Alleen met een goed preventief security-beleid houdt u hackers buiten de deur. Podiumauteur Etienne van der Woude geeft tips voor een slim preventiebeleid.
Hackers richten zich steeds vaker op bedrijven, blijkt uit onderzoek. Een aantal jaar geleden waren het voornamelijk de medische dossiers en overheidsinformatie die doelwit waren, nu richten hackers zich met name op het bedrijfsleven. Wereldwijd steeg het aantal aanvallen op het bedrijfsleven met 8 procent in 2010 tot 52 procent in 2012. Dit is een shockerende verhoging. Uit ander onderzoek blijkt dat organisaties zich wel steeds bewuster worden van beveiligingsgevaren van bijvoorbeeld social media. Desondanks gebruikt slechts de helft van de (zakelijke) social media-gebruikers daadwerkelijk een security-beleid op dit gebied.
Daarnaast denkt een derde van de ondervraagden dat de beveiligingsgevaren van social media bij MKB-bedrijven kleiner zijn dan bij grote bedrijven. Onbegrijpelijk, want de risico’s gelden voor ondernemingen van elke omvang. En vaak zijn kleinere organisaties juist een groter doelwit, aangezien hackers weten dat de security hier nog niet professioneel genoeg is geregeld. Alleen voldoen aan wet- en regelgeving op het gebied van informatiebeveiliging is niet meer genoeg.
Het implementeren van een securitystrategie moet dan ook bij elk bedrijf topprioriteit worden. Maar hoe? Een paar tips.
Plannen en tijdig reageren
Bedrijven moeten zich in hun strategie focussen op het weerbaar maken van de eigen organisatie tegen risico’s van cyberaanvallen. Ze moeten zich niet afvragen of ze met een cyberaanval te maken krijgen. Belangrijke zaken zijn juist hoe en wanneer ze reageren op zo’n aanval. IT-managers moeten de informatiebeveiliging effectief managen. Hierbij is het van belang dat de manager de preventie, het vroegtijdig ontdekken van een aanval en een snelle reactie op een aanval in het beleid opneemt. Je kunt namelijk alleen snel reageren als er van tevoren goed gepland is.
Kwetsbaar door social media
Eigen werknemers vormen een gemiddelde tot hoge kwetsbaarheid voor de IT-beveiliging van de organisatie door het gebrek aan kennis over beveiligingrisico’s. Een voorbeeld is de grote reeks aan berichten die vanuit LinkedIn of Facebook worden gestuurd. Aangezien organisaties dit vaak niet direct opmerken, is de kans groot dat een medewerker op de link klikt en enkele minuten later een melding krijgt dat er dringend een beveiligingsupdate nodig is. Door te klikken op OK is het leed geschied en de op zijn pc geïnstalleerde malware zoekt zich een weg de organisatie in. Zo werkt het personeel onbewust actief mee aan hacking.
Om dit te voorkomen moeten werknemers worden voorzien van de juiste informatie om ze bewust te maken van cyberrisico’s. Echter is alleen voorlichting geven vaak niet genoeg: er zijn namelijk altijd medewerkers die informatie over het hoofd zien of denken dat het niet voor hen bedoeld is. Daarom is een combinatie van trainen, begeleiden en in de gaten houden noodzakelijk. Om dit te realiseren is het raadzaam een soort examen aan de cursus te hangen, zoals we dat ook zien bij het behalen van een autorijbewijs. Hiermee wordt het belang van medewerkers en hun kennis vergroot, zodat er een grotere awareness ontstaat en het meer gaat leven binnen de organisatie. Indien organisaties voor deze optie kiezen, is het wel belangrijk om hier elk jaar opnieuw aandacht aan te besteden, aangezien de ontwikkelingen op dit gebied razendsnel gaan.
De juiste beveiliging
Er zijn natuurlijk ook beveiligingsproducten die bedrijven kunnen inzetten om de organisatie te beschermen tegen malware en virussen, maar het belangrijkste is de manier waarop de oplossingen worden ingezet. Het is van groot belang een aantal zaken op orde te hebben in de organisatie. Bedrijven moeten de informatiebeveiliging organisatiebreed aanpakken. Geen houtje-touwtje oplossingen. Alleen dan kan de IT-afdeling een sterk beveiligingsschild opbouwen.
Ten tweede moeten ze werken met erkende professionele adviseurs en producten. Dat is een voorwaarde om met up-to-date oplossingen te kunnen werken en een krachtige bescherming tegen ongewenst binnendringen te hebben. Ook moeten ze het niet regelmatig vervangen van passwords, het niet gebruiken van de auto-lock functie van desktops en het laten slingeren van papieren met gevoelige informatie aanpakken.
Pas als al deze zaken zijn opgenomen in een security-beleid, zijn organisaties goed voorbereid. Wellicht denken organisaties dat dit een behoorlijke investering is, maar de reputatieschade die een organisatie oploopt als een datalek naar buiten komt in de media, is bijna niet in geld uit te drukken. Zorg dus voor een preventief en volledig security-beleid en houd hackers buiten de deur.
Dit Podiumartikel is geschreven door Etienne van der Woude, Regional Sales Manager Benelux bij WatchGuard Technologies.
Over Podium:
Ook uw visie geven op ontwikkelingen binnen uw vakgebied? Plaats een artikel op MT Podium. Log in opmt.nl/profiel en voeg onder 'activiteiten' uw artikel toe. Interessante bijdragen worden meegenomen in de nieuwsbrief en op home geplaatst. MT Magazine publiceert bovendien periodiek 'Het beste van MT Podium'.