Bedrijfsleiders en IT-verantwoordelijken worden om de oren geslagen met allerhande securityoplossingen. De een al beter en completer dan de andere. Maar ze hebben allemaal één ding gemeen: ze claimen dé securityoplossing te zijn die jouw bedrijf nodig heeft. Is dat wel zo?
Wie meent dat hij met het binnenhalen van een of meerdere tools zijn bedrijfssecurity op niveau kan brengen, is eraan voor de moeite.
Security is een mindset, een attitude. Geen enkele tool die je dat kan bijbrengen. Het is zoals stoppen met roken: je kan kapitalen uitgeven aan allerlei middeltjes, maar als je niet écht overtuigd wil stoppen, dan lukt het gewoon niet.
Security vertrekt vanuit je bedrijfsstrategie. Dat je die al helder hebt, daar gaan we wel van uit… Uit deze strategie volgen de nodige processen. Voorzie deze processen van de nodige procedures en selecteer de daarbij passende tools.
Op deze manier ga je niet enkel je bedrijfsprocessen documenteren, je geeft ook duidelijke richtlijnen naar je personeel. Over hoe ze hun werk moeten doen en dus ook hoe ze de veiligheidsrichtlijnen volgen.
Mensen hebben nogal de neiging om allerlei informatie bij te houden op het werk, liefst in verschillende versies. Die hoeveelheid bijgehouden informatie wordt er mettertijd niet kleiner op, je verliest er ook veel tijd mee en het werkt verwarring en fouten alleen maar in de hand.
Hou daarom enkel de informatie bij die je echt nodig hebt. Dit liefst in één versie en op één plaats. Je bespaart er niet enkel schijfruimte mee (zowel in opslag als in back-up), het stelt je ook in staat goed bij te houden wat waar staat en wie er toegang toe heeft.
Procedures en policy ’s zijn hier dan ook een must. Zo kan een verbod tot het bewaren van data op mobiele toestellen zeer nuttig zijn. Een andere optie is het versleutelen van de data. In geval van diefstal of verlies van een mobile device is de opgeslagen data waardeloos voor de dief of de vinder.
Een ander heikel punt zijn de toegangen tot informatie. In veel bedrijven weet men ongeveer wie toegang heeft tot wat, maar heel zeker is men niet…
Daarom: beperk deze toegangen steeds tot het minimum, en breng ze in kaart. Dit komt bijzonder van pas wanneer bijvoorbeeld een werknemer het bedrijf verlaat en er toegangen moeten geknipt worden. Een inventaris van toegangsrechten komt hierbij dan goed van pas.
Alle bovenvermelde punten maken deel uit van de interne beveiligingsprocedure. Werk deze procedure bij indien nodig en voer controles uit op de naleving ervan.
Je bedrijf is dan ook bijzonder gebaat bij een user awareness training en de repetitieve herhaling van de belangrijkste punten. Deze training zorgt voor een grotere bewustwording bij je mensen. Ze zien het belang in van interne beveiliging en alle veiligheidsprocedures.
Daarnaast maak je medewerkers ook alert voor mogelijke Phising mails.
En ook niet onbelangrijk is het creëren van een open klimaat waarin het vanzelfsprekend is dat er risico’s en incidenten gerapporteerd worden. Het is enkel dankzij de medewerking van iedereen binnen het bedrijf dat je tot een werkelijke beveiliging komt.
Naast deze algemene tips zijn er natuurlijk ook een aantal zuiver ICT-gerelateerde aandachtspunten.
Aangezien het om technische zaken gaat, lijsten we ze kort even op:
Verplicht het gebruik van verschillende en voldoende complexe paswoorden.
Beperk de geldigheid van een paswoord in de tijd.
Gebruik een goede (proactieve) en onderhouden Firewall
Zorg dat alle software, firmware ed. steeds bijgewerkt zijn en dus op de recentste versie werken.
Stel two factor authentication (2FA) in bij remote access op systemen
Encrypteer maximaal je data
Test je back-ups
Maak gebruik van een email securitysystemen
…
And last but not least: dit alles ondersteunt ook nog eens op actieve wijze je GDPR-inspanningen.
Toegegeven, dit alles kan een beetje overweldigend overkomen. Overkill is het echter niet. Zoals alles is ook deze cyberolifant eetbaar. Zolang je hem maar in kleine stukjes verorbert, zal je er geen indigestie aan overhouden.
Wij adviseren je graag over de beste beveiliging voor jouw omgeving. Neem gerust contact met ons op voor meer informatie via 09 395 04 14 of via werkveilig@neddine.be