Cyber shield: essentiële strategieën voor het beschermen van jouw gegevens en systemen tegen cyberaanvallen
Een van de drie grootste bedrijfsrisico’s wereldwijd is een cyberaanval. Digitale veiligheid is een belangrijke voorwaarde om de kansen van de digitale economie te benutten, maar cyberdreigingen zijn inmiddels dagelijkse kost voor ondernemers. Cyberrisico’s kunnen de continuïteit van je bedrijf acuut in gevaar brengen, dus het is van essentieel belang om een cyberveerkrachtige organisatie op te bouwen.
Het in kaart brengen van de meest voorkomende cyberaanvallen, is een eerste stap in de bewustwording van de gevaren. Maar vervolgens vraag je je misschien af hoe je gevoelige gegevens en systemen binnen je organisatie veilig opslaat en beheert. Of hoe je de naleving van wet- en regelgeving op het gebied van gegevensbescherming en privacy waarborgt. Lees hier welke stappen je hierin kunt nemen en wat misschien wel de belangrijkste factor is in het creëren en behouden van een veilige werkomgeving en het voorkomen van cyberincidenten: het gedrag van je medewerkers. Tot slot lees je dan ook wat belangrijke aandachtspunten zijn voor een effectieve security awareness-training.
Bedreigingen op het gebied van cyberveiligheid
Als je kijkt naar de meest voorkomende cyberaanvallen, zie je dat er in verschillende lagen en categorieën van organisaties een aantal reële bedreigingen zijn te herkennen, waar soms veel minder voor nodig is dan je misschien denkt. Zo heb je waarschijnlijk al wel eens te maken gehad met phishing mails: een relatief makkelijke manier voor cybercriminelen om je met een simpel mailtje naar een valse website te lokken en zo je wachtwoorden, creditcardgegevens en andere persoonsgegevens afhandig te maken.
Een van de grootste bedreigingen voor technologische bedrijven is diefstal van intellectueel eigendom. Dit gebeurt als iemand zonder jouw toestemming gebruikmaakt van jouw uitvinding, creatie of merk. Hackers kunnen zich door middel van cyberspionage jouw intellectueel eigendom (zoals bedrijfsvoering, codes, handleidingen) soms sneller toe-eigenen dan je denkt.
Een andere zeer winstgevende tool voor cybercriminelen, is CEO-fraude. Als een e-mailaccount van een leidinggevende eenmaal gehackt is, kunnen e-mails naar medewerkers worden gestuurd met bijvoorbeeld het verzoek om geld over te maken.
Ook malware is in opkomst – dit is de verzamelnaam voor software die ontwikkeld is om schade toe te brengen aan je computersysteem, in ruil voor gevoelige informatie of geld. Een bekende vorm is ransomware, waarbij je data wordt versleuteld totdat er losgeld wordt betaald.
Gevoelige gegevens veilig opslaan
Ook als je zorgvuldig denkt om te gaan met persoonlijke gegevens van klanten en werknemers, is een kleine vergissing nou eenmaal zo gemaakt, die mogelijk een datalek veroorzaakt. Wees je er van bewust dat er niet alleen met gevoelige informatie van identiteitsbewijzen, creditcards of betaalgegevens schade kan worden aangericht. Simpele namen, adressen en telefoonnummers van klanten die niet veilig zijn opgeslagen, kunnen in de verkeerde handen al een grote bijdrage leveren aan fraude en oplichting.
Bedenk dat het vooral onvoorzichtigheid is waardoor persoonsgegevens uiteindelijk op straat belanden, wat met een paar extra handelingen kan worden voorkomen. Neem bijvoorbeeld de moeite om mailtjes – de grootste bron van datalekken – even te dubbelchecken voordat je ze verzendt. Stuur mailtjes die gevoelige informatie bevatten eventueel versleuteld en beveilig bijlagen zo nodig met een wachtwoord. Zorg dat er binnen de organisatie op een veilige manier met wachtwoorden wordt omgegaan, door een wachtwoordmanager (zoals Lastpass) op de computers te installeren en erop toe te zien dat deze door iedereen gebruikt wordt. Computers en andere apparaten moeten te allen tijde vergrendeld zijn, tenzij ze actief door iemand gebruikt worden.
Blijf ook buiten de deur alert. Als je gebruikmaakt van een openbaar wifinetwerk zonder VPN-verbinding, kun je anderen onbedoeld toegang geven tot je bestanden. Stel bedrijfssoftware dan ook zo in dat het alleen werkt als er een VPN-verbinding is.
Gegevensbescherming en privacy
De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet, die een zorgvuldige verwerking van persoonsgegevens waarborgt. Als organisatie moet je aan kunnen tonen dat je je aan deze wet houdt. Zorg dat je goed op de hoogte bent door bijvoorbeeld de ‘regelhulp AVG’ te checken op regels die voor jouw specifieke bedrijf gelden, zodat je zeker weet aan welke je moet voldoen.
Om te beginnen mag je persoonsgegevens alleen verzamelen, gebruiken of opslaan als je hier een goede reden voor hebt. Je moet ofwel toestemming hebben van de betreffende persoon, of het moet noodzakelijk zijn voor bijvoorbeeld het nakomen van een wettelijke verplichting of bescherming van iemands leven of gezondheid. Laat klanten ook weten wat hun rechten zijn op het gebied van gegevensbescherming en privacy en zorg ervoor dat ze hier makkelijk gebruik van kunnen maken – bijvoorbeeld door hun eigen gegevens te laten inzien, aanpassen of verwijderen. Omdat er een verantwoordingsplicht geldt, is het belangrijk om in een register vast te leggen welke persoonsgegevens met welke reden verwerkt worden.
Als je gegevens verwerkt die een hoog privacyrisico opleveren, dan moet je een Data Protection Impact Assessment (DPIA) uitvoeren: een onderzoek dat de risico’s van gegevensverwerking in kaart brengt, waar je je maatregelen op aan kunt passen. Ook door in de ontwerpfase van een app of nieuwe website-omgeving een zorgvuldige omgang met persoonsgegevens af te dwingen (privacy by design) en standaardinstellingen altijd zo privacyvriendelijk mogelijk in te stellen (privacy by default), kun je het makkelijker maken om aan de AVG-regels te voldoen. Zorg daarnaast dat je met bedrijven een verwerkersovereenkomst volgens de regels van de AVG sluit als je persoonsgegevens met hen uitwisselt.
Bewustwording en training van werknemers
Je kunt als bedrijf goede strategieën ontwikkelen en maatregelen treffen voor de cybersecurity van je bedrijf, maar uiteindelijk staat of valt een veilige werkomgeving met het gedrag van je werknemers. De meeste beveiligingsinbreuken ontstaan niet door technische problemen maar door menselijke fouten. Medewerkers vormen het grootste IT-beveiligingsrisico (of juist het verdedigingssysteem) van een organisatie en hun oplettendheid is dan ook de belangrijkste preventie van cybercriminaliteit te noemen.
Een awareness-training voor medewerkers is dus een essentieel onderdeel van een solide cybersecuritybeleid. Zorg dat medewerkers het doel en belang goed begrijpen en als je je security awareness trainingsprogramma effectief in wilt zetten. Vergroot de motivatie van je team om tijd in de training te investeren door ervoor te zorgen dat bijvoorbeeld niet alleen de IT-afdeling maar het hele bedrijf de training ondersteunt. Onthoud ook vooral dat voor het grootste effect van de security awareness-training, herkenbare en makkelijk te begrijpen inhoud van essentieel belang is. Moeilijk jargon roept weerstand op en zorgt ervoor dat medewerkers afhaken, dus houd de taal duidelijk en begrijpelijk – ook voor mensen zonder technische kennis.
Dus door je bewust te blijven van de risico’s op het gebied van cyber security, gevoelige gegevens veilig op te slaan en persoonsgegevens altijd volgens de AVG te verwerken, kun je je organisatie beschermen tegen cyberaanvallen. Door medewerkers hier actief bij te betrekken door middel van een effectief awareness-programma, haal je vervolgens het maximale uit deze strategieën.
Reacties