Dit zijn de 4 risicovolle onderdelen van informatiebeveiliging

Bij de term cyberbeveiliging wordt vaak gedacht aan de technische kant. Dit is natuurlijk een zeer belangrijk onderdeel van informatiebeveiliging, maar het is zeker niet het enige onderdeel. Naast de technische kant zijn er nog drie andere onderdelen waarop u moet letten.

Als we met klanten praten, vragen we CISO Roy Sandbergen om een kijkje te nemen. Zelf gebruikt hij deze 4 componenten waarin informatiebeveiliging kan worden toegepast: Organisatie, Mensen, Technologie en Fysieke beveiliging.

Hieronder lichten we elk onderdeel toe.

De organisatie

De eerste in de reeks is de organisatie. Hoe is de beveiliging van informatie op organisatieniveau geregeld? Het is goed om aan het volgende te denken:
1. Is er een informatiebeveiligingsbeleid? Want hoe kun je van je medewerkers vragen veilig met informatie om te gaan als je als organisatie zelf geen richtlijnen hebt?
2. Is er een rampherstelplan klaar? Wat ga je doen als je nog steeds te maken hebt met een veiligheidsongeluk? Met wie communiceert u, wat herstelt u en in welke volgorde? Wanneer neemt u bepaalde beslissingen over een noodplan of eventuele kosten en wie mag die beslissing nemen? Dit zijn enkele van de onderwerpen die in een dergelijk plan kunnen worden opgenomen. Het is beter hier rustig over na te denken en een plan te hebben dan wanneer “het huis in brand staat”.
3. Procedure voor in- en uitdiensttreding. Op de werkgelegenheid: Welke rechten worden toegekend? Bij uitdiensttreding. Wat moet er ingeleverd worden? Zet je alle accounts uit? Denk aan toepassingen van derden, maar ook aan bijvoorbeeld het teruggeven van de sleutel of de alarmcode.
4. Aan welke wet- en regelgeving moet je als organisatie voldoen en hoe waarborg je dat?
5. Worden uitgedeelde rechten (lees: toegang tot informatie) regelmatig gecontroleerd en opnieuw geëvalueerd?

Er zijn natuurlijk veel meer voorbeelden op organisatieniveau die u kunt implementeren voor informatiebeveiliging. Dit verschilt per organisatie.

De mens

Mensen zijn een belangrijk onderdeel van informatiebeveiliging. De meeste informatielekken zijn het gevolg van menselijk handelen. Zoals we aangeven in onze Better Safe Than Sorry campagne; een ongeluk zit in een klein hoekje. En dat is menselijk. Enkele voorbeelden waaraan u kunt denken zijn:

1. Is men zich voldoende bewust van de gevaren van bijvoorbeeld phishing?
2. Is men voldoende op de hoogte van de wet- en regelgeving, zoals de rechten maar ook de plichten van de verwerking van persoonsgegevens?
3. Zijn alle werknemers op de hoogte van het informatiebeveiligingsbeleid van de organisatie en wordt dit ook regelmatig herhaald? Is bekend wanneer en aan wie een veiligheidsongeval kan worden gemeld?
4. Zijn gegevens in transport (mail, USB, CD, externe harde schijf) versleuteld?
5. Worden computers geblokkeerd wanneer ze niet in gebruik zijn?

Wilt u weten hoe het bewustzijn binnen uw organisatie kan worden verbeterd? We hebben een bewustwordingstraining waarmee je het bewustzijn vergroot door steeds kleine testjes te delen met collega’s.

Techniek

Na de organisatie en de mensen komen we bij de technologie. Dit kan worden onderverdeeld in preventie, detectie en reactie.

1. Het begint met een veilige configuratie en het goed patchen/updaten van het ICT-landschap.
2. Daarnaast is er authenticatie en autorisatie. Een goed voorbeeld is het gebruik van Multi Factor Authenticatie (MFA).
3. Het opzetten van een goede back-upoplossing en het regelmatig controleren van de werking ervan is een belangrijk onderdeel.
4. Pas encryptie toe en gebruik anti-virus en/of anti-spam.
5. Maak gebruik van waarschuwingen door middel van bijvoorbeeld software die een waarschuwing geeft als een kwetsbaarheid wordt ontdekt of misschien afwijkend gedrag wordt waargenomen.

Fysieke veiligheid

Scherm uw informatie of informatiedragers af met een slot, een afgeschermde ruimte en andere beveiligingsmiddelen zoals alarmen en camera’s.

Aan de hand van bijvoorbeeld een risicobeoordeling kunt u nagaan welke maatregelen voor uw organisatie van belang zijn. Omdat je eerst moet weten wat je hebt voordat je het veilig kunt stellen.

Wil je meer weten?

Lees hier alles over onze Better save than sorry campagne.
Heb je phishing e-mails ontvangen? Daar moet je op letten.
Kruis op deze beveiligingschecklist aan wat u als organisatie al doet aan gegevensbeveiliging (en zoek uit wat u doet)
Zo zijn veel van de cyberincidenten te wijten aan menselijke fouten. Lees deze whitepaper
Controleer of uw e-mailadres in de database staat. Controleer of je gehackt bent.
Met deze tips maak je het de hacker moeilijker!
of vraag advies aan een van onze experts.

  • Share on social media:

Related Blog

Wie is aansprakelijk voor de schade van een ransomware-aanval?

Stan Elsendoorn schreef een blog met deze titel en trok...

mei 12, 2022 | 2 min reads, 19 sec reads

Dit zijn de 4 risicovolle onderdelen van informatiebeveiliging

Bij de term cyberbeveiliging wordt vaak gedacht aan de technische...

april 12, 2022 | 3 min reads, 30 sec reads

Improve your company’s communication today!