Veiliger in zeven stappen 2017-09-29T09:16:57+00:00

Veiliger in zeven stappen

Computercriminaliteit is helaas niet altijd te voorkomen. Wel maakt een gestructureerde aanpak de kans op schade door deze vorm van criminaliteit een stuk kleiner. Het onderstaande stappenplan kan je hierbij verder helpen.

Maak één of meer collega’s verantwoordelijk voor online veiligheid

Maak één of meer collega’s uit je organisatie verantwoordelijk voor de veiligheid van je bedrijfssystemen en website. Zorg ervoor dat zij de middelen krijgen die nodig zijn om de organisatie te beschermen en steun hen bij het invoeren van maatregelen verderop in het proces.

Inventariseer de kritieke IT-systemen van uw organisatie

Breng in kaart welke IT-systemen uit je organisatie kritiek zijn, met andere woorden: welke systemen zijn zo belangrijk dat bij het wegvallen ervan de bedrijfsvoering en de continuïteit van je bedrijf in gevaar komen.

Stel per kritiek IT-systeem technische, organisatorische en beleidsmatige beschermingsmaatregelen op

Stel voor iedere kritiek IT-systeem beschermingsmaatregelen op, eventueel in overleg met een adviseur: technische (bijvoorbeeld firewalls of virusscanners), organisatorische (bijvoorbeeld eerste aanspreekpunt bij calamiteiten) én beleidsmatige (welke afspraken maak je met collega’s?). Spreid dus de maatregelen en besteedt voldoende aandacht aan bewustwording in je organisatie en maak afspraken. Wat kan wel en niet?

Niet alle mogelijke maatregelen zijn gebruiksvriendelijk en soms wegen de kosten niet op tegen de schade die ze voorkomen. Weeg de maatregelen dus steeds af tegen de kosten en het eventuele verlies van gebruikersgemak van een IT-systeem. Heb je dat eenmaal gedaan, dan is het handig om de maatregelen te prioriteren. Alle maatregelen tegelijkertijd invoeren in meestal niet prettig voor gebruikers in de organisatie.

Voorbeelden van beschermingsmaatregelen zijn back ups van je IT-systemen, het installeren van patches/ updates op uw software, logging voor het opsporen van oorzaken na een cyberincident, een virusscanner, een spamfilter, het vastleggen van rechten en rollen (wie mag wat op de systemen), het compartimenteren van het netwerk, geheimhoudingsverklaringen en gedragscodes, faciliteren van veilig online werken, versleuteling (verbindingen, gegevensdragers en e-mail), functiescheiding, het 4-ogen principe, airconditioning en poederblussers (in de serverruimte), fysieke beveiliging, communicatie en controles (bv door accountant).

Leg de kritieke IT-systemen en beschermingsmaatregelen vast in een veiligheidsplan

Heb je per kritiek IT-systeem de technische, organisatorische en beleidsmatige maatregelen bepaald, leg deze dan vast in een veiligheidsplan voor je organisatie. Het veiligheidsplan zorgt ervoor dat iedereen weet waarvoor verantwoordelijk is, wat de afspraken zijn en welke beschermingsmaatregelen genomen zijn. Deel het plan met alle collega’s.

Voer de beschermingsmaatregelen in, eventueel gefaseerd, in uw organisatie

Voer de beschermingsmaatregelen in, bij voorkeur gefaseerd. Alle maatregelen in één keer invoeren is meestal niet prettig voor medewerkers. Door de beschermingsmaatregelen te prioriteren, heb je meteen een logische volgorde voor het implementeren ervan.

Test de werking van de beschermingsmaatregelen van uw organisatie

Een aantal zaken kun je meestal zelf testen. Bijvoorbeeld of een back up ook terug te zetten is. Ook kan je organisatie een plan maken hoe om te gaan met een cyberincident. Wie neemt dan de leiding en doet, indien nodig, melding van een datalek bij de Autoriteit Persoonsgegevens?
Waarschijnlijk kan je niet alles zelf testen. Een ethische hacker en/of een beveiligingsbedrijf kan je helpen de veiligheid van buitenaf te testen. Bijvoorbeeld met een pentest waarbij een ethische hacker probeert in jullie IT-systemen in te breken.

Evalueer periodiek de werking van de beschermingsmaatregelen en stel het veiligheidsplan zonodig bij.

Wacht niet te lang met evalueren, nadat je organisatie beschermingsmaatregelen heeft getroffen. De wereld van cybercriminelen werkt snel en kwetsbaarheden in software worden voortdurend ontdekt. Door periodiek te evalueren en beleid bij te stellen, blijft je bedrijf bij en wordt je bedrijf beter in het voorkomen van cyberincidenten.

Waar het om draait, is risicomanagement. Niet alleen van degene die verantwoordelijk is, maar van de gehele organisatie. De techniek en andere maatregelen kunnen veel leed voorkomen. Alertheid van alle collega’s helpt schade voorkomen of minimaliseren als de techniek een keer faalt.

Laat eenvoudig je bedrijfsnetwerk en website scannen

Benieuwd waar jouw kwetsbaarheden liggen? Het is minder dan 3 minuten werk en je ontvangt binnen 24 uur de gevonden kwetsbaarheden.

Doe je Cyber Risico Scan

We sturen je door naar veiligzakelijkinternetten.nl