheid binnen jouw organisatie? Neem dan contact op met ons!
Geef een reactie