Het voorkomen van een datalek of besmetting met gijzelsoftware is slechts deel technologie. People, process, technology, zegt men in de organisatieleer vaak en ook voor digitale beveiliging zijn mensen en processen twee héél belangrijke elementen. ICT-beveiliging is slechts deels een technologievraagstuk. Executive Finance zet een aantal manieren om uw bedrijf te beveiligen op een rij.
Inmiddels heeft 83 procent van de bedrijven al eens te maken gehad met een datalek, zo blijkt uit IBM’s recente Cost of a Breach Report. Het gaat bij het verkleinen van risico’s op een datalek niet alleen om de techniek, maar vooral ook om de processen. Een hack van een gemotiveerde aanvaller is bijna niet te voorkomen, maar de schade is wel te beperken.
- Breng de risico’s in kaart
Om risico’s te beheersen, moet er eerst een analyse worden uitgevoerd om te zien aan welke mogelijke risico’s een organisatie is blootgesteld. Dat geld voor de digitale wereld net zo goed als voor de financiële. Daardoor kunnen ondernemers prioriteren op basis van welke risico’s de meeste kans hebben te gebeuren of welke de hoogste bedrijfsimpact hebben – en een balans tussen die twee. Risicomanagement is geen eenmalige taak, maar een doorlopend proces waarin deze analyse regelmatig wordt uitgevoerd.
Lees ook: Cybersecuritybeeld 2023: verwacht het onverwachte
- Regel toegang tot gegevens in
Het gaat vaak mis wanneer te veel mensen een te brede toegang hebben tot bedrijfsgegevens. Dat is makkelijk en het is verleidelijk om gegevens zo open mogelijk te delen. Daar rekenen aanvallers ook op, die via een lage rol bij belangrijke bedrijfsinformatie kunnen. Voordat uw bedrijf aan de slag gaat met beveiligingsmiddelen (zie maatregel 4) is het zaak vast te stellen voor rollen welke gegevens ze nou écht nodig hebben om hun taken uit te kunnen voeren. Daarmee verklein je de impact van een hack bij een specifieke gebruiker.
- Maak het personeel alert
Het trainen van personeel is een doorlopende taak. Wekelijks veranderen de tactieken en mogelijkheden van cybercriminelen en met de inzet van AI wordt hun werk nog doelgerichter. De vuistregel ‘té paranoïde bestaat niet’ is een goed beleid om te volgen met e-mailverkeer. Vertrouw niet alleen op filters en technologie, maar leer mensen om te controleren, evalueren en gezond verstand te gebruiken bij elk verzoek dat ze ontvangen.
Pas dan komen er technische middelen bij kijken. Dit zijn drie manieren om de impact van een aanval te beperken of zelfs te voorkomen, zodat het bedrijf snel kan herstellen en er weinig tot geen gegevens lekken.
Lees ook: Waarom CFO’s zich zorgen moeten maken over cybersecurity
- Beveilig medewerkers met MFA
Laaghangend fruit waar aanvallers gebruik van maken, is het gebrek aan multifactorauthenticatie. Dat systeem is te vergelijken met het gebruik van een Rabo Scanner als extra verificatie bij het overmaken van geld. Deze beveiliging is al jaren in opkomst bij bedrijven, maar nog lang niet overal geïmplementeerd. Bij multifactorauthenticatie gaat bijvoorbeeld om tweestapsverificatie waarbij medewerkers een code op hun mobiele apparaat ontvangen wanneer ze inloggen vanaf een onbekend systeem of nieuwe locatie, bijvoorbeeld via een app als Microsoft Authenticator, Google Authenticator of een multiplatform-app als Authy.
- Versleutel gegevens
Ook versleuteling is een belangrijke tool om gegevens te beschermen. Aanvallers die toch binnenkomen – en dat is meestal geen kwestie van of maar wanneer – en sterk versleutelde informatie bemachtigen, kunnen daar niets mee aanvangen. Zorg ervoor dat uw applicaties gegevens alleen versleuteld verwerken. En een organisatie kan bijvoorbeeld vereisen om Microsofts BitLocker te gebruiken wanneer een usb-apparaat wordt gekoppeld, zodat gedeelde bestanden automatisch worden versleuteld.
Lees ook: 5 tips voor meer cyberbewustwording
- Maak back-ups van data
Vroeger of later worden gegevens versleuteld door een aanvaller en dan is een goede back-up een levensredder. Aanvallers die gijzelsoftware gebruiken, proberen ook de back-ups te bereiken. Zorg daarom ook voor een reservekopie die niet te benaderen is via het netwerk. Ook hierom is de 4-3-2-regel een goede vuistregel om te volgen (voorheen 3-2-1). Dat slaat op het hebben van 4 versies: uw productiedata en back-ups daarvan. Deze staan vervolgens op 3 verschillende media, bijvoorbeeld op servers, opgeslagen op tape en bij de cloudprovider. En daarbij staan er 2 op een fysiek andere locatie. Zo sluit u verlies van uw reservekopie door een hack, mediakwaliteitsverlies of incident als een brand uit. Zorg er ook voor dat het terugzetten van de reservekopie af en toe wordt getest. Meerdere organisaties hebben al op de pijnlijke manier ondervonden dat de keurig periodiek gemaakte back-up uiteindelijk niet bruikbaar blijkt in de productie-omgeving.
Lees ook
Onderzoek: Cybercriminele organisaties lijken steeds meer op echte bedrijven
De belangrijkste IT-thema’s voor bedrijven in 2023: AI, cyberbeveiliging en superapps
