Securitystrategie en cloud: is het al hoge prioriteit voor jouw organisatie?

  • BLOG Header-4

Bijna dagelijks lezen we berichten over datalekken bij bedrijven of over crypto-lockers en ransomware die data onbruikbaar maken door encryptie.

Deze security-incidenten zijn in een stroomversnelling geraakt door de coronapandemie. We moesten zo snel mogelijk overstappen naar de cloud om thuis te werken. In hoog tempo adopteerden we moderne, digitale werkvormen. Hierdoor liep de bedrijfsvoering al snel weer door. Maar het betekende wel dat we nauwelijks tijd hadden om na te denken over de beveiliging van deze middelen.

En dat is wél hard nodig:

  • Je medewerkers werken in de cloud, maar door hun werkwijze ontstaan vaak (onbewust) datalekken. Je kunt denken aan een medewerker die een laptop in de trein laat liggen of een medewerker die een phishingmail aanziet voor een normale mail. En daarmee krijgen criminelen toegang tot vitale bedrijfsinformatie.
  • Ben je eenmaal slachtoffer van een security-aanval, dan is het lastig om het vertrouwen van klanten, partners en medewerkers terug te winnen. Zo keert tachtig procent van jouw klanten niet meer terug naar je organisatie wanneer hun informatie is gehackt. Daarnaast is het na een hack lastiger om nieuw personeel aan te trekken.
  • Wanneer je security niet op orde is, maak je kans op flinke boetes. Sinds de AVG van kracht is, is het duidelijk wie er verantwoordelijk is voor de opslag en verwerking van gegevens. Ben je doelwit geworden van een datalek en meld je dit vervolgens niet? Dan lopen boetes wel op tot vier procent van de jaaromzet.
Virus

5x

 Vijf keer zoveel cyberaanvallen sinds de coronapandemie

Vergrootglas

197 dagen

Het duurt gemideld 197 dagen om een datalek te ontdekken

Veiligheid

65%

Meer dan 65 procent van managers heeft het idee dat het security-risico stijgt

Hoogste tijd dus om security op de agenda te zetten: bij elke digitaliseringsslag denk je goed na over de informatiebeveiliging. Je neemt mee welke risico’s je loopt en wanneer.

Maar wat verstaan we precies onder cybersecurity?

Cybersecurity is het beschermen van computers, netwerken en data tegen schadelijke aanvallen. Cybersecurity bestaat uit de volgende elementen:

  • Netwerkbeveiliging: de beveiliging van een computernetwerk tegen aanvallers. 
  • Applicatiebeveiliging: de bescherming van software tegen dreigingen. 
  • Apparaatbeveiliging: werkapparatuur beschermen tegen bedreigingen van buitenaf.  
  • Databescherming: beleid, processen en techniek die nodig zijn voor de privacy-waarborging, correcte verwerking en bescherming van data-assets. Denk aan de rechten van gebruikers en regelingen die aangeven waar gebruikers gegevens kunnen opslaan. 
  • Operationele beveiliging: processen die nodig zijn voor het verwerken en beschermen van data-assets. Denk bijvoorbeeld aan de rechten van gebruikers en regelingen die aangeven waar gebruikers gegevens kunnen opslaan. 
  • Noodherstel en continuïteit van het werk: het beleid om de bedrijfsvoering en data te herstellen na een cybersecurity-incident. Bedrijfscontinuïteit bestaat uit een plan waarop de organisatie terugvalt wanneer er een cybersecurity-aanval heeft plaatsgevonden.  
  • Informatiebeveiliging: alle beveiligingsmaatregelen voor databeveiliging en gegevens. 
  • Training van eindgebruikers: eindgebruikers bewustmaken van cybersecurity.

Wat levert een goede cybersecurity-strategie jouw organisatie concreet op?

De zaken op orde hebben: voorkomen is beter dan genezen

Je zaakjes op orde hebben is steeds vaker een randvoorwaarde om je bedrijfsactiviteiten in een specifieke sector aan te bieden. Met een goede cybersecurity-strategie voorkom je risico’s in je bedrijfsvoering en geef je aandacht aan je medewerkers en aan je klanten. Denk hier aan bepaalde certificeringen zoals: ISAE of ISO27001. Wanneer je voldoet aan deze certificeringen, laat je zien dat je voldoende maatregelen hebt getroffen in het geval dat er iets misgaat.

  • De juiste securitymaatregelen geven klanten en partners vertrouwen in de samenwerking. Hierdoor zorgt een cybersecurity-strategie in 87 procent van de gevallen voor meer omzet.
  • Met een sterke cybersecurity-strategie ben je een minder interessant doelwit voor cybercriminelen. Volgens  cybersecurity-organisatie Sensei Enterprises, kun je phishing-aanvallen met de juiste aanpak verminderen tot wel twintig procent.
  • Investeer je in security, dan heb je minder productiviteitsverlies op lange termijn. Security-incidenten zorgen voor verminderde productiviteit. Wanneer je de security op orde hebt, verminder je de kans op geslaagde malware- en phishingaanvallen. Ook ben je beter in staat de impact van datalekken op te vangen.

Verder praten met een security-expert over de mogelijkheden voor jouw organisatie? Stel hier je vraag.

Cybersecurity-risico’s: hoe voorkom je ze?

Cyberaanvallen

Cybercriminelen maken handig gebruik van het nieuwe werken. Volgens het NCSC zijn phishingaanvallen aanzienlijk gestegen sinds de coronacrisis. En zo zijn sinds de coronapandemie de cyberaanvallen vervijfvoudigd.  

De belangrijkste cybersecurity-risico’s: 

Vakje Virus

Malware: software die criminelen gebruiken voor gegevensbemachtiging, verstoringen en andere vormen van cybercriminaliteit.

Vakje Hacker

Ransomware: een vorm van malware die data op slot zet en de sleutel ervan verkoopt voor een hoge prijs. 

Vakje Phising

Phishingeen vorm van internetfraude waarbij criminelen mensen verleiden tot het verstrekken van gevoelige informatie zoals gebruikersnamen, wachtwoorden en financiële gegevens.

Wat kun je doen tegen phishing en nepmails?

Voorkomen is beter dan genezen. Daarom is het allereerst belangrijk om je medewerkers op te leiden. Daarnaast kun je zelf je security testen door middel van een nagebootste phishingaanval. Je test dan of het bewustzijn van de beveiligingsrisico’s onder je medewerkers op orde is. 

Het testen met een nep-phishingaanval heeft meerdere doelen:

  • Je test jouw interne beveiliging, voornamelijk op het gebied van security awareness. Hier komen verbeteringen uit. Die kun je weer meenemen in je informatiebeveiligingsbeleid.
  • Deze acties creëren meer bewustzijn onder je medewerkers die in aanraking zijn gekomen met een ‘aanval’. Ze zullen volgende keer meer op hun hoede zijn.

Daarnaast zijn er nog een aantal maatregelen die je kunt ondernemen op technisch gebied:

  1. Gebruik e-mail blacklisting wanneer je organisatie slachtoffer is van een gerichte phishingcampagne. 
  2. Stel een centraal punt binnen je organisatie aan waar medewerkers verdachte mails heen kunnen sturen en met vragen hierover terecht kunnen. Zo voorkom je dat ze phishingmails naar elkaar doorsturen.
  3. Microsoft 365 biedt bijvoorbeeld standaard anti-phishingbescherming. Je kunt deze beveiliging nóg meer verhogen door de instellingen te verfijnen. Je leest hier hoe.

Hoe OGD jouw organisatie helpt bij phishing? OGD voert phishingtests uit.
Zo toetsen we het bewustzijn van je medewerkers op het gebied van phishing. We gebruiken technieken uit de praktijk en maken inzichtelijk hoe kwetsbaar je organisatie is voor deze veelgebruikte aanvalsmethode. 

Hoe voorkom je malware of ransomware?

Volg onderstaande tips om malware of ransomware te voorkomen:

  • Installeer endpoint protection (antivirussoftware) op je devices en zorg dat deze up-to-date is. 
  • Hanteer het principe van least privilege: beperk de toegang die medewerkers hebben tot alleen die data de ze echt nodig hebben. 
  • Zorg dat eindgebruikers geen admin-rechten hebben op hun werkplekken. 
  • Maak regelmatig een back-up van de data. Zorg dat alle belangrijke data dáár opgeslagen wordt. 
  • Zorg dat alle systemen up-to-date zijn en relevante patches bevatten. 
  • Houd in de gaten of eindgebruikers weten hoe ze veilig met data en ict-middelen omgaan. 
  • Houd altijd een aantal werkstations op reserve.

Hoe OGD jouw organisatie kan helpen: dek je grootste zorgen op het gebied van security af met Managed Detection and Response-dienstverlening (MDR). Met verschillende monitoring-tools letten we op verdachte en malafide activiteiten binnen je omgeving, waarop een tijdige en adequate response volgt. 

Gesprek met een specialist

Wat moet je doen na een malware- of ransomware-aanval?

  • Reageer niet op dreigementen van de hackers. 
  • Wis alle data op de geïnfecteerde machines en zet de laatste back-ups van vóór de infectie terug. 
  • Doe aangifte van afpersing en volg instructies van de politie op. 

Wil je uitgebreide uitleg? Lees dan deze blog.

Wat zijn manieren om een datalek te voorkomen?

Je kunt een datalek nooit helemaal voorkomen. Maar je kunt de kans op een datalek wel verkleinen. Creëer in ieder geval meer bewustzijn van het databeleid van jouw organisatie. Hier vind je acht tips om de kans op een datalek te verkleinen:

  • Registreer verwerking van persoonsgegevens bij de Autoriteit Persoonsgegevens. Dit helpt mensen gebruik te maken van hun rechten op het gebied van privacy. 
  • Wijs een functionaris voor de gegevensbescherming (FG) aan. Voor iedere organisatie is het verstandig om een FG aan te wijzen, maar in drie situaties is dit verplicht: voor publieke organisaties, organisaties die op grote schaal mensen volgen (door bijvoorbeeld cameratoezicht en monitoring van iemands gezondheid) en organisaties die veel te maken hebben met het verwerken van bijzondere persoonsgegevens.  
  • Breng gegevensstromen in kaart. Zorg ervoor dat je weet waar persoonsgegevens zich bevinden en welke route de gegevens afleggen. Zo kom je er snel achter waar het risico van het datalek zich bevindt.  
  • Verzamel geen onnodige gegevens. Hoe minder data je bewaart, hoe kleiner de kans is op het lekken van data.  
  • Maak gebruik van multifactor authenticatie (MFA). In deze blog lees je meer over MFA. 
  • Kies voor cloudopslag binnen de EU. Zo weet je zeker datof het privacybeleid in lijn is met de AVG.  
  • Schenk aandacht aan de medewerker. Medewerkers veroorzaken het vaakst een datalek. Meestal onbewust of door een slordigheid. Leid ze daarom op de juiste manier op.  
Hulp nodig bij het trainen van jouw medewerkers? OGD helpt jouw organisatie bij het betrekken van je medewerkers met communicatieplannen en trainingen. Meer weten? Vraag een vrijblijvend gesprek aan met onze specialisten.

Wat moet je doen nadat je slachtoffer bent geworden van een datalek?

Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Wanneer je slachtoffer bent geworden van een datalek kun je de volgende stappen ondernemen:

  • Analyseer de situatie. Wat is er gebeurd en wie hebben er mogelijk toegang gehad tot de data? 
  • Maak een inschatting van het mogelijke risico dat het datalek oplevert. 
  • Bepaal of je het datalek moet melden bij de Autoriteit Persoonsgegevens (AP). Je moet een datalek melden, tenzij het niet waarschijnlijk is dat deze een risico oplevert voor de rechten van de betrokken personen. Is dit wel het geval? Meld het datalek dan binnen 72 uur. 
  • Bepaal of je het datalek meldt aan de betrokken personen. Dit is verplicht wanneer er een hoog risico is voor de rechten en vrijheden van de betrokken personen. 
  • Registeer het datalek in je verplichte datalekregister. 

Securitymaatregelen: waarom zijn ze belangrijk en hoe zet je ze op de juiste manier in?

De laatste tijd zijn er een hoop technieken ontstaan die de kans op een datalek verkleinen, zoals dataclassificatie, datapseudonimisatie en dataminimalisatie. Zo kun je eenvoudig data buiten de kantoormuren beschermen en bied je jouw klanten en medewerkers een sterke beveiliging van hun persoonsgegevens. Maar hoe zet je deze technieken eigenlijk in? 

Hoe zet je dataclassificatie in?

Dataclassificatie betekent het labelen van informatie om er een bepaalde waarde aan toe te kennen. Zo bepaal je welke mate en vorm van bescherming nodig is. Dataclassificatie is het bepalen van de privacygevoeligheid van specifieke data. Dataclassificatie is cruciaal voor het bepalen van je veiligheidsmaatregelen. Bepaal of data persoonlijk, publiek, algemeen, vertrouwelijk of zeer vertrouwelijk is. Hierop gebaseerd classificeer je de data.

Je stelt jezelf continu de vraag: hoe belangrijk is deze informatie? Kijk hierbij naar: 

  • de privacygevoeligheid van de data; 
  • de mate van belang voor het dagelijks functioneren van de bedrijfsvoering. 

Met deze classificatie kun je vervolgens consequenties toevoegen zoals: niet buiten de organisatie delen, niet doorsturen of niet kopiëren.

Hoe zet je datapseudonimisatie in?

Het pseudonimiseren van data is een methode waarbij je gegevens zodanig bewerkt dat ze niet te ontcijferen zijn voor een derde partij. Hier een paar voorbeelden van hoe je datapseudonimisatie inzet:

  • het vervangen van gegevens door vooraf gedefinieerde regels; 
  • het verschuiven van gegevens binnen een dataset, denk aan het verwisselen van achternamen; 
  • bepaalde gegevens wissen, zoals de eerste cijfers van een nummer. 

Hoe zet je dataminimalisatie in? 

Bij dataminimalisatie zorg je dat je niet meer gegevens gebruikt dan nodig voor het doel waarvoor je deze gegevens inzet. Vraag jezelf dus continu af: 'Wat heb ik minimaal nodig om een bepaald doel te behalen?' Een voorbeeld: voor het in contact treden met een bepaalde doelgroep heeft een organisatie misschien alleen de voornaam en het e-mailadres van contactpersonen nodig, maar niet de achternaam, het telefoonnummer en de adresgegevens. 

Wat voegt MFA toe?  

Het instellen van MFA verkleint het risico op een datalek binnen je cloudomgeving al snel met 99,9 procent. Het is daarmee een van de belangrijkste veiligheidsmaatregelen. Je houdt de meeste hackers pas echt tegen als je meer dan één verificatiestap instelt. Het is voor hackers eenvoudig om wachtwoorden te achterhalen. Pas als ze extra stappen moeten doorlopen, wordt het lastig voor hen.  

Dankzij MFA speel je in op deze securityrisico’s:

  • Hackers die toegang krijgen tot zakelijke e-mail: als e-mailaccounts met slechts één wachtwoord zijn beveiligd, komen mensen hier vrij makkelijk onrechtmatig binnen. Vanuit daar kunnen zij de bedrijfsvoering ontwrichten en geld stelen.  
  • Het hergebruik van wachtwoorden: uit onderzoek blijkt dat het merendeel van de werknemers voor verschillende accounts en applicaties hetzelfde wachtwoord gebruikt. De schade kan dan enorm zijn wanneer het wachtwoord in verkeerde handen valt en het systeem geen extra authenticatie vraagt van de hacker. 

Wil je meer weten over MFA en waarom het nuttig is? Bekijk dan deze blog. 

 

Gesprek met een specialist

Data security: hoe houd je de data veilig in de cloud?

Tegenwoordig slaan steeds meer organisaties hun data op in de cloud. Dit heeft nog eens een extra boost gekregen sinds de coronacrisis. Maar met de groeiende opslag in de cloud komen er ook vragen naar boven. Waar komen die gegevens precies terecht? En hoe veilig is je data in de cloud eigenlijk? 

Is je data echt veilig in de cloud?  

Het antwoord is, ja in principe wel, maar het hangt van twee dingen af:

  • De kwaliteit van je eigen ict-afdeling. Richt je processen en techniek zo in dat er geen ‘achterdeur’ openstaat die mogelijk voor datalekken zorgt. Je kunt er voor kiezen om je ict-omgeving uit te besteden of dit zelf in de hand te nemen.  
  • De kwaliteit en de mogelijkheden die de cloudprovider biedt. Kies je bijvoorbeeld voor een cloudprovider zoals Microsoft dan ben je ervan verzekerd dat jouw data veilig is. Microsoft 365 hanteert standaard data-encryptie op alle diensten, zowel in opslag als verbindingen. Ook zorgt Microsoft voor continue updates van cloudsystemen.

Conclusie: een cloudprovider alléén is geen garantie voor een goede beveiliging. De cloud kan altijd nog openstaan door menselijke fouten, met datalekken tot gevolg. Je moet een solide cloudwerkplek dus actief beveiligen. Daarom is de kwaliteit van de eigen ict-afdeling het belangrijkste. Hierbij hoort uiteraard ook de ict-kennis en het bewustzijn van de medewerkers. Een uitgebreid antwoord op deze vraag vind je hier. 

Meer hulp nodig bij het creëren van bewustzijn? OGD biedt training en communicatieplannen om jouw medewerkers te betrekken bij het veilig werken op hun apparaten en met hun data. We maken samen een toegepast campagneplan en informatiebeleid. Meer weten? Neem contact op voor een vrijblijvend gesprek.

Kun je zelf ook invloed uitoefenen op de data in de cloud? 

Ja, je kunt nog steeds invloed uitoefen op jouw data in de cloud. Besteed je je data uit aan een cloudprovider? Dan ben je misschien bang dat je grip verliest op je data. In ieder geval kun je zelf ook genoeg stappen ondernemen om grip op je data te houden. Deze vijf stappen zorgen ervoor dat je nog steeds invloed uitoefent op jouw data in de cloud:

  • Zet dataclassificatie in: bepaal hoe belangrijk data is en welke maatregelen daarbij horen. 
  • Gebruik de BIV-classificatie voor het bepalen van geschikte maatregelen voor elke soort data. Je kijkt hierbij naar de beschikbaarheid, integriteit en vertrouwelijkheid van de data. 
  • Controleer de derde partij die de cloudaanbieder controleert. Je kunt kijken of de cloudaanbieder de juiste TPM (Third Party Mededeling)-verklaringen heeft.  
  • Ga voor dataminimalisatie: voer voorbereidend werk uit voordat je je data opstuurt naar de leverancier. Selecteer alleen de data die nodig is voor een bepaalde activiteit en voer data-masking uit. En zorg tenslotte voor compartimentalisering van de data.  
  • Houd doorlopend grip op je data door toegang tot je data te beperken en het gebruik ervan te monitoren. Bij Microsoft is er bijvoorbeeld de functie om conditional access te verlenen.
Wil je een uitgebreide versie van dit stappenplan lezen? Ga dan naar deze blog.naar deze blog.

Stappen plan 2

 

Hoe zet je dataminimalisatie in? 

Bij dataminimalisatie zorg je dat je niet meer gegevens gebruikt dan nodig voor het doel waarvoor je deze gegevens inzet. Vraag jezelf dus continu af: ‘Wat heb ik minimaal nodig om een bepaald doel te behalen?’ Een voorbeeld: voor het in contact treden met een bepaalde doelgroep heeft een organisatie misschien alleen de voornaam en het e-mailadres van contactpersonen nodig, maar niet de achternaam, het telefoonnummer en de adresgegevens. 

Hoe pak je datamanagement in de cloud aan?  

In een cloud zijn diverse infrastructuren aanwezig. Daarom is het belangrijk om het datamanagement in de cloud beheersbaar te houden. Dit doe je door de volgende zeven stappen: 

  1. Analyseer de huidige werkwijze van je organisatie. Kijk hierbij naar de knelpunten en voer een risicoanalyse uit. Je analyseert welke persoonsgegevens waar worden opgeslagen, waarom je die nodig hebt en wie erbij kunnen. Ook moet je weten hoe zwaar het belang weegt van Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) voor deze gegevens.  
  2. Spreek met de stakeholders. Stakeholders zijn in dit geval de mensen die met de nieuwe cloudsoftware werken. Het is belangrijk dat zij hun wensen en eisen vertellen en dat je deze meeneemt. 
  3. Ontwerp de oplossing. Bij deze stap maak je een afweging tussen het aantal instellingen en wat het effect hiervan is voor de medewerkers. 
  4. Communiceer de verandering. Dit draagt bij aan security-awareness. Zo weet iedereen het hoe en waarom van databeveiliging. De kans is daardoor kleiner dat mensen de gegevens verkeerd gebruiken. 
  5. Implementeer. Dit bestaat uit het inrichten, configureren van de instellingen en het testen van de cloudsoftware. 
  6. Adoptie van de verandering. De adoptie vergt veel aandacht. Zorg voor training, instructies en coaching over de veilige manier van werken.  
  7. Blijf toezicht houden. De laatste stap is de governance: houd continu toezicht op naleving, monitoring en continuous awareness. 

Stappenplan 3

Nog meer weten over de beveiliging van je clouddata? Bekijk dan deze webinar on-demand. 

 

Naar de webinar

Security en het ‘nieuwe normaal’: hoe geef je het vorm?

Steeds meer organisaties zien thuiswerken als het nieuwe normaal voor na de coronacrisis. Dan is het wel van belang dat je de medewerkers bewust maakt van de security-uitdagingen die hierbij komen kijken.

Hoe gaat het met security en ‘het nieuwe werken’ na corona’? 

Het is belangrijk om voldoende aandacht te besteden aan security rondom ‘het ‘nieuwe werken’. Mensen loggen nu in vanaf allerlei plekken en via verschillende devices. Je hebt dan niet altijd even goed zicht op wat er met je data gebeurt. Door het thuiswerken groeit het aantal datalekken en het grootste gedeelte hiervan komt door menselijke, interne fouten. Uit een rapport van Gallagher blijkt dat dit meer dan zestig procent is. Je vindt hier belangrijke tips om om te gaan met security en het nieuwe werken:

  1. Creëer bewustwording onder je medewerkers. De medewerker is een zwakke schakel in de beveiliging. Technische maatregelen zijn belangrijk, maar zonder voldoende kennis bij medewerkers loop je nog steeds een verhoogd risico op datalekken. 
  2. Zorg voor een goede basis. Door de juiste technische maatregelen te nemen, kun je risico’s beperken: 
    1. Zorg dat alle devices voor zakelijke doeleinden voorzien zijn van een antiviruspakket. 
    2. Voer patches en updates van het besturingssysteem snel door.  
    3. Laat medewerkers geen verbinding maken met openbare wifi-netwerken. In plaats daarvan kunnen je medewerkers werken via 3G of 4G gebruiken. 
  3. Train je medewerkers. Blijf je medewerkers regelmatig op het vlak van informatiebeveiliging trainen. Zorg voor herhaling van de ernst van de situatie, want bedreigingen zijn constant aanwezig. 
  4. Zet multifactor authenticatie in. Hoe meer lagen de beveiliging heeft, des te sterker de weerstand is tegen criminelen die toegang proberen te krijgen tot data of devices. 
  5. Zet Mobile Device Management (MDM) in. MDM helpt om het toegenomen mobiel gebruik in goede banen te leiden en AVG-compliant te blijven. 
  6. Beheer de toegangsrechten. Door het uitdelen van de juiste toegangsrechten aan gebruikers, houd je grip op de bedrijfsdata. Ga na welke functies en type medewerkers het zijn om de juiste toegang te verlenen.

Infograph_1

 

Een goede cybersecurity-strategie: start vandaag nog in plaats van morgen

Cybersecurity moet verbonden zijn aan de werkwijze van jouw organisatie en medewerkers. Alleen dán kan je security-strategie slagen.

Begin met een ‘threat assessment’. Laat je huidige werkwijze, wensen en eisen analyseren. Op zoek naar concrete adviezen en maatregelen specifiek voor jouw organisatie? Of een data policy die jouw omgeving zo veilig mogelijk houdt? Neem dan de volgende stappen met OGD en voorkom hacks en datalekken.

  • Partners met Orange Cyber Defense 
  • ISO27001 en de ISAE3000 
  • AVG-compliant
    Gesprek met een specialist