De 5 facetten van ICT beveiligen
Onlangs hadden we een inspirerend gesprek met een van onze klanten, een bedrijf dat zich bezighoudt met de beveiliging van zorginstellingen. Al pratende kwamen we tot de ontdekking dat er veel parallellen te trekken zijn tussen fysieke en digitale beveiliging. De lessen die we kunnen leren van de manier waarop ze zaken aanpakken in de beveiligingswereld hebben we in deze blog dan ook vertaald in een vijftal facetten van beveiligen voor ICT.
1: Analyseer de omgeving
Breng in kaart wat je precies wilt beveiligen en zet ze in volgorde van belangrijkheid. Ongetwijfeld zijn er meerdere systemen actief maar welke zijn nu echt de kroonjuwelen? Een systeem waar je hele boekhouding in staat opgeslagen of dat noodzakelijk is voor de dagelijkse werkprocessen binnen jouw organisatie is essentieel, het heeft immers een enorme impact als daar iets mee gebeurt. Daar moet dus je prioriteit liggen qua beveiliging.
In het verlengde daarvan: wie zijn eigenlijk je ‘tegenstanders’? Je hebt de neiging om meteen te denken aan anonieme hackers die je vanuit het niets bombarderen met ransomware maar wellicht zijn er nog andere partijen die uit kunnen zijn op specifieke bedrijfsgevoelige informatie.
2: Bepaal de zwakke plekken in de toegankelijkheid
Op welke manieren is het mogelijk toegang te krijgen tot jouw digitale systemen? Vanuit de ICT focussen wij natuurlijk meteen op de digitale toegang, maar we moeten niet vergeten te kijken naar hoe de fysieke toegang is geregeld, zowel van buitenaf als van binnenin. Bij het laatste denken we bijvoorbeeld aan medewerkers van jouw eigen organisatie die zich schuldig zouden kunnen maken aan bedrijfsspionage. Natuurlijk moet je je personeel vertrouwen maar het kan geen kwaad om alert te zijn en te blijven.
3: Werk de beveiliging uit in praktische procedures
Denk na welke ICT calamiteiten kunnen plaatsvinden en werk voor iedere calamiteit een aparte procedure uit: hoe ga je te werk als de calamiteit zich daadwerkelijk voordoet? De procedure kan o.a. betrekking hebben op de toegang (bijvoorbeeld wachtwoordbeleid en een afgeschermde, veilige werkplek), toezicht en monitoring (bijvoorbeeld voorkomen van insluipers en updaten soft- en hardware), reactie (bijvoorbeeld fysiek uitschakelen van devices en accounts sluiten) en rapportage (hoe leg je de actuele stand van zaken vast, de wettelijke verplichtingen van toepassing bij lekken van bedrijfsgegevens).
4: Opleiden, trainen en oefenen (OTO)
Het is fijn als je procedures hebt maar dat is allemaal ‘papierwerk’. Uiteindelijk draait het natuurlijk om de realiteit. Het is zaak je medewerkers te leren omgaan met incidenten en het onverwachte. Waar je ze allemaal op kunt trainen? O.a. op het up-to-date houden van je device, het bewust omgaan met het delen van informatie én het leren herkennen van fraude.
Het geleerde moet je vervolgens ook trainen en oefenen. De reden dat bhv-ers regelmatig een ontruimingsoefening doen. Als je procedures in de praktijk brengt, loop je soms tegen iets aan dat je niet had voorzien, daar leer je dus van. Ook ICT calamiteiten scenario’s zou je precies om die reden regelmatig moeten oefenen. Simuleer bijvoorbeeld een systeem restore of een ransomware aanval of voer in huis phishing campagnes uit. Het laatste helpt om de bewustwording binnen je organisatie – die na verloop van tijd meestal toch wat wegzakt – op een hoog niveau te houden.
5: Maak gebruik van technische ICT oplossingen
Er zijn allerlei technische maatregelen die je kunt nemen om je digitale omgeving te beveiligen. Denk aan het inzetten van een firewall die het in- en uitgaande netwerkverkeer daadwerkelijk controleert met up-to-date security services, het gebruiken van goede End Point Protection en Response op je laptop/desktop (AV-EDR) of het toepassen van meerdere backup-restore implementaties met voldoende retentie voor lokale data en data in de cloud. Web Protection biedt bovendien de mogelijkheid om web-filtering toe te passen, waarbij een onderscheid wordt gemaakt tussen veilige en onveilige sites.
Maak een eind aan de onrust
Het is onmogelijk om risico’s voor 100% uit te sluiten. Als je echter van tevoren zorgvuldig de risico’s in beeld brengt én de benodigde preventieve en reactieve maatregelen neemt, weet je zeker dat je er binnen jouw vermogen alles aan hebt gedaan om calamiteiten te voorkomen. Dat geeft rust!
Wil je dat wij met je meedenken over hoe je de digitale beveiliging binnen jouw organisatie op orde kunt krijgen? Neem dan vooral contact met ons op.