Hoe kan ik mijn informatiebeveiliging verbeteren?

Geschreven door Redactie OGD
3 min leestijd
8-dec-2015 16:49:36

Per 1 januari 2016 verandert in Nederland de wet bescherming persoonsgegevens. Wat dat voor uw organisatie betekent, leest u in onze blogpost over de aanpassingen. Een datalek kan desastreuze gevolgen hebben, en daarom kunnen de boetes hoog oplopen. Maar voorkomen is beter dan genezen: het is belangrijk dat u een aantal maatregelen in acht neemt. Daar leest u hier meer over.

Zijn mijn huidige beveiligingsmaatregelen toereikend?

Het controleren van uw beveiligingsmaatregelen is een eerste vereiste.  Daarbij moet worden gecheckt of de huidige maatregelen worden nageleefd. Ook het opstellen en periodiek beoordelen van het informatiebeleid zijn daar eveneens een onderdeel van. Het is bijvoorbeeld belangrijk om te onderzoeken of de beveiligingskwaliteit nog steeds past bij de risico’s.

Ict-voorzieningen zijn de volgende stap in het proces: deze zorgen namelijk voor de uitvoer en de monitoring van het informatiebeleid. Een goed beveiligd netwerk bevat meer dan alleen maatregelen, wachtwoorden, virusscanners en firewalls: om erachter te komen of je veilig zit is het van groot belang om ook de infrastructuur te onderzoeken.

Het is niet te laat om maatregelen te treffen om u voor te bereiden op de inwerkingtreding van de meldplicht datalekken. Hieronder een aantal belangrijke maatregelen op een rijtje:

  • Zorg dat de persoonsgegevens die u verwerkt goed zijn beveiligd.
  • Zorg dat uw incidentenbeheer goed is ingericht.
  • Stel iemand in uw bedrijf verantwoordelijk voor de beoordeling en het melden van datalekken.
  • Stel een plan op hoe u betrokkenen gaat informeren bij datalekken.

Op de website van het College bescherming persoonsgegevens kunt u meer lezen over de meldplicht bij datalekken.

Hoe beveilig ik persoonsgegevens nog beter?

U kunt nog meer doen om persoonsgegevens te beveiligingen. De belangrijkste maatregelen zetten we voor u op een rijtje:

  • Beperk het verzamelen van gegevens: als organisatie heeft u lang niet altijd alle persoonsgegevens nodig voor een bepaald doel.
  • Beperk toegang tot gegevens: verleen uitsluitend bevoegde medewerkers toegang.
  • Gebruik moderne beveiligingstechnieken: als organisatie dient u persoonsgegevens te beveiligen in overeenstemming met de stand van de techniek. U mag geen verouderde techniek gebruiken als het gaat om de beveiliging van de gegevens, om hackers een zo klein mogelijke kans te geven zich toegang te verschaffen tot persoonsgegevens.

Het CBP heeft verdere richtlijnen uitgeschreven voor het beveiligen van persoonsgegevens. Meer informatie over het onderwerp kunt u ook op de website vinden.

Hoe is mijn infrastructuur ingericht?

De verantwoordelijkheid voor het beveiligen van persoonsgegevens ligt bij de hele organisatie. Er zijn verschillende manieren om beveiligingsincidenten te inventariseren en de huidige infrastructuur te checken:

  • Omgevingsscan: scan van de hele IT-omgeving om te kijken of er zwakheden zijn, zoals ongepatchte machines en ontbrekende wachtwoorden.
  • Security audit: het periodiek laten uitvoeren van audits zorgt voor een onafhankelijke blik op het beveiligingsniveau van het netwerk.
  • Red team: bij een aanvalssimulatie geeft een externe partij toestemming om uw omgeving binnen te dringen alsof ze vijandig zijn en zo zwakke plekken in de infrastructuur te ontdekken.
  • De penetratietest: Deze test, ook wel pentest genoemd, wordt steeds vaker toegepast om de kwetsbaarheden in computersystemen en –netwerken te ontdekken. Bij een pentest wordt ook geprobeerd de zwakheden uit te buiten en zo ongeoorloofde toegang tot deze computersystemen en -netwerken te verkrijgen.

informatiebeveiliging

Wat kan een pentest voor mij betekenen?

De media berichten bijna wekelijks over datalekken als vertrouwelijke documenten die op straat liggen of het uitlekken van examens. Hieruit blijkt dat professionele hackers vaak gemakkelijk door IPS-systemen en firewalls heenkomen. Een pentest maakt voor u inzichtelijk waar uw kwetsbaarheden liggen.

Het verschil tussen een audit en een pentest is dat er bij een audit geen poging wordt gedaan om in het systeem in te breken. Bij een penetratietest worden kwetsbaarheden juist gebruikt om in te breken. Het doel hiervan is om de systemen beter te beveiligen en incidenten te voorkomen.

Wij helpen graag

Informatiebeveiliging is misschien een hele klus voor uw bedrijf of voor uw sector. Bent u benieuwd hoe de informatiebeveiliging voor uw specifieke situatie verbeterd kan worden, of hebt u interesse in een pentest? Onze adviseurs nemen vrijblijvend contact met u op voor een verkennend gesprek.

Neem contact op

Ontvang email updates