Welkom123 bij dit blog over cybersecurity

Hoe is het op dit moment gesteld met de veiligheid in de organisatie? Dat is de eerste vraag die bedrijven zichzelf moeten stellen. Om een snel beeld te krijgen, kun je de organisatie een rapportcijfer geven voor de verschillende onderdelen van veiligheid. Hoe gaan we hier met incidenten om? Voelen medewerkers zich veilig om gevaarlijke situaties te melden? Hebben we voldoende voorzorgsmaatregelen getroffen? Vraag dit ook aan de medewerkers. Desnoods via een (online) poll. Welk cijfer geven zij dit alles? Het biedt een aardige indicatie van hoe het gesteld is met de dataveiligheid. De tweede vraag is hoe je een en ander kunt verbeteren. Ga ook daarover in gesprek met de medewerkers, want hoe groter het draagvlak om ‘het anders te gaan doen’, hoe sneller een cultuur kan veranderen.

De mens speelt vrijwel altijd een belangrijke rol bij incidenten. Ook als het gaat om cybercrime. Het is dan ook zaak om de eigen medewerkers bewust te maken van de risico’s en ze te trainen om zorgvuldig om te gaan met (inlog)gegevens, rondslingerende laptops en verdachte e-mails. 

Vaak zijn het de eigen medewerkers die onbewust de achterdeur openzetten voor cybercriminelen, bijvoorbeeld door een phishing-mail te openen. Of dat nu op kantoor is, of thuis op de bedrijfscomputer. Train medewerkers om hier alert op te zijn en wijs ze erop nooit een document te openen dat verdacht overkomt.

Een hacker die ziet dat er een vacature is in het bedrijf, kan eenvoudig een worddocument sturen naar het bedrijf met een zogenaamde sollicitatiebrief. Zodra deze wordt geopend, zit de hacker in het bedrijfssysteem. Beter is om voor sollicitatiebrieven een speciale mailbox te openen. Ook de directie moet op de hoogte zijn van de mogelijke risico’s. 

Veel ondernemers hebben back-ups van hun bestanden uitbesteed aan een cloudprovider of IT-bedrijfje om de hoek. Vaak weet een ondernemer niet precies wat hij heeft afgesproken met het bedrijf in kwestie. Daardoor is het onduidelijk van welke gegevens wanneer een back-up wordt gemaakt en waar en hoe snel deze kan worden teruggezet, mocht dat nodig zijn. Is dat binnen een uur? Een halve dag? Of een hele dag? En lukt het ook om de gegevens daadwerkelijk terug te zetten? Jaspers adviseert bedrijven dit laatste vooral te testen en raadt aan om daarnaast geregeld een back-up te maken op een harde schijf die een ondernemer op een andere locatie – liefst op een veilige externe locatie – bewaart. 

Vooral kleinere bedrijven wachten vaak te lang met software-updates. Het bijwerken (‘patchen’) van software kost moeite en veel ondernemers wachten op de volgende patch om deze pas dan door te voeren. Maar verouderde software brengt veiligheidsrisico’s met zich mee. Hackers hebben hier een neus voor. Maak een medewerker verantwoordelijk voor de informatiebeveiliging en daarmee ook voor het uitvoeren van updates. Veel incidenten zijn te voorkomen door snel softwareupdates te installeren. Anders grijpen cybercriminelen eenvoudigweg hun kans.

Bijna elke organisatie heeft wel applicaties in huis die verouderd en niet meer in gebruik zijn. Het risico van verouderde software is dat de beveiliging ervan vaak  niet in orde is. Voor hackers vormt verouderde software dan ook een mooie kans om het bedrijfsnetwerk binnen te dringen. Hackers zijn slim en inventief en zoeken altijd naar ‘achterdeurtjes’ in de systemen.

Overigens kunnen die achterdeuren ook openstaan in nieuwe software. Daarom is patchen zo belangrijk. Maar ook fysieke werkplekken bieden cybercriminelen soms eenvoudig toegang tot laptops en computers van medewerkers. Medewerkers moeten daarom geen laptops open laten staan of documenten laten slingeren op bureaus wanneer ze zelf niet op hun plek zijn. Het vergrendelen van laptops en een “clean desk” beleid kunnen dit vrij eenvoudig voorkomen. 

Ook printers bieden kansen aan cybercriminelen want ook hierin zit een besturingssysteem. Printers slaan bestanden op en staan veelal in verbinding met het bedrijfsnetwerk. Wanneer toegang tot de printer niet goed beveiligd is, kan een hacker eenvoudig het bedrijfsnetwerk inkomen.

Maak werk van goed wachtwoordbeheer. Gebruik nooit hetzelfde wachtwoord twee keer en zorg er in ieder geval voor dat een wachtwoord een hoofdletter heeft, een getal en een ander teken. De reden daarvoor is dat een cybercrimineel met vrij eenvoudige software heel veel wachtwoorden kan genereren en makkelijke wachtwoorden hierdoor simpel kan kraken. Zodra een nieuwe site wordt gelanceerd, beukt dit soort programma’s erop los. Een digitale wachtwoordmanager helpt om steeds weer sterke wachtwoorden te genereren en deze voor je op te slaan zodat je ze niet vergeet. Een bijna onmisbare tool voor veel ondernemingen. Kortom: ‘Welkom123’ als wachtwoord is nooit een goed idee.

Ook het versleutelen van gevoelige te verzenden data is aan te raden. Versleutelde data zijn zonder de juiste sleutel – bijvoorbeeld een wachtwoord - onleesbaar. In sommige e-mailprogramma’s is het vrij eenvoudig om de inhoud van berichten af te schermen voor derden. Soms is daar aparte software voor nodig. En ook hier geldt: alles begint met bewuster om gaan met gevoelige informatie en nadenken over hoe deze het beste kan worden verstuurd. Een e-mail kan altijd worden onderschept. Gelukkig zijn er tegenwoordig ook vele andere software-oplossingen beschikbaar waarmee je veilig bestanden kunt delen.