Informatiebeveiliging. Grote kans dat jij er niet voldoende aan doet, want, zoals we vaak genoeg horen op de werkvloer, “ik ben niet interessant genoeg”. Helaas is dat niet het geval: data is het nieuwe goud en verwerk jij data (wat ieder bedrijf doet), dan loop je risico op hacks, ransomware-aanvallen en meer cyberellende. Wat je kunt doen om dat risico te beperken? Dat lees je in dit blog!
Informatieveiligheid voorop
Een paar decennia terug was de informatieveiligheid binnen je bedrijf bewaken eigenlijk peanuts. Van je personeelsinformatie tot gevoelige bedrijfsinfo en planningen: alles stond op papier. Gooi dat achter slot en grendel en geef de sleutels alleen aan de juiste persoon of personen en je bent klaar.
Digitale informatieveiligheid daarentegen is een stuk ingewikkelder. Je kunt digitale info eindeloos delen, linken en in allerlei systemen hangen. Zet één van je medewerkers een belangrijk document in z’n Google Drive zonder te denken aan de juiste toegangsrechten, dan kan zo’n document al snel gaan rondzwerven waar het niet hoort. Wat jouw bedrijf weer kwetsbaar maakt, want krijgen de verkeerde mensen jouw info in handen dan ligt je data zo op straat. En dat gebeurt niet alleen bij de multinationals van deze wereld: juist het MKB wordt getarget met allerlei soorten cybercrime, van ransomware tot social engineering. Voldoende reden om te gaan werken aan je informatieveiligheid, dachten we zo.
Zo start je met je informatiebeveiligingsbeleid
Om je data veilig te houden, heb je een helder en volledig informatiebeveiligingsbeleid nodig, dat gedragen wordt binnen je hele organisatie. In dit beleid breng je onder andere in kaart wie bij welke informatie kan, welke maatregelen je treft om data te beveiligen, welke beveiligingsprocedures je implementeert en hoe het risicomanagement eruit ziet.
Hiermee starten betekent dat je teruggaat naar de basis. Bedenk jezelf:
- Welke belangrijke informatie er rondgaat binnen je bedrijf. Denk aan je klantenbestand, je planning, je personeelsinformatie, financiële documentatie en meer.
- Wie beheert die informatie en wie heeft er toegang toe? Staan de toegangsrechten bijvoorbeeld wel goed en is er een heldere rechtenstructuur? Een belangrijk deel van informatiebeveiliging is zorgen dat de juiste mensen bij de juiste informatie kunnen. Een medewerker die bijvoorbeeld alleen inzage nodig heeft in de planningen, hoeft niet bij personeelsgegevens te kunnen. Aangezien medewerkers nog altijd de grootste risicofactor zijn bij cybercrime, is het goed om hier scherp op te zijn.
- Waar staat de informatie en met welke systemen wordt het gedeeld? Ook hiervan wil je een duidelijk overzicht, om te voorkomen dat je data gaat rondzwerven of dat het in systemen terechtkomt die hun security minder goed op orde hebben.
Heb je dit overzicht klaar, dan is het tijd om er beveiligingsprocedures omheen te bedenken en vast te leggen. Hoe dat eruit ziet, verschilt per organisatie. Organisatiegrootte speelt bijvoorbeeld een rol, net als welke informatieverwerkingssystemen je gebruikt.
En hoe nu verder?
Geen idee hoe je je informatiebeveiliging moet vormgeven? Met het digitale deel kan Yellow Spring je helpen. Onze cybersecurity consultants komen graag bij je over de vloer om mee te denken over wat werkt voor jou en jouw bedrijf. Waar kansen en risico’s liggen in je databeveiliging, en wat je kunt (en moet) doen om je data safe te houden.
Denk bijvoorbeeld aan:
Basis veiligheidsmaatregelen inrichten. Met onze Cyberveiligheid Configuratie pakken we precies die punten aan die belangrijk zijn voor jou. Dat kan zijn: multifactorauthenticatie, netwerksegmentatie, een next-gen firewall, je interne rechtenstructuur en nog veel meer. Lees hier hoe en wat.
Je veiligheidsbeleid testen en monitoren. Staat je cybersecurity eenmaal, dan is het van belang om je systemen te blijven monitoren of periodiek te testen. De ontwikkelingen in ICT-land gaan tenslotte snoeihard en hackers worden steeds slimmer. Met het testen en monitoren van je systemen ontdek je op tijd waar lekken ontstaan en blijf je hackers een stap voor. Lees hier meer over Cyber Security Monitoring of onze pentest, Laat je hacken.
Bewustzijn vergroten onder je medewerkers. Naast alle technische maatregelen draait cybersecurity vooral om mensen bewust maken en opleiden. Zorgen dat ze een phishingmail herkennen en weten wat ze ermee moeten doen. Ze immuun maken voor social engineering. Hiervoor hebben we verschillende trainingen, zoals een Phishing Simulatie en de Cyber Security Awareness Training. Lees hier meer.