4 februari 2019

ICT-veiligheid gaat verder dan techniek

Wanneer we het hebben over ICT-veiligheid zijn er verschillende termen die gebruikt worden. Is het nu ICT-veiligheid, cybersecurity of dataveiligheid? Het zijn drie verschillende begrippen die door elkaar worden gebruikt. In dit artikel richten we ons op ICT-veiligheid.

ICT-veiligheid

Iedere branche heeft zo zijn eigen aandachtspunten. Binnen de industrie bijvoorbeeld worden we logischerwijs geconfronteerd met Industrial Cybersecurity (NEN 65). Bij gemeenten is momenteel de doorontwikkeling van de BIG naar de BIO aan de orde en in de zorgmarkt praten we over ICT-veiligheid rondom het patiëntendossier en de medische behandelplannen.

Dit laatste spreekt bij velen tot de verbeelding waar het gaat om ICT-veiligheid. Het gaat bij medische behandelplannen om zeer persoonlijke gegevens waarvan we weten dat ze gecombineerd worden met zaken als medicijnen, ingrepen, therapieën, etc. Daarbij komt nog eens dat een dergelijk plan met anderen, zowel in- al extern, wordt gedeeld. Het is dan ook van groot belang dat deze uiterst gevoelige data met zorg wordt behandeld en dat persoonlijke informatie niet in verkeerde handen komt.

Generieke problematiek

Ondanks dat ICT-veiligheid per branche of doelgroep een eigen specifiek aandachtsgebied kent is de ICT-veiligheid qua problematiek redelijk generiek, zo ondervinden wij. Misschien doordat de technieken, waarmee cyberaanvallen worden tegengegaan, steeds beter worden, richten cyberaanvallen zich steeds vaker direct op medewerkers van een organisatie. Het fenomeen van zogenaamde “social engineering”, komen we in elke branche en organisatie wel tegen. Waar tot voor kort ransomware op de loer lag zien we nu doelgerichte e-mails met een uitnodigende link of bijlage om zo tot ongewenste resultaten te komen voor de geadresseerde. Technische bescherming zoals firewalls en virusscanners blijven zeker nodig maar volstaan niet meer; ICT-veiligheid gaat verder dan techniek. Tijdens security scans staan we dan ook steeds vaker stil bij methodieken voor de inrichting van de beveiligingssystemen en bij de mate waarin medewerkers zich cyberveilig gedragen.

Cyberveiligheid

Bij cyberveiligheid maken wij onderscheid tussen de mate van het risicobewustzijn en het gedrag van de medewerkers. Opvallend is namelijk dat medewerkers over het algemeen meer risicobewust zijn dan dat ernaar wordt gehandeld. Natuurlijk weet u dat u geen wachtwoorden onder uw toetsenbord moet bewaren en dat u uw laptop niet op de achterbank van uw auto moet laten liggen. Toch gebeurt dit nog steeds. Niet voor niets dat er tools worden aangeboden waarmee organisaties het risicobewustzijn en het gedrag van hun medewerkers kunnen vaststellen en waar nodig kunnen sturen in de vorm van opleiding. Daarnaast kunnen we door de inzet van techniek ook werkwijzen van medewerkers afdwingen. Bijvoorbeeld door het vergaand beveiligen van in- en uitgaand e-mailverkeer en de bijlagen van de e-mails.

Doelgerichte social engineering

Eerder schreven we al dat social engineering generiek en binnen tal van branches voorkomt. Toch zien we dat social engineering wel degelijk ook zeer specifiek kan voorkomen binnen één organisatie. Afdelingen die veel communiceren met wisselende contactpersonen zoals HR en marketing krijgen meer dan andere afdelingen te maken met phishing mails terwijl een financiële afdeling eerder te maken zal krijgen met valse facturen. Het is dan ook zaak om bij de uitvoering van een security audit steeds weer op de betreffende kwetsbaarheden te letten.

Solviteers Cloud en Infradiensten

Noodzakelijk is de aandacht voor cyberveilig gedrag van uw medewerkers. Vraag Solviteers Cloud en Infradiensten gerust eens om advies op dit gebied. U kunt ons bereiken op het telefoonnummer 030-2803655 of per mail security@solviteers.nl.

Solviteers SCI team

DELEN

Meer informatie?

Livechat

Wij zijn via Livechat beschikbaar tussen 08:30 en 17:00 uur.

Start Livechat

WhatsApp

Via 06 14879903, op werkdagen tussen 08:30 en 17:00 uur. We reageren binnen 15 minuten.