4 januari 2020

ICT-veiligheid gaat verder dan techniek

Wanneer we het hebben over ICT-veiligheid zijn er verschillende termen die gebruikt worden. Is het nu ICT-veiligheid, cybersecurity of dataveiligheid? Het zijn drie begrippen die door elkaar gebruikt worden. In dit artikel gebruiken wij de term ICT-veiligheid.

ICT-veiligheid

Iedere branche heeft zo zijn eigen aandachtspunten. Binnen de industrie bijvoorbeeld worden we logischerwijs geconfronteerd met Industrial Cybersecurity (NEN 65). Bij gemeenten is momenteel de doorontwikkeling van de BIG naar de BIO aan de orde en in de zorgmarkt praten we over NEN7510: ICT-veiligheid o.a. rondom het patiëntendossier en de medische behandelplannen.

Dit laatste spreekt bij velen tot de verbeelding waar het gaat om ICT-veiligheid. Het gaat bij medische behandelplannen om zeer persoonlijke gegevens waarvan we weten dat ze gecombineerd worden met zaken als medicijnen, ingrepen, therapieën, etc. Daarbij komt nog eens dat een dergelijk plan met anderen, zowel in- als extern, wordt gedeeld. Het is dan ook van groot belang dat deze uiterst gevoelige data met zorg wordt behandeld en dat persoonlijke informatie niet in verkeerde handen komt.

Generieke problematiek

Ondanks dat ICT-veiligheid per branche of doelgroep een eigen specifiek aandachtsgebied kent is de ICT-veiligheid qua problematiek redelijk generiek, zo ondervinden wij. Misschien doordat de technieken waarmee cyberaanvallen worden tegengegaan steeds beter worden, richten cyberaanvallen zich steeds vaker direct op medewerkers van een organisatie. Dit fenomeen wordt ‘social engineering’ genoemd en komen we in elke branche en organisatie wel tegen. Waar tot voor kort ransomware op de loer lag zien we nu doelgerichte e-mails met een uitnodigende link of bijlage om zo tot ongewenste resultaten te komen voor de geadresseerde. Technische bescherming zoals firewalls en virusscanners blijven zeker nodig maar volstaan niet meer; ICT-veiligheid gaat verder dan techniek. Tijdens security scans staan we dan ook steeds vaker stil bij methodieken voor de inrichting van de beveiligingssystemen en bij de mate waarin medewerkers zich cyberveilig gedragen.

Risicobewustzijn en gedrag medewerkers

Bij ICT-veiligheid maken wij onderscheid tussen de mate van het risicobewustzijn en het gedrag van de medewerkers. Opvallend is namelijk dat medewerkers over het algemeen meer risicobewust zijn dan dat ernaar wordt gehandeld. Natuurlijk weet u dat u geen wachtwoorden onder uw toetsenbord moet bewaren en dat u uw laptop niet op de achterbank van uw auto moet laten liggen. Toch gebeurt dit nog steeds. Niet voor niets dat er tools worden aangeboden waarmee organisaties het risicobewustzijn en het gedrag van hun medewerkers kunnen vaststellen en waar nodig kunnen sturen in de vorm van opleiding. Daarnaast kunnen we door de inzet van techniek ook werkwijzen van medewerkers afdwingen. Bijvoorbeeld door het vergaand beveiligen van in- en uitgaand e-mailverkeer en de bijlagen van de e-mails.

Doelgerichte social engineering

Eerder schreven we al dat social engineering generiek en binnen tal van branches voorkomt. Toch zien we dat social engineering wel degelijk ook zeer specifiek kan voorkomen binnen één organisatie. Afdelingen die veel communiceren met wisselende contactpersonen zoals HR en marketing krijgen, meer dan andere afdelingen, te maken met phishing mails terwijl een financiële afdeling eerder te maken zal krijgen met valse facturen. Het is dan ook zaak om bij de uitvoering van een security audit steeds weer op de betreffende kwetsbaarheden te letten.

Solviteers Cloud en Infradiensten

Noodzakelijk is de aandacht voor cyberveilig gedrag van uw medewerkers. Vraag Solviteers Cloud en Infradiensten gerust eens om advies op dit gebied. U kunt ons bereiken op het telefoonnummer 030-2803655 of per mail security@solviteers.nl.

Ik wil een security scan

 

DELEN

Meer informatie?

Livechat

Wij zijn via Livechat beschikbaar tussen 08:30 en 17:00 uur.

Start Livechat

Contact

Wij zijn telefonisch bereikbaar op werkdagen tussen 08:30 en 17:00 uur.

+31 (0) 30 280 36 55

In heel het land zijn de gevolgen van het Coronavirus voor iedereen merkbaar. Ondanks deze ongewone tijd blijft Solviteers u zo flexibel mogelijk ondersteunen. Wij zij goed bereikbaar via telefoon, live chat en per e-mail. Afspraken plannen wij online in zodat u snel geholpen wordt.