BLOG: De (verkeers)regels van IT-security

Mede hierom hebben we de afgelopen tijd gehamerd op het onderwerp security. Wij vinden dat onze relaties zich bewust moeten zijn van risico’s én maatregelen. We snappen dat dit niet het leukste onderwerp is om over na te denken, maar zeker wel een belangrijke! De gevaren (lees gedoe) zijn namelijk dichterbij dan dat je denkt en uit onze ervaring blijkt dat het vaker mis gaat dan ons lief is… Zie resultaten phishing campagne.

Nu je hopelijk de urgentie voelt om met dit onderwerp aan de slag te gaan, bieden je we ook een helpende hand: om je organisatie veilig je houden, moet je het onderwerp cyber security aanvliegen vanuit drie richten ​vanuit beleid, techniek en gedrag. Dit kan je hetzelfde zien als verkeersregels: volgens de wet mag je maar 30 in de bebouwde kom. Deze regel is de “norm”; die moet ergens zijn vastgelegd.  Vervolgens kun je zaken als airbags of een automatische functie die je auto afremt zien als “technische maatregelen” en zijn verkeersborden de “awareness” deze staan op zichtbare plekken om ons te herinneren aan de regels en ons gedrag.

Beleid: de verkeersregels

Je moet ergens richtlijnen hebben wat wel en niet mag én wat het gewenste gedrag is; anders kan je ook niets naleven en controleren. Het opstellen van de “verkeersregels”, dat doen wij op basis van een risicomatrix, een indexatie van wat er op gebied van security fout kan gaan. Achter een risico hangt een bepaalde impact op basis van de kans: de frequentie waarop iets voor kan vallen. Wij pleiten er dan ook voor dat elke organisatie een ICT-gedragscode en een informatiebeveiligingsbeleid moet opstellen. Dan heb je vastgelegd hoe het “heurt”. Dit moet op verschillende niveaus worden uitgedragen binnen een organisatie: beleid, naleving onder medewerkers en controle door managers (plan-do-check-act).

Techniek: de seatbelt en airbag  

Voorkomen is beter dan genezen. Dus als je helemaal veilig wil zijn, moet je eigenlijk alles “dichtzetten”. Maar ja, dat is niet heel werkbaar in een tijd waarbij we graag overal en met iedereen willen/kunnen samenwerken en delen.  Een beetje Link-it klant is qua technische maatregelen goed voor elkaar:  MFA, ATP, NEXT GEN Firewalling dat heb vast vaker van ons ons gehoord (zo niet bekijk dan hier even het spetterende filmpje van Peter van Beersum of Niels van Hulten). Wanneer je basis op orde is kan je weer een stapje verder; Data Loss Prevention, End Point Management en Information Rights Management.
Dit zijn echt technieken waarmee je de richtlijn die je hebt gesteld in het beleid, ondersteund.

Gedrag: jij moet daadwerkelijk zelf je riem omdoen en géén 120 gaan rijden binnen de bebouwde kom!

Menselijk gedrag is vaak de grootste valkuil, dus ook de grootste winst!
Één klik op een phishing mail kan al voor volledige gijzeling van jouw gehele IT-omgeving zorgen. Dit kunnen wij nooit 100% afvangen. Mensen signaleren als eerste nieuwe pogingen tot cyber criminaliteit, “het medicijn komt na de ziekte”. Je wilt daarom dat ogen en oren op scherp staan en security, bij elke klik, top of mind is. Daarnaast ben je het verplicht. Hier namelijk twee regels van de AVG die je waarschijnlijk nog niet weet:

• Je bent verplicht om aantoonbaar elk half jaar aan Security Awareness te doen én om dit aantoonbaar te maken (vastleggen dus!).
• Je bent verplicht bij een indiensttreding, binnen een periode van drie maanden een training te geven gaande over ICT Security/beleid.
• Je bent verplicht om met al jouw relaties een verwerkingsovereenkomst te hebben. (nou vooruit deze wist je waarschijnlijk wel, maar heb je het geregeld???)