ICT-beveiliging is een must voor iedere organisatie. Het is echter een zeer brede en ingewikkelde discipline. Bijna alle systemen zijn bereikbaar vanaf het internet, en de steeds grotere en complexere infrastructuren maken beveiliging zeer uitdagend. Een absoluut waterdichte omgeving is helaas niet mogelijk. Daar staat tegenover dat enkele betrekkelijk eenvoudige maatregelen al heel veel kunnen betekenen voor de veiligheid van de ICT.
1) Maak een overzicht van de belangrijkste systemen
De organisatie moet precies weten hoe de ICT er precies uitziet. Dat lijkt vanzelfsprekend, maar omdat ICT complex is, valt het overzicht snel weg. Alleen dan is vast te stellen welke systemen echt belangrijk zijn voor de continuïteit. Het overzicht is ruwweg te verdelen in ‘harde’ middelen, zoals servers, clients en netwerken, en ‘zachte’ middelen, zoals de software en data, maar ook de kennis binnen het bedrijf. De middelen die echt onmisbaar zijn, genieten uiteraard prioriteit.
2) Verken het dreigingslandschap
Een organisatie die niet veel met persoonsgegevens werkt, loopt minder risico op schadelijke datalekken. Tegelijkertijd is het wel mogelijk dat het bedrijf belangrijke interne documenten heeft, en daarmee gevoeliger zou zijn voor ransomware: gijzelsoftware die de data versleutelen en pas weer toegang geven na betaling van hoge afkoopsommen. Webwinkels zijn extra gevoelig voor DDoS-aanvallen. Het is daarom goed om te weten wat er zoal in de buitenwereld gebeurt.
3) Stel de mogelijke schade vast
Een incident kan op allerlei manieren schade veroorzaken. Naast diefstal kan het gaan om zaken als reputatieschade en boetes van toezichthouders. Hoe groter de mogelijke schade aan het bedrijf, des te meer prioriteit het ICT-onderdeel moet krijgen.
4) Neem de potentiële schade samen met de waarschijnlijkheid van een incident
Maar de mogelijke schade die een bepaalde aanval kan veroorzaken, zegt niet alles over het risico. Een ander element is de waarschijnlijkheid van een incident. Zo zal een werknemer zijn desktop van de zaak niet snel meenemen, dus het risico dat de gegevens op deze manier per ongeluk achterblijven op een perron is niet groot. Maar als de gegevens relatief vaak op een USB-stick worden gezet, dan is het risicobeeld geheel anders.
5) Overdrijf niet met het budget
Het vaststellen van een passend budget is in het geval van security niet eenvoudig. Door geen prioriteiten te stellen, riskeert de organisatie dat de beveiliging van cruciale onderdelen halfslachtig worden uitgevoerd. Andersom is echter ook mogelijk: dat de organisatie veel geld investeert in een security-oplossing die niet nodig bleek te zijn. De toekomstige investeringsbereidheid kan hierdoor in gevaar komen. Een goed uitgekiend budget zorgt dus niet alleen voor voldoende security in het nu, maar ook in de toekomst.
6) Blijf testen
Oplossingen aanschaffen en installeren is relatief eenvoudig. Moeilijker wordt het echter als de theorie niet overeenkomt met de praktijk. Het is daarom van groot belang om de security goed te testen, en te blijven testen om de effectiviteit te waarborgen. Ook als de infrastructuur verandert met bijvoorbeeld nieuwe software of nieuwe servers.
7) Maak uw mensen bewust
Een omgeving kan nog zo goed beveiligd zijn, het is niet veel waard als werknemers lukraak op iedere aangeboden link klikken. Veruit de meeste incidenten zijn het gevolg van een menselijke fout. Daarom is het zo belangrijk om uw mensen bewust te maken van hoe ze verantwoord met de ICT-middelen omspringen.
DigiState kan u verder helpen
Gelukkig hoeft niemand alleen te staan bij cybersecurity-vraagstukken. DigiState biedt diensten voor verschillende securitydomeinen: E-mail Security, Endpoint Security, File Security, onze Securitydienst MKB, SSL-Certificaten en de Website & Security Scan.
