Stappenplan om de cyber security van uw bedrijf te verbeteren in 2020
Een nieuw jaar, nieuwe voornemens. Waarschijnlijk heeft u al uw persoonlijke doelen geformuleerd. Heeft u ook al voornemens voor uw organisatie? En dan met name op IT-gebied? In deze blog geven wij u een stappenplan om een van uw meest waardevolle bezittingen te beschermen: de data van uw organisatie.
2019: recordjaar datalekken
2019 was het 'beste' jaar ooit als gaat om gestolen data en datalekken. Waarschijnlijk is er wereldwijd 8,5 miljard aan data gelekt of gestolen. Vooral ziekenhuizen, retail en openbare instellingen hebben onvoldoende maatregelen genomen om hun data te beveiligen. Zowel kleine ondernemingen als grote multinationals zijn hier de dupe van geworden; en uiteindelijk de consument wiens data is gelekt en daarmee privacy is geschaad. Dit zal naar verwachting in 2020 verder toenemen, dus de noodzaak om uw data goed te beveiligen is alleen maar groter geworden.
TIP 1: Maak een risicoanalyse
Begin met inzicht. Koop een doos taartjes en nodig de meest vervelende muggezifters, criticaster en doemdenkers van de organisatie uit voor een brainstorm waarin u vraagt om zoveel mogelijk potentiële veiligheidsproblemen bloot te leggen. Ga als volgt te werk:
Breng voorafgaand aan de meeting de datastromen in kaart (of schrijf gewoon wat kernwoorden op) en print deze uit om uw collega's inspiratie te geven. Denk aan CRM's, facturen, klantendossiers, administratie, HR-mappen, e-mailsystemen maar ook aan bijv. lijsten met wachtwoorden, USB-sticks die rondslingeren, thuiswerkers, etc.
Vraag de aanwezigen om te kwalificeren wat kwetsbare data is én zich in te leven in personen die kwaad willen. Een hacker die persoonsgegevens wil lekken/verkopen, een gedemotiveerde medewerker die data wil lekken naar de concurrent of een hacker die een virus installeert die alle bestanden op slot zet waardoor niemand in de organisatie meer bij de data kan. Hoe zou u dit aanpakken als u in hun schoenen stond?
Maak van de meest voor de hand liggende scenario's een shortlist van 10-20 items en kwalificeer samen met de aanwezigen hoe groot de kans is dat dit gebeurt (klein, gemiddeld, groot) én wat de impact hiervan is voor de organisatie/de betrokkenen (klein, gemiddeld, groot). Voorbeeld: De kans dat een laptop kwijtraakt/gestolen wordt is wellicht gemiddeld, en de impact groot als de hardeschijf niet versleuteld is, en juist weer laag als dit wel zo is.
Klaar, u heeft nu een (simpele doch effectieve) risicoanalyse.
TIP 2: Stel een cyber security policy op
Mooi. U weet nu waar de risico's liggen. Probeer uit deze risicoanalyse die punten te halen waarbij de waarschijnlijkheid en impact zo groot mogelijk zijn en werk deze uit naar een cyber security policy. Probeer in deze policy zoveel mogelijk de human factor te beperken; probeer zaken te automatiseren die u kunt automatiseren (bijv. ieder jaar automatisch een nieuw wachtwoord moeten instellen vanuit een applicatie, laptops vanuit de installatie versleutelen). De rest dient u als duidelijke punten over te brengen aan uw collega's.
Een aantal voorbeelden van automatiseerbare zaken voor uw cyber security policy:
- Password manager instellen met vooringeregeld rechtensysteem waarbij gebruikers de wachtwoorden zelf niet kunnen inzien, bijv. LastPass of SecureLogin.
- Gebruik van overkoepelende logins (zoals ActiveDirectory) en vanuit de software vereisen dat ieder jaar een (veilig) nieuw wachtwoord wordt ingesteld (dit kan bijv. bij Microsoft-accounts en op iOS apparaten). Stel waar mogelijk altijd verplicht secundaire authenticatie in.
- Laat alle laptops, tablets en telefoons door uw IT-afdeling versleutelen. Mocht een apparaat kwijtraken, dan is het zeer lastig om bij de data te komen zonder wachtwoord.
- Beperkt bovenstaande apparaten ook op installatie van 'eigen software'; zorg voor managed devices of desnoods gebruikersaccounts.
- Sluit waar mogelijk systemen/software af met IP-restricties. Denk aan boekhoudsysteem, CRM of toegang tot mission critical applicaties.
- Zorg voor voldoende geautomatiseerde back-up.
Voorbeelden van zaken die in de gedragscode van uw cyber security policy staan:
- Schermen dienen op 'screenlock' te worden gezet bij het verlaten van het bureau. Bij SecuDoc op kantoor heerst een ware strijd om die ene medewerker te vinden die zijn scherm weer eens niet op slot heeft gezet en heel even van zijn bureau af moest, en snel op zijn PC een mail uit te typen naar het hele team met daarin de tekst: "Willen jullie morgen taart of saucijzenbrood? Ik trakteer!".
- Documenten met persoonsgegevens dienen altijd met een beveiligd systeem te worden verzonden, zoals SecuDoc.
- Verbod op gebruik van USB-sticks en andere opslagmedia op zakelijke apparaten.
- Verbod op achterlaten van bedrijfsapparaten op onbeheerde plekken, zoals achter in uw auto.
- Voeg een boetebeding toe om het geheel kracht bij te zetten, bijv. "max. € 5000" bij overtredingen door nalatigheid die negatieve impact hebben op de organisatie. Veiligheid is een serieuze zaak, en dat mogen uw collega's best weten.
Verstrek deze policy aan iedere medewerker en vraag bij voorkeur om een akkoord of een handtekening. Zo, nu weet iedereen wat de nieuwe norm is.
TIP 3: Creëer bewustwording
Maak cyber security een prioriteit binnen uw organisatie. U kunt veel investeren in technische cyber security van uw bedrijf, maar uiteindelijk blijkt de grootste bron van datalekken en datadiefstal nog steeds de menselijke factor. U vist al die nepmails er natuurlijk direct uit (al worden deze ook steeds beter) maar veel van uw collega's weten weinig over cybersecurity, de kwetsbaarheid van data en de gevolgen van datalekken. Het is belangrijk om uw medewerkers of collega's hierin mee te nemen en scherp te houden. U kunt ze op verschillende manieren uitleggen dat ze goed om moeten gaan met (persoons)gegevens van jullie klanten en relaties. Bereid een bewustwordingsmiddag voor waarin u uw PowerPoint-skills oppoetst en samen wat Phising mails doorloopt en een quizje doet. Interessante input voor uw presentatie: https://www.quostar.com/blog/4-quick-cyber-security-tips-every-employee-should-follow/
Tip: Zet één dag voor uw cyber security middag zelfs eens een goede Phising mail op; veel medewerkers trappen hierin. Een blijvende indruk verzekerd.
More to come
We zullen gedurende 2020 nog meer handige tips met u delen over hoe u uw data kunt beschermen of hoe u uw mederkers of collega's bewuster kunt maken rondom het thema cyber security. Heeft u vragen over cyber security of heeft u onderwerpen waar u meer over wilt weten, stuur ons dan een mail op info@secudoc.nl.
Probeer SecuDoc 14 dagen gratis
Start nu met Veilig Mailen. Vraag uw account aan en zorg ervoor dat u binnen 5 minuten uw eerste veilige mails en bestanden uitstuurt.
Neem contact met ons op
Wij helpen u graag met alle vragen die u heeft over SecuDoc. U kunt ons via onderstaande mogelijkheden bereiken.