Hoe zorg je dat je bedrijfsinformatie goed beveiligd is? | Cybersecurity advies 2020 van onze CIO

De COVID-19-pandemie heeft een hoop veranderd voor organisaties. Voor veel organisaties zijn de muren van het kantoor niet langer de muren van het werk. En dat lijkt nog goed te werken ook. Maar vergeet niet dat werken vanuit huis wel risico´s met zich meebrengt wat betreft cybersecurity. Meer dan voorheen. Daarom leg ik je uit welke stappen je kunt ondernemen om je bedrijfsinformatie te beveiligen.

Lees hier hoe je ict inzet voor productief thuiswerken

Waarom focussen op cybersecurity anno 2020?

  • Sinds de COVID-19 pandemie is het aantal cyberaanvallen vervijfvoudigd.WTO
  • Meer dan 58% van de bedrijven die te maken hebben met een cyberaanval zijn kleine bedrijven. De reden hiervoor is dat zij denken dat ze geen doelwit zijn. Hierdoor nemen ze geen maatregelen. - Forbes 
  • 80% van jouw klanten keert niet meer terug naar je organisatie wanneer hun informatie is gehackt. Ze verliezen hun vertrouwen in je organisatie. - Varonis
  • Gemiddeld duurt het 197 dagen om een datalek te ontdekken. - IBM
  • 68% van bedrijfsleiders heeft het idee dat hun cybersecurity-risico stijgt. - Accenture
  • 83% van het werk gebeurt vanuit de cloud in 2020. - Forbes

6 Dingen infographic zonder Header-1

 

Een cybersecurity-strategie in drie stappen

Bij OGD zetten we ons intern en extern al jaren in om werken op afstand mogelijk te maken. Binnen ons bedrijf hebben we verschillende maatregelen genomen, zodat iedereen vanaf elke plek en op elk moment kan werken terwijl onze informatie beveiligd is.

“Richt je bij security op de bedrijfsdata; het beveiligen van deze informatie is het allerbelangrijkste. Houd data zoveel mogelijk opgeborgen in de systemen die je daar als bedrijf voor hebt. Zet alleen data lokaal als dat perse noodzakelijk is en je er controle over kunt houden.” – Tom Abbing | CIO bij OGD

Bij ict-veiligheid draait het allemaal om controle hebben. Maakt iemand gebruik van jouw bedrijfsdata of -applicaties? Controleer dan de omstandigheden. Wanneer deze omstandigheden veilig zijn, kan jouw medewerker de data en applicaties gebruiken. Onderneem hierbij de volgende drie stappen:

Stap 1: Controleer de eindgebruiker die zich aanmeldt op de applicatie

Zorg dat je gebruik maakt van een multifactor-authenticatie wanneer een eindgebruiker zich aanmeldt:

  • De eindgebruiker meldt zich aan met zijn gebruikersnaam en wachtwoord.
  • De eindgebruiker moet een tweede stap voltooien om in de applicatie of data te komen.

Er zijn vele oplossingen voor de tweede stap. Dit kan bijvoorbeeld een berichtje zijn naar een daarvoor geschikte app of het gebruik van een code.

Wil je nog een stapje verder gaan? Wij experimenteren bijvoorbeeld met een passwordless sign in. Je voert het wachtwoord dan nog maar één keer in. Daarna maken we gebruik van biometrische gegevens, zoals gezichtsherkenning.

Stap 2: Controleer het apparaat waarmee de eindgebruiker zich aanmeldt

Stel eisen aan het apparaat waarmee de eindgebruiker inlogt. En beperk toegang vanaf apparaten waar je niets van weet of minder van weet dan een apparaat in beheer bij jouw organisatie. Zeg dan bijvoorbeeld: "Je kunt alleen met een beheerd apparaat bij de data komen."

Daarnaast is disk-encryptie cruciaal. Zo kun je er in ieder geval vanuit gaan dat de data altijd beschermd is. Al zou het apparaat gestolen worden, dan is dat geen probleem voor de data. De disk is niet leesbaar.

“Disk-encryptie is een eis. Het is zeker aan te raden voor bedrijven die met mobiele werkplekken werken. Ze moeten hun opslag versleutelen.” – Tom Abbing | CIO bij OGD

Tip 3: Controleer de beveiliging van de informatie zelf

Beveilig de informatie zelf ook door deze te labelen. Plak er bijvoorbeeld een label als ´vertrouwelijk´ op. En neem ook maatregelen, zoals het niet toestaan dat zodanig gelabelde gegevens buiten de organisatie worden gedeeld. Daardoor beperk je de mogelijkheid van een datalek.

Extra cybersecurity-tips om rekening mee te houden

Controle uitvoeren bij de toegang is de belangrijkste stap die je moet zetten om cybersecurity te waarborgen. Maar hier nog een aantal tips die je helpen bij een veilige computeromgeving:

  • Maak strikte afspraken met je organisatie om alleen bedrijfsapplicaties te gebruiken. Bij thuiswerken lopen werk en privé sneller door elkaar. De kans is dan groter dat medewerkers zakelijke- en privétools door elkaar gebruiken. Hierdoor kan zakelijke informatie op privékanalen terechtkomen, met mogelijk een datalek tot gevolg. Maak hier duidelijke afspraken over binnen je organisatie. Bij OGD hebben we bijvoorbeeld het beleid om alleen door OGD aangeboden tools te gebruiken, zoals Teams.
  • Niet op kantoor? Thuiswerken is veiliger dan op een openbare werkplek. Willen je medewerkers vanuit een café werken bijvoorbeeld? Dat kan, maar het is niet zo veilig als thuiswerken. Je kunt dan extra eisen stellen. Laat je medewerkers gebruikmaken van een VPN-verbinding. Dan weet je zeker dat je mobiele internetverkeer wordt versleuteld en je veilig online bent. Maar bekijk goed of dit op korte termijn meerwaarde oplevert. Zo’n verbinding is lang niet voor elke applicatie nodig en je hebt de juiste apparatuur en datalijnen nodig om dat op te zetten.
  • Zet data alleen lokaal als dat perse noodzakelijk is. Berg de data zoveel mogelijk op in de systemen die daarvoor bedoeld zijn. Je kunt bijvoorbeeld gebruikmaken van Citrix-sessies. Dan houd je de bedrijfsdata binnen de sessie en verlaat je data de sessie niet zomaar.

Quote Tom

Thuiswerken: het nieuwe normaal; laat de focus op cybersecurity ook blijvend zijn

Het belangrijkste aan het waarborgen van de cybersecurity is de controle. De data controleer je bijvoorbeeld door eisen te stellen aan de eindgebruiker die zich aanmeldt op het apparaat. Of stel eisen aan het apparaat zelf. Verder kun je ook eisen stellen aan de beveiliging van de bedrijfsinformatie. Uiteraard kan dit ook een combinatie zijn van bovenstaande opties.

Zo maak je jouw ict-omgeving geschikt om op elke plek te werken. Wil je hier meer over weten?

Verder met ict

Nog geen reacties

Reageer als eerste

Ben jij al bekend met ITIL 4?

Kom vrijdag 19 april naar de ITIL 4 kennissessie en laat je meenemen op een tour langs alle verandering en mogelijkheden van ITIL 4.

> Meld je nu aan!

Hoe zorg je dat je bedrijfsinformatie goed beveiligd is? | Cybersecurity advies 2020 van onze CIO

Posted by Tom Abbing on 9-sep-2020 12:36:36

De COVID-19-pandemie heeft een hoop veranderd voor organisaties. Voor veel organisaties zijn de muren van het kantoor niet langer de muren van het werk. En dat lijkt nog goed te werken ook. Maar vergeet niet dat werken vanuit huis wel risico´s met zich meebrengt wat betreft cybersecurity. Meer dan voorheen. Daarom leg ik je uit welke stappen je kunt ondernemen om je bedrijfsinformatie te beveiligen.

Lees hier hoe je ict inzet voor productief thuiswerken

Waarom focussen op cybersecurity anno 2020?

  • Sinds de COVID-19 pandemie is het aantal cyberaanvallen vervijfvoudigd.WTO
  • Meer dan 58% van de bedrijven die te maken hebben met een cyberaanval zijn kleine bedrijven. De reden hiervoor is dat zij denken dat ze geen doelwit zijn. Hierdoor nemen ze geen maatregelen. - Forbes 
  • 80% van jouw klanten keert niet meer terug naar je organisatie wanneer hun informatie is gehackt. Ze verliezen hun vertrouwen in je organisatie. - Varonis
  • Gemiddeld duurt het 197 dagen om een datalek te ontdekken. - IBM
  • 68% van bedrijfsleiders heeft het idee dat hun cybersecurity-risico stijgt. - Accenture
  • 83% van het werk gebeurt vanuit de cloud in 2020. - Forbes

6 Dingen infographic zonder Header-1

 

Een cybersecurity-strategie in drie stappen

Bij OGD zetten we ons intern en extern al jaren in om werken op afstand mogelijk te maken. Binnen ons bedrijf hebben we verschillende maatregelen genomen, zodat iedereen vanaf elke plek en op elk moment kan werken terwijl onze informatie beveiligd is.

“Richt je bij security op de bedrijfsdata; het beveiligen van deze informatie is het allerbelangrijkste. Houd data zoveel mogelijk opgeborgen in de systemen die je daar als bedrijf voor hebt. Zet alleen data lokaal als dat perse noodzakelijk is en je er controle over kunt houden.” – Tom Abbing | CIO bij OGD

Bij ict-veiligheid draait het allemaal om controle hebben. Maakt iemand gebruik van jouw bedrijfsdata of -applicaties? Controleer dan de omstandigheden. Wanneer deze omstandigheden veilig zijn, kan jouw medewerker de data en applicaties gebruiken. Onderneem hierbij de volgende drie stappen:

Stap 1: Controleer de eindgebruiker die zich aanmeldt op de applicatie

Zorg dat je gebruik maakt van een multifactor-authenticatie wanneer een eindgebruiker zich aanmeldt:

  • De eindgebruiker meldt zich aan met zijn gebruikersnaam en wachtwoord.
  • De eindgebruiker moet een tweede stap voltooien om in de applicatie of data te komen.

Er zijn vele oplossingen voor de tweede stap. Dit kan bijvoorbeeld een berichtje zijn naar een daarvoor geschikte app of het gebruik van een code.

Wil je nog een stapje verder gaan? Wij experimenteren bijvoorbeeld met een passwordless sign in. Je voert het wachtwoord dan nog maar één keer in. Daarna maken we gebruik van biometrische gegevens, zoals gezichtsherkenning.

Stap 2: Controleer het apparaat waarmee de eindgebruiker zich aanmeldt

Stel eisen aan het apparaat waarmee de eindgebruiker inlogt. En beperk toegang vanaf apparaten waar je niets van weet of minder van weet dan een apparaat in beheer bij jouw organisatie. Zeg dan bijvoorbeeld: "Je kunt alleen met een beheerd apparaat bij de data komen."

Daarnaast is disk-encryptie cruciaal. Zo kun je er in ieder geval vanuit gaan dat de data altijd beschermd is. Al zou het apparaat gestolen worden, dan is dat geen probleem voor de data. De disk is niet leesbaar.

“Disk-encryptie is een eis. Het is zeker aan te raden voor bedrijven die met mobiele werkplekken werken. Ze moeten hun opslag versleutelen.” – Tom Abbing | CIO bij OGD

Tip 3: Controleer de beveiliging van de informatie zelf

Beveilig de informatie zelf ook door deze te labelen. Plak er bijvoorbeeld een label als ´vertrouwelijk´ op. En neem ook maatregelen, zoals het niet toestaan dat zodanig gelabelde gegevens buiten de organisatie worden gedeeld. Daardoor beperk je de mogelijkheid van een datalek.

Extra cybersecurity-tips om rekening mee te houden

Controle uitvoeren bij de toegang is de belangrijkste stap die je moet zetten om cybersecurity te waarborgen. Maar hier nog een aantal tips die je helpen bij een veilige computeromgeving:

  • Maak strikte afspraken met je organisatie om alleen bedrijfsapplicaties te gebruiken. Bij thuiswerken lopen werk en privé sneller door elkaar. De kans is dan groter dat medewerkers zakelijke- en privétools door elkaar gebruiken. Hierdoor kan zakelijke informatie op privékanalen terechtkomen, met mogelijk een datalek tot gevolg. Maak hier duidelijke afspraken over binnen je organisatie. Bij OGD hebben we bijvoorbeeld het beleid om alleen door OGD aangeboden tools te gebruiken, zoals Teams.
  • Niet op kantoor? Thuiswerken is veiliger dan op een openbare werkplek. Willen je medewerkers vanuit een café werken bijvoorbeeld? Dat kan, maar het is niet zo veilig als thuiswerken. Je kunt dan extra eisen stellen. Laat je medewerkers gebruikmaken van een VPN-verbinding. Dan weet je zeker dat je mobiele internetverkeer wordt versleuteld en je veilig online bent. Maar bekijk goed of dit op korte termijn meerwaarde oplevert. Zo’n verbinding is lang niet voor elke applicatie nodig en je hebt de juiste apparatuur en datalijnen nodig om dat op te zetten.
  • Zet data alleen lokaal als dat perse noodzakelijk is. Berg de data zoveel mogelijk op in de systemen die daarvoor bedoeld zijn. Je kunt bijvoorbeeld gebruikmaken van Citrix-sessies. Dan houd je de bedrijfsdata binnen de sessie en verlaat je data de sessie niet zomaar.

Quote Tom

Thuiswerken: het nieuwe normaal; laat de focus op cybersecurity ook blijvend zijn

Het belangrijkste aan het waarborgen van de cybersecurity is de controle. De data controleer je bijvoorbeeld door eisen te stellen aan de eindgebruiker die zich aanmeldt op het apparaat. Of stel eisen aan het apparaat zelf. Verder kun je ook eisen stellen aan de beveiliging van de bedrijfsinformatie. Uiteraard kan dit ook een combinatie zijn van bovenstaande opties.

Zo maak je jouw ict-omgeving geschikt om op elke plek te werken. Wil je hier meer over weten?

Verder met ict

Topics: Cyber Security