U bent hier

Onderneming & Administratie
Cybersecurity7. Beleid omtrent beveiliging7.1 Voorzorgsmaatregelen op kantoor
Voor Onderneming & Administratie

7.1 Voorzorgsmaatregelen op kantoor

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2023

losgeld

In 2022 is één op de 30 mkb-bedrijven slachtoffer geworden van cybercriminaliteit waarbij zelfs losgeld werd geëist, zo blijkt uit een onderzoek van het ministerie van Economische Zaken. Digitale veiligheid staat dan ook bij veel ondernemingen hoog op de agenda. Maar waar moet u beginnen als uw onderneming hiermee aan de slag wil gaan?

Op de website van het Digital Trust Center (DTC) vindt u allerlei tips en aanbevelingen om uw digitale veiligheid te verbeteren, onder meer na het doen van een Basisscan Cyberweerbaarheid.

Breng de risico’s in kaart

risico-
management

Informatiebeveiliging is risicomanagement. Het draait om risico’s en de maatregelen die u kunt nemen om onacceptabele risico’s te mitigeren. De eerste stap is een plan maken waarin u alle potentiële bedreigingen en beveiligingsrisico’s in kaart brengt. Vervolgens gaat u kijken welke organisatorische, technische en fysieke maatregelen nodig zijn om de risico’s over te dragen, te ontwijken of te accepteren.

Zorg naast een risicoanalyse ook voor een leesbaar bedrijfscontinuïteitsplan of een herstelplan voor als er toch een beveiligingsincident plaatsvindt. Met behulp van het stappenplan op rendement.nl/fadossier kunt u zelf zo’n plan opzetten voor uw onderneming.

Basismaatregelen

U kunt met enkele simpele stappen uw digitale veiligheid enorm verbeteren. Het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het ministerie van Justitie en Veiligheid, heeft een handreiking opgesteld met beveiligingsmaatregelen voor ondernemingen. Wij zetten de basismaatregelen hieronder voor u op een rij.

7.1.1 Updates

software

Een belangrijke beveiligingsmaatregel is het installeren van updates. Is er sprake van programmeerfouten in software, dan kunnen deze leiden tot kwetsbaarheden. Updates verhelpen deze kwetsbaarheden. Zorg daarom voor een proces dat updates voor uw software identificeert, test en installeert. Alle software en systemen moeten hierbij in kaart worden gebracht, inclusief webbrowsers en plug-ins. Bij het updaten van kritieke systemen is het aan te raden om eerst een update in een testomgeving uit te voeren.

leverancier

Betrek ook de leveranciers van standaardsoftware bij uw beleid op het gebied van digitale veiligheid: zij behoren hun producten via updating en patches veilig te houden.

7.1.2 Werk met logbestanden

bewaren

cloud

Zorg er ook voor dat alle applicaties en systemen voldoende loginformatie genereren. Logbestanden zijn namelijk van belang bij het herkennen van cyberaanvallen en het afhandelen van incidenten. Uw onderneming kan zelf bepalen welke logbestanden nodig zijn en hoe lang zij deze wil bewaren. Denk hierbij aan systeem-, netwerk-, applicatie- en cloudlogging. Het is aan te raden om toegang tot logbestanden te beperken en op te slaan in een apart netwerksegment.

Bekijk altijd of de clouddienst voldoet aan de eisen van de AVG en of u dit kunt aantonen. Ook is het goed om per aanbieder te bekijken of u de data kunt meenemen als u besluit om over te stappen naar een andere leverancier.

7.1.3 Multifactorauthenticatie

vingerafdruk

Pas multifactorauthenticatie toe bij accounts die vanaf het internet bereikbaar zijn, accounts die beheerrechten hebben en accounts van essentiële systemen. Hackers krijgen zo geen toegang tot een account als zij het wachtwoord hebben weten te achterhalen. Voorbeelden van multifactorauthenticatie zijn een wachtwoord gecombineerd met een token of gebruik van een vingerafdruk met een eenmalige code.

Voor het verzenden van privacygevoelige informatie kunt u gebruikmaken van een beveiligde e-mailverbinding. Daarbij worden berichten versleuteld verzonden naar een specifieke ontvanger. Alleen de ontvanger kan het bericht ontsleutelen en lezen.

7.1.4 Maak back-ups

3-2-1-regel

noodherstel

Het maken en testen van back-ups is van groot belang als data en systemen zijn aangetast en moeten worden hersteld. De 3-2-1-regel kan helpen bij het inrichten van het back-upproces. Er zijn dan drie versies van de data (productiedata en twee back-ups) op twee verschillende media (bijvoorbeeld verschillende fysieke harde schijven), met één kopie op een andere locatie voor noodherstel. Door een back-up op een andere locatie kunnen systemen worden hersteld als u door bijvoorbeeld ransomware geen toegang meer heeft tot het bedrijfsnetwerk. Toegang tot back-ups kunt u beperken door bijvoorbeeld gebruik te maken van toegangsrechten.

7.1.5 Versleutel bedrijfsinformatie

encryptie

Om digitaal weerbaar te worden is het ook belangrijk om opslagmedia met gevoelige bedrijfsinformatie te versleutelen. Door het gebruik van encryptiesoftware kunnen cybercriminelen de data namelijk niet inzien. Opslagmedia die in aanmerking komen voor versleuteling zijn harde schijven, laptops, mobiele apparaten en usb-sticks.

7.1.6 Internetverbinding

Verbinding met het internet vormt een groot risico voor uw onderneming. Beschermende maatregelen die uw onderneming kan nemen, zijn onder andere:

  • het gebruik van een firewall (zie hoofdstuk 8);
  • het uitschakelen van ongebruikte services en poorten;
  • zorgen dat software up-to-date is.

Multi­factorauthenticatie wordt ook aangeraden voor accounts die via het internet te gebruiken zijn.

7.1.7 Zorg voor een veilig netwerk

VPN

versleuteld

Om te voorkomen dat u met hackers te maken krijgt, is een veilig netwerk noodzakelijk. Veel (grote) ondernemingen maken gebruik van een gespecialiseerde zakelijke VPN-oplossing (Virtual Private Network) om het bedrijfsnetwerk te beveiligen. Maakt uw onderneming gebruik van een VPN-verbinding, dan wordt er een versleutelde verbinding gecreëerd tussen de (thuis)computer en de rest van het internet.

Door een netwerk in verschillende zones te verdelen, beperkt u de gevolgen van een cyberaanval. Zo kan bijvoorbeeld een virus maar een deel van het netwerk treffen. Goede netwerksegmentatie kan de gevolgen van ransomware- of DDoS-aanvallen inperken.

7.1.8 Toegangsrechten

fouten

Een andere basismaatregel die uw onderneming kan treffen, is bepalen wie toegang heeft tot data en diensten. Dat betekent dat u werknemers alleen toegang geeft tot de data en systemen die zij nodig hebben om hun werkzaamheden te kunnen uitvoeren. Op deze manier reduceert u de gevolgen van eventuele fouten van gebruikers.

Controle

gebruikers-account

Beperk ook de toegang van serviceaccounts, machineaccounts en functionele accounts tot het noodzakelijke. Door toegangscontrole te koppelen aan rollen, wordt het beheer van rechten makkelijker. Persoonsgebonden toegang, waarbij elke werknemer een eigen gebruikersaccount heeft, wordt aangeraden. U doet er ook goed aan om processen in kaart te brengen voor de indienst- en uitdiensttreding en interne doorstroming van werknemers. Ongebruikte accounts moeten zo snel mogelijk worden verwijderd. En serviceaccounts moeten alleen worden geactiveerd bij onderhoud.

Verantwoordelijken

bevoegdheden

goedgekeurd

Daarnaast moeten er diverse verantwoordelijken voor informatiebeveiliging worden aangesteld, op sturend en uitvoerend niveau. Zij moeten duidelijk aangewezen worden. Ook moeten de werknemers op de hoogte gesteld worden van deze verantwoordelijken, hun functie en bevoegdheden. Communiceer dit bijvoorbeeld via een beleidsdocument voor informatiebeveiliging aan alle werknemers en relevante (externe) partijen. Het beleidsdocument moet eerst op bestuurlijk of leidinggevend niveau worden goedgekeurd!

Het is raadzaam om ook maatregelen te treffen die specifiek gericht zijn op de geheimhoudingsplicht. Zo is het bijvoorbeeld mogelijk om overeenkomsten te sluiten waarin afspraken en verplichtingen voor geheimhouding bij de verwerking van persoonsgegevens worden vastgelegd.

losgeld
risico-
management
software
leverancier
bewaren
cloud
vingerafdruk
3-2-1-regel
noodherstel
encryptie
VPN
versleuteld
fouten
gebruikers-account
bevoegdheden
goedgekeurd

Ga binnen deze pagina naar: