BLOG: ICT-security volledig aanvliegen, vanuit de mens, techniek en beleid

09-03-2022

Tijden als deze waarin thuis- en hybride werken de nieuwe standaard worden en er steeds meer phishing op de loer ligt, vragen om meer toelichting & bewustwording rondom het onderwerp ICT-Security. Link-it heeft voor jou een solide en snel te implementeren stappenplan te lezen in onderstaande blog: ‘ICT-security volledig aanvliegen, vanuit de mens, techniek en beleid’.

Makkelijk bezoekers registreren en in één oogopslag zien welke gasten zich binnen jullie pand bevinden!

Bescherm je bedrijfsimago met IT, zo vlieg je dat aan:

ICT-Security wordt vaak gezien als iets van IT en niet iets waar je je als directie of medewerker dermate druk over zou moeten maken. Nu cyberaanvallen steeds geraffineerder worden en de schade die het aanricht dermate grote financiele/ imagoschade heeft, begint directie af en toe ook wel eens mee te kijken. Of in ieder geval de gevaren ervan in te zien. Echter, is veiligheid (en dus jouw betrouwbaarheid) een breed vraagstuk waar directie het voortouw in moeten nemen en iets van moeten vinden. ICT-Security bestaat uit drie componenten: techniek, beleid en gedrag. Link-it kan met techniek een vangnet bieden, maar de meeste winst valt te behalen met het vastleggen van afspraken (governance) én zorgen dat mensen dit ook echt naleven (compliance). Het gaat hier om de 20/40/40 regel. De techniek kan jouw bedrijf waterdicht maken (20%), maar als jouw mensen afspraken niet maken (40%) en naleven (40%), dan zal ICT altijd te kort blijven schieten. In de volgende alinea duiken we hier verder op in.

  1. Beleid – 40%

    In het beleid leg je afspraken vast op zowel technisch- als gedragsgebied. Dit kan bijvoorbeeld door het hebben van een ICT-gedragscode. Deze kunnen we als Link-it voor je opstellen en integreren in het huidige beleid.

    Gedragsafspraken die naar aanleiding van dit beleid kunnen worden gemaakt zijn bijvoorbeeld:

∙  Een laptop wordt altijd leeg en schoongemaakt ingeleverd.
∙  Inloggen op Microsoft 365 diensten en de VPN gaat door middel van MFA.
∙  Er wordt op vier momenten per jaar aandacht besteed aan security awareness door communicatie uitingen.
∙ Veilig thuiswerken: je laptop niet voor privédoeleinde gebruiken.

  1. Gedrag – 40%

    Techniek is niets meer dan een (vaak vervelende) setting en beleid is niets meer dan aan plat document, tenzij je zorgt dat het mensen bereikt. Daarnaast zit het grote risico’s vaak bij mensen: 85% van alle geslaagde hackpogingen komt door menselijke fouten. Om een volledig beleid op te stellen en uit te dragen, begin je waar je eindigt: bij mensen.

We kunnen je hierbij helpen door interviews te houden – een awareness campagne an sich – om risico’s op te halen, communicatie campagnes op te stellen, te trainen en eens kritisch naar je indiensttredingsproces te kijken.  Het speerpunt hierbij is kennis en beleid borgen.

TECHNIEK – 20%

Bij techniek moet je denken aan bijvoorbeeld het vergrendelen van je harde schijf bij verlies/diefstal. Wat is het risico als je het niet doet? Ook dit brengen we in kaart met de risicomatrix en een afgestemd adviesrapport voor jouw organisatie.

Bij technische maatregelen die we kunnen implementeren aan de hand van prioriteit kun je denken aan versleuteld mailen, multi-factor authenticatie inschakelen, zorgen voor een SPAM filter of het creëren van een Next Gen Firewall.

 

Het techniek beleid is meer dan een technische instelling

Waar wij ons zelf ook wel eens schuldig aanmaken: security wordt vaak aangevlogen als een technische setting, of alleen het dichtzetten van diensten maar is veel gevallen een beleid issue. Maar hoe kan dat nou? Ergens worden niet de juiste keuzes (of vaker geen keuzes) gemaakt/ het wordt niet goed uitgedragen of we weten eigenlijk helemaal niet welke risico’s we lopen dus kunnen onszelf hier niet nog tegen wereld. Om dit probleem aan te pakken moet je wat dieper kijken dan: welke technische oplossingen zijn er mogelijk? Maar moet je jezelf te vraagstellen: hoe informatiebeveiligingsrisico’s vanuit alle aspecten te verkleinen en hoe kan ik continue verbetering te borgen? Welke techniek kan ik daarbij inzetten?

Nu je het belang van de belangrijkste speerpunten hebt doorgenomen hopen we dat je de noodzaak in hebt gezien van ICT-security. Dus, wanneer komt ICT-security bij jou op de roadmap te staan?

> Pak voor meer informatie even de telefoon op en vraag een persoonlijk adviesgesprek aan met Roos Rasenberg.