Steeds meer informatie heeft een digitale oorsprong of zal uiteindelijk gedigitaliseerd worden.
Hoe sla ik dit op, hoe zorg ik dat het veilig is en hoe voorkom ik misbruik van deze informatie. Op deze vragen gaan wij onderstaand een beknopt antwoord geven met voorbeelden en oplossingen hoe hier mee om te gaan.
Voor meer diepgaande informatie adviseren wij ten alle tijden een afspraak met de IT-security consultant in te plannen.
Informatie komt op verschillende manieren een organisatie binnen, via de post, email en informatie die je zelf genereert in bijvoorbeeld Word, Excel en zakelijke software.
Deze informatie verwerk je natuurlijk conform je eigen privacyverklaring en verwerkersovereenkomst, maar hoe voorkom je dat een hacker of misschien zelfs een eigen medewerker misbruik maakt van deze informatie.
Lees onderstaand meer.
Werkplekken
Bedrijfsinformatie komt binnen op pc’s, laptops, smartphone en tablets.
Het is dus van belang dat je al deze apparaten mee neemt in je beleid op informatiebeveiliging.
Denk hierbij aan een goede antivirus, toepassen van een zero-trust rechtenstructuur, beheren van mobiele apparatuur om misbruik door verlies/diefstal en oneigenlijk gebruik te voorkomen.
Een goede beveiliging heeft inzicht in gebruikers, inzicht in welke informatie er geraadpleegd wordt/door wie/wanneer en waar vandaan.
Als deze elementen inzichtelijk zijn kun je hierop beheer toepassen.
“Als voorbeeld: een medewerker woont in Nederland, werkt in Nederland en hij/zij hoeft voor zijn werk nooit buiten Nederland te komen. Waarom zou je dan informatie beschikbaar stellen via een buitenlandse internetverbinding of wanneer een smartphone buiten Nederland is. Met een goede managementtool kun je dit perfect inregelen”
Dataopslag
Uit onderzoek blijkt dat 79% van de MKB ondernemers vertrouwen dat hun IT-leverancier de zaken goed op orde heeft inzake cybersecurity. Als IT-bedrijf zijn wij natuurlijk blij met dit vertrouwen, alleen is het terecht? Een ander onderzoek onder IT-leveranciers toont aan dat 58% van hun klanten niet voldoende beschermd zijn.
Dit verschil is redelijk makkelijk te verklaren, want als IT-leverancier wil je natuurlijk de klant zo goed mogelijk beveiligen. Echter is het voor veel MKB’ers simpelweg een kostenafweging om bepaalde beveiliging wel en andere niet te kiezen. Daarnaast zijn niet alle IT-leveranciers cybercrime experts. Waarop zijn deze getallen eigenlijk gebaseerd? Laten we eens kijken.
Door gebruik te maken van slimme software die automatisch controles uitvoert op je IT-omgeving kun je de cybercrime weerbaarheid grandioos vergroten. Bij Microway gebruiken wij pro-actieve monitoring en geautomatiseerde security audits die telkens op ruim 12.000 bekende kwetsbaarheden controleert. Wij laten jouw antivirus communiceren met je firewall om zo ook onbekende bedreigingen te signaleren en te stoppen.
Het is voor een hacker erg eenvoudig om binnen te komen als je geen beveilingsupdates toe past, ook het juist instellen van de hardware en software is belangrijk. Om zeker ervan te zijn dat alles up to date is kun je een periodieke controle van binnenuit laten uitvoeren. Hierbij krijg je een overzicht van update statussen en eventuele beveiligingsrisico’s. Heb je als organisatie informatie op een server staan of wellicht stel je deze toegankelijk via een online applicatie dan behoort het laten uitvoeren van een pen-test tot de mogelijkheden. Hierbij wordt gekeken of een hacker zonder voorkennis toegang kan krijgen tot jouw informatie.
Netwerkbeveiliging
Hoe goed je alle voorgaande punten ook hebt beveiligd, veel bedrijven laten steken vallen bij het security-beleid op hun data-netwerk. Wifi netwerken zonder wachtwoord of gasten netwerken waarvan de code’s op een bordje bij de receptie of op tafel staan geven enorme risico’s.
In de praktijk zien we vaak dat Wifi gastennetwerk maar ook productienetwerk slecht beveiligd zijn.
Een gastennetwerk moet absoluut gescheiden zijn van een productienetwerk. Een aantal basale instellingen zorgen vaak al voor een redelijke beveiliging. Het onderzoeken van de veiligheid van een Wifi netwerk is relatief simpel en neemt weinig tijd in beslag, vaak maar enkele uren.
Niet alleen draadloos maar ook fysiek op locatie kunnen enorme risico’s aanwezig zijn. Indien een datanetwerk geen monitoring heeft op nieuwe en onbekende apparaten kun je als bezoeker zomaar iets in het netwerk plaatsen. Een hacker heeft kleine apparaatjes die hij of zij eenvoudig tussen een pc, toetsenbord of printer in plaatst met pakkende benamingen als Plunderbug en KeyCroc en het laat zich makkelijk raden wat deze apparaten kunnen. Dit gebeurt in een moment van afleiding die je eenvoudig in scene kunt zetten.
Het hebben van volledig inzicht in de datastromen binnen je netwerk kunnen snel datalekken opsporen.
Er zijn oplossingen die je eenvoudig tussen de dataverbinding en je netwerkapparatuur in zet die al het verkeer inzichtelijk maakt. Naast inzicht is regelmatig beheer op de netwerkhardware ook van belang, ook hier zijn updates voor. Het toepassen van Zero-trust is ook van toepassing op datanetwerken. Zorg dat apparaten slechts de andere apparaten kunnen benaderen die nodig zijn. Een beveiligingscamera hoeft niet bij je printers te kunnen komen of bij de werkplekken van de medewerkers.
Als laatste is het toepassen van IoT apparatuur ofwel slimme meters, displays en andere apparatuur een punt van aandacht. Deze apparatuur is gemaakt om eenvoudig te kunnen connecteren met het internet, vaak niet met veiligheid als hoogste prioriteit. Door scheiding in je datanetwerk aan te brengen voorkom je dat een aanval van een hacker op je IoT apparatuur kan leiden tot een datalek.
Een bedrijf met 5 medewerkers of met 1000 medewerkers, daar zit wel verschil in qua aanpak om een goede start te maken met informatiebeveiliging. Laat je goed informeren door een onafhankelijk IT-security adviseur.
Vaak kunnen deze al met behulp van een paar simpele testen een basis vaststellen hoe het is gesteld met je informatiebeveiliging.
Wat kunnen wij uitvoeren: Penetratietesten o.b.v. black-, grey- of white-box, wifi-assessments, netwerkkwetsbaarheden scan, netwerkconfiguratie scan, toegangsrechten scan, data monitoring in- en outbound, Phishing tests, security-awareness assessments.
