Cybersecurity is meer dan een technische uitdaging
Cybersecurity. Het klinkt technisch, en vaak zijn er ook technieken mee gemoeid. In deze blog wil ik je laten zien dat security, al dan niet cyber, niet louter om techniek draait. Een belangrijke factor is “awareness”. Ofwel; bewustwording hoe je met informatie omgaat.
Dagelijks worden systemen en medewerkers blootgesteld aan, en geconfronteerd met digitale dreigingen. Diefstal, kwijtraken of vervormen van gegevens zijn daar voorbeelden van. Daar zijn maatregelen voor beschikbaar zoals: goede beveiligingssoftware, degelijke firewalls, een back-up en sterke wachtwoorden voorzien van meervoudige authenticatie. Dit is een technische invulling en staat los van de menselijke factor.
De menselijke factor, awareness, is in dit geval het proces van erkenning van deze gevaren én risico’s die er kleven inzake informatieveiligheid. Het begrip kweken bij medewerkers wat de impact van zo’n dreiging kan zijn, en ze verantwoordelijk maken voor het veilig omgaan met informatie. Een medewerker die zich dit beseft zal dit anders weten te benaderen dan een medewerker die er nog nooit over nagedacht heeft. Dit wordt ook wel “security first” genoemd handel altijd eerst in de geest van informatieveiligheid.
Stuur je e-mails met persoonsgegevens en documenten er in? Wees je bewust van het feit dat er gegevens bij kunnen zitten die je niet (lang) zou mogen bewaren. Het opruimen van een mailbox gebeurt in de praktijk niet zo vaak namelijk. De opslag is, zeker in de Cloud, vaak erg ruim dus dat is immers geen drijfveer.
Gebruik je openbare Wifi punten? Besef je dan dat jij weliswaar denkt met het gastnetwerk van de gelegenheid verbonden bent, maar dit net zo goed een persoon in de lobby kan zijn die een eigen wifi netwerk heeft opgezet om al jouw verkeer af te vangen.
Gebruik je diensten om (grote) bestanden te versturen of ontvangen? Kijk dan goed welk beleid die dienst voert. Hebben zij (al dan niet tijdelijk) ook toegang tot deze data? En staat dit in Nederland?
“even wat informatie op een stickje zetten om thuis verder te kunnen? Stel men verliest de stick of deze wordt ontvreemd. Als de stick niet is beveiligd heb je direct een beveiligingsincident te pakken.
Dit zijn voorbeelden van bewust zijn hoe je met informatie en informatieoverdracht om moet gaan. En, wie er mee kan kijken. Dit kan ook zo letterlijk zijn als een privacy-filter op je laptopscherm, die de kijkhoek enorm verkleint. Degene die naast je zit ziet letterlijk niets op jouw scherm, zonder veel moeite te doen. Wederom; wees je bewust.
Dan heb je ook nog de acties die volgen indien er wél een bedreiging zich voor doet. Weet welke incidenten er gerapporteerd moeten worden en aan wie binnen of buiten de organisatie. Die medewerker of afdeling kan een meldplicht hebben bij de Autoriteit Persoonsgegevens, maar kan dit alleen doen als de getroffen medewerker met de juiste informatie komt.
Het werken in en met de Cloud, bijvoorbeeld met Microsoft Teams, kan voorzien in een technisch deel van deze “security first” benadering. Bestanden zijn veilig opgeslagen op één plek, voorzien van meervoudige authenticatie en beschermd tegen vervorming én verlies. Bestanden mailen is doorgaans niet meer nodig en zorgt dus ook voor meer overzicht.
Benieuwd hoe we jou “AWARE” gaan maken? Neem contact op en we staan voor je klaar.