Cookie-instellingen

Deze website gebruikt Cookies.

Meer informatie over het gebruik van cookies en gegevensverwerking vindt u onder onze cookie- en privacy-policy .

U kunt hieronder uw cookie-instellingen kiezen en accepteren:

IT-VEILIGHEID GAAT VERDER DAN TECHNIEK


Wanneer we het hebben over IT-veiligheid zijn er verschillende termen die gebruikt worden. Is het nu IT-veiligheid, cybersecurity of dataveiligheid? Het zijn drie begrippen die door elkaar gebruikt worden. In dit artikel gebruiken wij de term IT-veiligheid.


IT-veiligheid

Iedere branche heeft zo zijn eigen aandachtspunten. Binnen de industrie bijvoorbeeld worden we logischerwijs geconfronteerd met Industrial Cybersecurity (NEN 65). Bij gemeenten is momenteel de doorontwikkeling van de BIG naar de BIO aan de orde en in de zorgmarkt praten we over NEN7510: IT-veiligheid o.a. rondom het patiëntendossier en de medische behandelplannen.

Dit laatste spreekt bij velen tot de verbeelding waar het gaat om IT-veiligheid. Het gaat bij medische behandelplannen om zeer persoonlijke gegevens waarvan we weten dat ze gecombineerd worden met zaken als medicijnen, ingrepen, therapieën, etc. Daarbij komt nog eens dat een dergelijk plan met anderen, zowel in- als extern, wordt gedeeld. Het is dan ook van groot belang dat deze uiterst gevoelige data met zorg wordt behandeld en dat persoonlijke informatie niet in verkeerde handen komt.


Generieke problematiek

Ondanks dat IT-veiligheid per branche of doelgroep een eigen specifiek aandachtsgebied kent is de IT-veiligheid qua problematiek redelijk generiek, zo ondervinden wij. Misschien doordat de technieken waarmee cyberaanvallen worden tegengegaan steeds beter worden, richten cyberaanvallen zich steeds vaker direct op medewerkers van een organisatie. Dit fenomeen wordt ‘social engineering’ genoemd en komen we in elke branche en organisatie wel tegen. Waar tot voor kort ransomware op de loer lag zien we nu doelgerichte e-mails met een uitnodigende link of bijlage om zo tot ongewenste resultaten te komen voor de geadresseerde. Technische bescherming zoals firewalls en virusscanners blijven zeker nodig maar volstaan niet meer; IT-veiligheid gaat verder dan techniek. Tijdens security scans staan we dan ook steeds vaker stil bij methodieken voor de inrichting van de beveiligingssystemen en bij de mate waarin medewerkers zich cyberveilig gedragen.


Risicobewustzijn en gedrag medewerkers

Bij IT-veiligheid maken wij onderscheid tussen de mate van het risicobewustzijn en het gedrag van de medewerkers. Opvallend is namelijk dat medewerkers over het algemeen meer risicobewust zijn dan dat ernaar wordt gehandeld. Natuurlijk weet je dat je geen wachtwoorden onder je toetsenbord moet bewaren en dat je jouw laptop niet op de achterbank van de auto moet laten liggen. Toch gebeurt dit nog steeds. Niet voor niets dat er tools worden aangeboden waarmee organisaties het risicobewustzijn en het gedrag van hun medewerkers kunnen vaststellen en waar nodig kunnen sturen in de vorm van opleiding. Daarnaast kunnen we door de inzet van techniek ook werkwijzen van medewerkers afdwingen. Bijvoorbeeld door het vergaand beveiligen van in- en uitgaand e-mailverkeer en de bijlagen van de e-mails.


Doelgerichte social engineering

Eerder schreven we al dat social engineering generiek en binnen tal van branches voorkomt. Toch zien we dat social engineering wel degelijk ook zeer specifiek kan voorkomen binnen één organisatie. Afdelingen die veel communiceren met wisselende contactpersonen zoals HR en marketing krijgen, meer dan andere afdelingen, te maken met phishing mails terwijl een financiële afdeling eerder te maken zal krijgen met valse facturen. Het is dan ook zaak om bij de uitvoering van een security audit steeds weer op de betreffende kwetsbaarheden te letten.


Contact

Noodzakelijk is de aandacht voor cyberveilig gedrag van jouw medewerkers. Vraag Solviteers Cloud en Infradiensten gerust eens om advies op dit gebied. Je kunt ons bereiken op het telefoonnummer 030-2803655 of per mail security@solviteers.nl.