Privacy en security voorop in het nieuwe normaal

Hoewel de coronamaatregelen stapsgewijs worden versoepeld, is de kans groot dat thuiswerken een grote rol blijft spelen in de wijze waarop we ons werk inrichten. Het nieuwe normaal? Dat betekent vaker thuiswerken, minder reizen, waarbij het kantoor meer en meer als sociale ontmoetingsplek – en steeds minder als werkplek fungeert. Dat nieuwe normaal brengt uitdagingen met zich mee op het gebied van privacy en security. Waar moet je als organisatie rekening mee houden? Met het Qbit thuiswerk privacy & security stappenplan helpen we je op weg.

Geplaatst op 12 mei 2020 in Blog.

Stap 1: Breng de informatiebeveiliging aantoonbaar op orde

Hoe is de informatiebeveiliging van jouw organisatie ingeregeld tegen het licht van de coronamaatregelen? Nu je collega’s vanuit huis inloggen op je systemen en op afstand (gevoelige) informatie verwerken, is het slim om het informatieveiligheidmanagementsysteem (ISMS) van je organisatie opnieuw onder de loep te nemen. De kans is namelijk groot dat het risicoprofiel van je organisatie behoorlijk is verschoven. Want wie heeft toegang tot welke informatie, hoe wordt deze informatie uitgewisseld en waar slaan je medewerkers de informatie op? Scenario’s die voorheen als een ‘laag risico’ werden bestempeld, vormen in de huidige tijd wellicht een veel grotere bedreiging voor de informatieveiligheid. Hetzelfde geldt voor bepaalde paragrafen uit de ISO27001 of NEN7510 die je in het pre-coronatijdperk misschien als minder relevant achtte. Neem bijvoorbeeld de continuïteitsparagraaf van je ISMS. De kans dat alle beheerders binnen je organisatie tegelijkertijd uitvallen, was voorheen misschien klein. Maar met een pandemie als corona is de kans dat dit scenario optreedt reëler dan ooit – wat het risico op niet-beschikbaarheid aanzienlijk verhoogt.

De adviseurs van Qbit adviseren en ondersteunen je graag bij het actualiseren of – als je organisatie nog niet is voorzien - het opstellen van een ISO 27001 en/of NEN 7510 implementatieplan om de informatiebeveiliging en je informatieveiligheidmanagementsysteem op orde te brengen.

Stap 2: Check de veiligheid van de VPN-verbinding

De VPN-verbinding (Virtual Private Network) is een belangrijke component van de digitale infrastructuur van je organisatie. Via de VPN-verbinding wisselen medewerkers op een veilige manier gegevens uit via het internet, ook en juist als ze thuiswerken. Maar je kunt er niet zomaar vanuit gaan dat de VPN van je organisatie goed beveiligd is. De kans dat een buitenstaander doordringt in het systeem via een bug of een incorrecte versleuteling van je cookie-informatie, is reëel. Daarom is het van belang dat organisaties regelmatig testen of hun VPN daadwerkelijk veilig is en geen zwakheden kent.

Stap 3: Vergroot het bewustzijn van je medewerkers

Hoe goed je de organisatieprocessen en -procedures ook inricht en hoe secuur je je IT-omgeving met technische maatregelen ook hebt beveiligd: het succes van je informatiebeveiliging staat of valt met het gedrag van je medewerkers. En gedrag begint bij bewustzijn. Via welke kanalen versturen zij gevoelige informatie? Wat doen ze als ze een verdachte e-mail ontvangen? En wat doen ze bijvoorbeeld als ze een USB-stick vinden? Door middel van awareness trainingen vergroot je het bewustzijn van je medewerkers en verbeter je het beveiligingsbewustzijn van jouw organisatie. Zo verklein je de kans op datalekken en beveiligingsincidenten.

Stap 4: Voorkom phishing

Door frauduleuze e-mail en WhatsApp-berichten naar argeloze medewerkers te sturen, proberen hackers en oplichters organisaties binnen te dringen. Phishingmails, -telefoontjes en -websites zijn ook door je medewerkers goed te herkennen als ze weten waar ze op moeten letten:

  • De afzender. Een vreemd e-mailadres is vaak een aanwijzing voor phishing.
  • Linkjes in het (e-mail)bericht. Door niet op de link in de mail te klikken, maar met het muispijltje over de link in de e-mail te ‘hoveren’, verschijnt het webadres waarnaar de link verwijst. Hieraan zie je of het webadres niet overeenkomt met de ‘zogenaamde’ afzender.
  • Inhoud en onderwerp van de mail. Criminelen proberen persoonlijke gegevens te ontfutselen, door zich uit te geven voor je bank, een juridische instantie, een incassobureau of – de laatste maanden – het RIVM. Ook wordt er vaak directe actie gevraagd in e-mails om hoge kosten of sancties te voorkomen, iets dat dergelijke instantie niet tot nauwelijks (per mail) doen.

Helaas is deze lijst met signalen niet uitputtend; criminelen passen steeds vernuftigere methoden toe. Qbit vergroot het bewustzijn van medewerkers met behulp van een Phishing Training. We maken je collega’s weerbaar tegen phishingmails door hen (periodiek) te trainen en hun kennis up-to-date te houden.

Stap 5: Zorg dat je medewerkers ook thuis AVG proof werken

De AVG beschrijft de regels voor de omgang van persoonsgegevens. Op kantoor is die omgang wellicht goed gewaarborgd, maar hoe gaan je medewerkers om met de data die ze mee naar huis nemen? Uiteraard kun je maatregelen treffen om data bij thuiswerken te beschermen. Denk bijvoorbeeld aan richtlijnen voor het meenemen en versturen van bestanden die persoonsgegevens bevatten. Het meenemen van bestanden op een USB-stick vormt bijvoorbeeld een risico, vooral als de data op die USB-stick niet is versleuteld. Zorg er daarom voor dat je goed nadenkt over de wijze waarop medewerkers gevoelige persoonsgegevens meenemen en versturen – en zorg dat die wijze AVG-proof is. Daarnaast is het slim om medewerkers alleen in te laten loggen op bedrijfssystemen met behulp van een token of aan de hand van tweestapsverificatie.

Mens, organisatie en techniek

Ook in het nieuwe normaal blijft informatiebeveiliging een zaak van mens, organisatie en techniek. Het een kan niet zonder het ander. Wil je weten of jouw organisatie klaar is het voor ‘het nieuwe normaal’ op het gebied van privacy en security? We adviseren en ondersteunen je graag. Neem gerust contact met ons op.

Wim Mandemakers

By Wim Mandemakers

Managing Director

Heb je vragen over deze blog of onze diensten? E-mail me of bel me op +31 85 8 222 800.

Contact

Wereldwijd groeit de vraag naar cybersecurity. Qbit biedt inzicht en laat zien hoe we als partners kunnen samenwerken.

Contact ons

Newsletter