De COVID-19-pandemie heeft een hoop veranderd voor organisaties. Voor veel organisaties zijn de muren van het kantoor niet langer de muren van het werk. En dat lijkt nog goed te werken ook. Maar vergeet niet dat werken vanuit huis wel risico´s met zich meebrengt wat betreft cybersecurity. Meer dan voorheen. Daarom leg ik je uit welke stappen je kunt ondernemen om je bedrijfsinformatie te beveiligen.
Kijktip: bekijk nu de on-demand webinar over het omgaan met securitydreigingen
Waarom focussen op cybersecurity?
- Sinds de COVID-19 pandemie is het aantal cyberaanvallen vervijfvoudigd. – WTO
- Meer dan 58% van de bedrijven die te maken hebben met een cyberaanval zijn kleine bedrijven. De reden hiervoor is dat zij denken dat ze geen doelwit zijn. Hierdoor nemen ze geen maatregelen. - Forbes
- 80% van jouw klanten keert niet meer terug naar je organisatie wanneer hun informatie is gehackt. Ze verliezen hun vertrouwen in je organisatie. - Varonis
- Gemiddeld duurt het 197 dagen om een datalek te ontdekken. - IBM
- 68% van bedrijfsleiders heeft het idee dat hun cybersecurity-risico stijgt. - Accenture
Een cybersecurity-strategie in drie stappen
Bij OGD zetten we ons intern en extern al jaren in om werken op afstand mogelijk te maken. Binnen ons bedrijf hebben we verschillende maatregelen genomen, zodat iedereen vanaf elke plek en op elk moment kan werken terwijl onze informatie beveiligd is.
“Richt je bij security op de bedrijfsdata; het beveiligen van deze informatie is het allerbelangrijkste. Houd data zoveel mogelijk opgeborgen in de systemen die je daar als bedrijf voor hebt. Zet alleen data lokaal als dat perse noodzakelijk is en je er controle over kunt houden.” – Tom Abbing | CIO bij OGD
Bij ict-veiligheid draait het allemaal om controle hebben. Maakt iemand gebruik van jouw bedrijfsdata of -applicaties? Controleer dan de omstandigheden. Wanneer deze omstandigheden veilig zijn, kan jouw medewerker de data en applicaties gebruiken. Onderneem hierbij de volgende drie stappen:
Stap 1: Controleer de eindgebruiker die zich aanmeldt op de applicatie
Zorg dat je gebruik maakt van een multifactor-authenticatie wanneer een eindgebruiker zich aanmeldt:
- De eindgebruiker meldt zich aan met zijn gebruikersnaam en wachtwoord.
- De eindgebruiker moet een tweede stap voltooien om in de applicatie of data te komen.
Er zijn vele oplossingen voor de tweede stap. Dit kan bijvoorbeeld een berichtje zijn naar een daarvoor geschikte app of het gebruik van een code.
Wil je nog een stapje verder gaan? Wij experimenteren bijvoorbeeld met een passwordless sign-in. Je voert het wachtwoord dan nog maar één keer in. Daarna maken we gebruik van biometrische gegevens, zoals gezichtsherkenning.
Stap 2: Controleer het apparaat waarmee de eindgebruiker zich aanmeldt
Stel eisen aan het apparaat waarmee de eindgebruiker inlogt. En beperk toegang vanaf apparaten waar je niets van weet of minder van weet dan een apparaat in beheer bij jouw organisatie. Zeg dan bijvoorbeeld: "Je kunt alleen met een beheerd apparaat bij de data komen."
Daarnaast is disk-encryptie cruciaal. Zo kun je er in ieder geval vanuit gaan dat de data altijd beschermd is. Al zou het apparaat gestolen worden, dan is dat geen probleem voor de data. De disk is niet leesbaar.
“Disk-encryptie is een eis. Het is zeker aan te raden voor bedrijven die met mobiele werkplekken werken. Ze moeten hun opslag versleutelen.” – Tom Abbing | CIO bij OGD
Stap 3: Controleer de beveiliging van de informatie zelf
Beveilig de informatie zelf ook door deze te labelen. Plak er bijvoorbeeld een label als ´vertrouwelijk´ op. En neem ook maatregelen, zoals het niet toestaan dat zodanig gelabelde gegevens buiten de organisatie worden gedeeld. Daardoor beperk je de mogelijkheid van een datalek.
Extra cybersecurity-tips om rekening mee te houden
Controle uitvoeren bij de toegang is de belangrijkste stap die je moet zetten om cybersecurity te waarborgen. Maar hier nog een aantal tips die je helpen bij een veilige computeromgeving:
- Maak strikte afspraken met je organisatie om alleen bedrijfsapplicaties te gebruiken. Bij thuiswerken lopen werk en privé sneller door elkaar. De kans is dan groter dat medewerkers zakelijke- en privétools door elkaar gebruiken. Hierdoor kan zakelijke informatie op privékanalen terechtkomen, met mogelijk een datalek tot gevolg. Maak hier duidelijke afspraken over binnen je organisatie. Bij OGD hebben we bijvoorbeeld het beleid om alleen door OGD aangeboden tools te gebruiken, zoals Teams.
- Niet op kantoor? Thuiswerken is veiliger dan op een openbare werkplek. Willen je medewerkers vanuit een café werken bijvoorbeeld? Dat kan, maar het is niet zo veilig als thuiswerken. Je kunt dan extra eisen stellen. Laat je medewerkers gebruikmaken van een VPN-verbinding. Dan weet je zeker dat je mobiele internetverkeer wordt versleuteld en je veilig online bent. Maar bekijk goed of dit op korte termijn meerwaarde oplevert. Zo’n verbinding is lang niet voor elke applicatie nodig en je hebt de juiste apparatuur en datalijnen nodig om dat op te zetten.
- Zet data alleen lokaal als dat perse noodzakelijk is. Berg de data zoveel mogelijk op in de systemen die daarvoor bedoeld zijn. Je kunt bijvoorbeeld gebruikmaken van Citrix-sessies. Dan houd je de bedrijfsdata binnen de sessie en verlaat je data de sessie niet zomaar.
Thuiswerken: het nieuwe normaal; laat de focus op cybersecurity ook blijvend zijn
Het belangrijkste aan het waarborgen van de cybersecurity is de controle. De data controleer je bijvoorbeeld door eisen te stellen aan de eindgebruiker die zich aanmeldt op het apparaat. Of stel eisen aan het apparaat zelf. Verder kun je ook eisen stellen aan de beveiliging van de bedrijfsinformatie. Uiteraard kan dit ook een combinatie zijn van bovenstaande opties. Meer weten over het beveiligen van je bedrijfsdata? Bekijk dan deze on-demand webinar.
Delen
Waarom MFA en zero trust zo belangrijk zijn voor je cybersecurity
Hoe een moderne werkplek de cybersecurity van gemeenten versterkt: “Maak van cybersecurity topprioriteit”
