Security awareness: het belang van goed informatiebeleid

blog-security-awareness

Op het moment dat hackers bij jouw organisatie er met privacygevoelige gegevens vandoor gaan, zijn de gevolgen voor jouw rekening – ook juridisch. Toch is cybersecurity binnen bedrijven nog steeds niet zo vanzelfsprekend als een fatsoenlijk slot op de voordeur. En dat terwijl dit thema wel degelijk net zo veel aandacht verdient.

‘Wie pakt ons nou, waarom zouden wij interessant zijn voor hackers?’ Het idee dat er elders altijd wel grotere vissen in de zee zwemmen, veroorzaakt vaak gemakzucht bij kleinere bedrijven. Maar vergis je niet: zelfs het kleinste bestandje met persoonsgegevens is voor hackers al de moeite van een inbraak waard. En bedrijven die de rode loper voor kwaadwillenden uitrollen door cybersecurity onderaan de prioriteitenlijst te zetten, lopen net zo veel risico als die grote vissen die op een goudmijn aan data zitten.

Goed securitybeleid draait om awareness

Edward van Egmond is Senior Manager IT-audit bij Noordbeek en helpt bedrijven kwetsbaarheden op te sporen in de online beveiliging. Hij doet onder andere PCI- en 3DS-audits op online betalingsverkeer en is een ‘registered IT-auditor’ voor assurance-opdrachten. Regelmatig ziet hij in de praktijk wat de effecten zijn van goed cybersecuritybeleid, maar ook wat de gevolgen kunnen zijn als het daaraan nog in meer of mindere mate schort. “Hoe vaak ik wel niet tegenkom dat iemand een nieuw modem heeft gekregen en de gebruikersnaam en het wachtwoord op ‘admin-admin’ heeft gehouden”, vertelt van Egmond. “Goed cybersecuritybeleid draait om awareness, zowel op bedrijfs- als individueel niveau.”

Security awareness is de start van preventie

Preventie begint dus bij awareness, vervolgt Van Egmond. “Zo is het bijvoorbeeld enorm belangrijk om regelmatig awarenesstrainingen te verzorgen voor medewerkers. Niet één keer per jaar het standaard opendeurenriedeltje, maar vernieuwende materie die regelmatig op een prikkelende manier herhaald wordt. Spreek bijvoorbeeld af dat cybersecurity eens in de vier weken even voorbij komt tijdens een werkoverleg. Je kunt rouleren met mensen die tijdens zo’n overleg een korte presentatie geven over een deelonderwerp, zodat ze hun eigen stokpaardje naar voren kunnen brengen. Door het thema actueel te houden, zorg je ervoor dat het niet naar de achtergrond verdwijnt. Risico’s zitten echt in een klein hoekje: de meeste mensen gebruiken op heel veel sites hetzelfde mailadres en wachtwoord. Hierdoor zijn de gevolgen al snel groot. Als ze hun gegevens intikken op onbetrouwbare websites kunnen hackers op zo’n website met een simpel scriptje het wachtwoord ‘stelen’. Daarmee kunnen ze zich toegang verschaffen op veel andere websites.

Goed informatiebeleid ontbreekt vaak

Fatsoenlijke cybersecurity valt of staat bij goed informatiebeleid, stelt Van Egmond. Informatiebeleid is de visie van de organisatie over sterke beveiliging, om zo de risico’s van onder andere ongeautoriseerde toegang te verlagen. Toch ziet hij in de praktijk nog vaak dat dat nou juist ontbreekt. “Vaak zie ik dat webwinkels die gehackt zijn, daarna snel een website veiligheidsscan doen, zoals PCI. Dan blijkt dat ze de gevonden kwetsbaarheden naar eigen inzicht beoordeeld en opgelost hebben, maar niet vertaald naar informatiebeleid. Zij denken dan dat het bij hen wel snor zit, waarna zij er later achter komen dat de beveiliging toch niet goed in elkaar zit. Juist informatiebeleid is dus van groot belang. Als medewerkers niet weten aan welke procedures ze zich moeten houden, hoe creëer je dan awareness?”

Stel goed beleid op en handel ernaar

Dus: stel goed beleid op en handel daar ook naar, luidt het devies. Awarenesstrainingen kunnen er vervolgens voor zorgen dat het beleid ook daadwerkelijk leeft, en dat medewerkers zich bewust blijven van het belang ervan. Maar hoe weet je als bedrijf nou of het beleid nog volstaat, en of de maatregelen die getroffen worden nog voldoende zijn? “Preventieve website-beveiligingsscans zijn daar heel behulpzaam bij”, vindt Van Egmond. 

Met preventieve scans een extra oogje in het zeil

“Door periodiek jouw website, webapplicaties en webservers op zwakke punten en kwetsbaarheden in de beveiliging te scannen, zorg je ervoor dat er een extra oogje in het zeil gehouden wordt. Heel prettig als je eenmaal je beveiliging op orde denkt te hebben: een scan toetst iedere week of dat daadwerkelijk nog het geval is. Bij iedere technische wijziging en/of update wordt door de wekelijkse controle gescand of alles nog op orde is, of dat aanpassingen noodzakelijk zijn.

Preventieve scans zijn niets meer en niets minder dan een onderhoudshandeling voor jouw cybersecuritybeleid. Dat is jouw verantwoordelijkheid, niet die van de websitebouwer. Zie het als een APK-keuring: daarvoor geldt ook dat jij verantwoordelijk bent, niet de fabrikant van de auto. Een scan is een kleine moeite met een groot effect.

Wilt u ervaren hoe een beveiligingsscan werkt en uw website checken op een paar basis beveiligingsaspecten?

Gratis Freemium scan aanvragen

Lees ook

Verantwoordelijkheid voor cybersecurity ligt écht bij ondernemer

Als ondernemer of bestuurder van een organisatie ligt de verantwoordelijkheid voor de beveiliging van de website bij jou. In een tijd waarin digitale dreigingen steeds geavanceerder worden, is het waarborgen van de online veiligheid van essentieel belang. En dat is een verantwoordelijkheid die je niet zomaar naast je neer kan leggen.

Bekijk scanresultaten op basic of expert niveau

Trust Guard's dashboard biedt zowel Expert View als Basic View om aan de behoeften van verschillende gebruikers te voldoen. De Expert View geeft diepgaande analyse en inzicht in scanresultaten, waardoor managers en systeembeheerders potentiële kwetsbaarheden snel kunnen identificeren en proactief kunnen reageren op bedreigingen.

Het vertrouwen van de klant winnen door een check-out banner

Voor het versterken van het vertrouwen op het moment dat uw klant een bestelling wil gaan plaatsen heeft Trust Guard nu een check-out banner beschikbaar. Dankzij deze banner kunnen klanten direct zien dat ze veilig een online aankoop kunnen doen.