Ondernemen

Data security | Hoe goed is jouw data beveiligd?

Data security | Hoe goed is uw data beveiligd?
Elk bedrijf beschikt over data. En dat maakt van elk bedrijf een mogelijk doelwit voor hackers. Ja, ook jouw bedrijf. En nee, dat zal niet ‘vast wel meevallen’. Je denkt misschien dat de gegevens binnen je bedrijf voor anderen geen waarde hebben. Maar geloof me: doorgewinterde hackers hebben het ook op je gemunt. Daarom is het belangrijk dat je de risico’s in kaart brengt en maatregelen neemt om je data zo goed mogelijk te beveiligen. Ook binnen Exact staat databeveiliging hoog op de agenda. In dit artikel vertelt Jack Krul, Chief Information Security Officer bij Exact, je over het stappenplan dat zij toepassen en wat je daarvan heel gemakkelijk kunt overnemen voor je bedrijf.

1. Welke risico’s liggen op de loer?

Breng eerst in kaart welke data binnen je bedrijf circuleren. Met data bedoel ik de breedste zin van het woord: van bouwtechnische tekeningen tot klantgegevens en informatie over strategische leveranciers. Bedenk vervolgens waarom iemand die data zou willen hebben en wat ze ermee kunnen aanvangen. Kunnen ze dit verrijken met andere data om er waardevolle informatie van te maken?

2. Wie kan je allemaal aanvallen?

Als je die risico’s in kaart hebt gebracht, kun je afwegen wie je bedrijf mogelijk kan aanvallen. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) maakt daarbij een onderscheid tussen acht 8 actoren en hun intenties. Met welke actoren je rekening moet houden, is afhankelijk van het type bedrijf en het type data dat je bedrijf bezit. Voor Exact bijvoorbeeld vormen interne actoren en script kiddies het grootste risico.

NCSC actoren en intenties
Bron: NCSC

3. Hoe beveilig jij jouw data?

Binnen een bedrijf werk je met verschillende systemen waarin gegevens worden opgeslagen. De laatste stap is om voor elk systeem te bepalen of er extra beveiliging nodig is en hoe je dit aanpakt. Als je dit in kaart hebt gebracht, kun je een concreet actieplan maken en zo het risico verminderen tot op een niveau dat je als ondernemer toelaatbaar vindt. In een ideale wereld wil je natuurlijk al je data en systemen kunnen beveiligen. Maar in de praktijk is dat een utopie: er is geen enkel bedrijf dat alle data en systemen beveiligt. Begin daarom met de belangrijkste data en systemen.

Dit is iets waarover je continu moet blijven nadenken. Plan hiervoor minstens één keer per jaar een evaluatiemoment in – of binnen een snelgroeiende organisatie zelfs vaker.

Data security: de grootste gevaren in de dagelijkse praktijk

Wees gerust, een gemiddelde kmo moet normaal niet bang te zijn voor een grootschalige DDoS-aanval. Maar dat betekent niet dat je geen kans loopt op een datalek. In de dagelijkse praktijk zijn er namelijk ook flink wat gevaren waarmee je rekening moet houden op het vlak van databeveiliging.

Wachtwoorden van medewerkers

Via hun computer hebben medewerkers toegang tot veel bedrijfsdata. De enige beveiliging die hier vaak op zit, zijn hun zelf aangemaakte wachtwoorden. Helaas zijn die wachtwoorden dikwijls veel te makkelijk. Zo bevatten ze bijvoorbeeld persoonlijke informatie of soms zelfs de bedrijfsnaam. En ook wordt regelmatig hetzelfde wachtwoord voor verschillende systemen gebruikt. “Da’s tenminste gemakkelijk om te onthouden”, wordt dan gedacht. Klopt, maar daardoor zijn ze dus ook heel eenvoudig te hacken!

Hamer er daarom op dat medewerkers gebruik maken van een password manager. Je hebt dan één (bij voorkeur heel complex) wachtwoord dat je moet onthouden; alle andere wachtwoorden worden automatisch aangemaakt en geüpdatet. Dit is een stuk veiliger.

Maak ook gebruik van two-factor authentication – kortweg 2FA. Je voegt dan naast het wachtwoord een tweede stap in om te kunnen inloggen, bijvoorbeeld een sms-code die je ook nog moet invoeren. 2FA is vooral heel belangrijk bij de toegang tot je mail. Want als je van een willekeurig systeem het wachtwoord wilt aanpassen, dan gaat dat via een ‘wachtwoord vergeten mail’.

Servers die niet geüpdatet zijn

Binnen bedrijven worden vaak allerlei redenen opgesomd om servers niet automatisch te updaten, terwijl dit juist heel belangrijk is. Een server die regelmatig wordt geüpdatet, is namelijk beter beveiligd tegen hackers. Maak hierover dus afspraken met je leveranciers en wie intern verantwoordelijk is. Houd je serverhygiëne op peil en laat ook minstens één keer per half jaar de routers en wifi-systemen nakijken. Zijn de protocollen die je daarvoor gebruikt nog steeds veilig? Moet het wachtwoord geüpdatet worden?

Gratis tools

Let op waar je jouw data opslaat. Gratis bestaat niet. Dus als je jouw gegevens opslaat via een gratis service zoals Dropbox, besef dan dat daar een verdienmodel achter zit, bijvoorbeeld analyse van metadata. Die data verkopen dit soort bedrijven aan andere partijen om geld te verdienen binnen de wettelijke kaders. Sla gevoelige data dus niet op via gratis services maar ga voor betaalde services of systemen die binnen je omgeving draaien en binnen je beïnvloedingssfeer liggen.

Dit geldt niet alleen voor opslag, maar zeker ook voor communicatietools. Zo wordt de gratis tool Houseparty momenteel veel gebruikt om te videobellen. Wat veel mensen niet weten, is dat je bij jouw akkoord op de algemene voorwaarden toestemming geeft om contacten van je laptop of telefoon te laten lezen én dat Houseparty je videobeelden mag gebruiken voor commerciële doeleinden. Wees dus voorzichtig met welke applicaties je gebruikt en check altijd eerst het risico. Bronnen zoals Autoriteit Persoonsgegevens (AP) en NCSC delen hierover tips op hun websites.

Phishing

Phishingmails en -telefoontjes zijn misschien wel de meest bekende vorm van internetfraude. We zijn er allemaal van overtuigd dat we er niet in trappen, maar toch is phishing nog steeds een van de grootste oorzaken van datalekken. En dat is niet verwonderlijk want phishers worden steeds slimmer en sluwer. Zo gebeurt phishing ook steeds meer via Whatsapp, bijvoorbeeld met de vraag of je een bepaald geldbedrag wilt overmaken. Maak medewerkers hierop alert en leg uit hoe ze moeten handelen als ze vermoeden dat ze met phishing te maken hebben.

Onveilig omgaan met data (buiten de deur)

Werken medewerkers buiten kantoor, zorg dan dat ze dit op een veilige manier doen. Werkt iemand in een koffiebar, maak dan duidelijk dat zij hun laptop of bedrijfsdocumenten niet onbeheerd mogen achterlaten tijdens een toiletbezoek. En als zij op trein, tram of bus werken, zorg dan voor een privacyfilter op het scherm. Mensen met verkeerde intenties kunnen aan een korte blik op het scherm al genoeg hebben. Zorg ook dat je gebruikmaakt van een VPN, zodat je zeker weet dat de verbinding veilig is. Dat is ook heel belangrijk nu veel mensen thuiswerken.

Een goede voorbereiding is het halve werk

Conclusie van dit verhaal: wees je bewust van de gevaren en probeer je bedrijf er zo goed mogelijk tegen te beschermen. Want ja, ook jouw data kan waardevol zijn voor anderen. Besteed dus voldoende aandacht aan databeveiliging en zorg voor een concreet actieplan. Zo verklein je de kans op een datalek.

BE Select your country