Aanpak van cybersecurity

In de Zakenmarkt van juni 2022 hebben we aandacht besteed aan ‘the human factor’ bij cybersecurity. Cyberincidenten zijn vaak in meer of mindere mate toe te schrijven aan menselijk gedrag. Denk aan te zwakke wachtwoorden. Onbetrouwbare e-mails / hyperlinks openen, etc. Maar ook gebrek aan handhaving kan een belangrijke rol spelen. 

Beheersmaatregelen cybersecurity

Om menselijk gedrag te beheersen is van belang dat gedrag wordt bevorderd, preventieve maatregelen worden genomen en wordt gehandhaafd. En dat moet onderdeel worden van cybersecurity; een effectief organisatiebeleid, als ‘verdediging’ tegen cyberincidenten.

Stap 1 – inventarisatie

Om iets te ‘beheersen’ of te ‘beveiligen’, moet je wel weten wat je probeert te beveiligen. Maar ook met welk doel je dat wilt doen. Van belang is dan ook om als eerste en inventarisatie te maken van alle IT infrastructuur. Daar bedoelen we bijvoorbeeld de volgende onderdelen mee:

  • Hardware (dus computers, laptops, netwerk apparatuur, servers, etc.)
  • Software (programma’s zowel online als offline)
  • Websites / CRM
  • Beveiligingssystemen (toegangscontrole/videobewaking)

Documenteer deze onderdelen ook (merk, type, functie, locatie, etc.). 

Stap 2 – Afbreukrisico

In het kader van beheersing is verder van belang om het afbreukrisico na te gaan van de IT assets. Je kunt deze indelen in twee of meerdere groepen, bijvoorbeeld:

  • Kritiek: dat zijn onderdelen die bij storingen direct de continuïteit van je onderneming in gevaar kunnen brengen zijn kritiek.
  • Niet kritiek: dat zijn onderdelen die bij storingen geen bedreiging vormen voor de continuïteit van je onderneming. 

Stap 3 – Verantwoordelijke cybersecurity

Bij cybersecurity is ook van belang dat iemand verantwoordelijk wordt gemaakt voor de (onderdelen van de) IT infrastructuur. Deze verantwoordelijke heeft een aantal taken:

  • Het op orde brengen en houden van de inventarislijst
  • Eerste aanspreekpunt bij vragen of incidenten

Stap 4 – Toegangsbeleid

Om een IT infrastructuur te beheersen is essentieel dat er een toegangsbeleid bestaat. Dat is een beleid waarmee je een IT infrastructuur beschermt tegen ongeoorloofd gebruik (intern en extern) en cyberaanvallen. Je kunt hier concreet denken aan een wachtwoordbeleid. Maar het gaat verder. Met een toegangsbeleid breng je in kaart:

  • Welke processen, rollen en verantwoordelijkheden er zijn
  • Wie de gebruikers zijn en hun identiteit
  • Welke gebruike welke rechten heeft in welk proces, wanneer die rechten worden toegekend en wanneer ingetrokken

Stap 5 – Beveiligingsbeleid 

Bij stap 1 en 2 zijn de onderdelen van een IT infrastructuur in kaart gebracht. Ook zijn ze ingedeeld in risicoklassen. 

Aangezien je nu weet dat bepaalde systemen essentieel zijn voor de continuïteit, is ook van belang om deze systemen te beveiligen. In het beleid omschrijf je wat de belangrijkste risico’s zijn. Maar ook hoe je die afdekt. Het beveiligingsbeleid dien je ook vast te leggen. Maar ook te worden goedgekeurd door de juiste personen en te worden uitgevoerd. 

Stap 6 – Communicatie cybersecurity

Dat een beleid bestaat wil niet zeggen dat het ook wordt uitgevoerd. Van belang is dan ook dat er interne communicatie bestaat met gebruikers van de IT infrastructuur. Zorg ervoor dat iedereen weet wat het beleid inhoud, wat wel mag en wat niet mag.

En de kracht van reclame zit in communicatie. Zorg ervoor dat je periodiek informatie over het beleid deelt. Bijvoorbeeld tijdens teambijeenkomsten, of via interne nieuwsbrieven. 

En loopt er iets niet volgens het beleid? Spreek de betreffende persoon er ook op aan en stuur bij. 

Stap 7 – privacy

Hou ook rekening met de gevolgen van een cybersecuritybeleid voor privacy. Met name het toegangsbeleid bevat immers verwerkingen van persoonsgegevens. Die verwerkingen moet je ook opnemen in een verwerkingsregister. Ze zijn immers structureel van aard. Wordt het verwerkingsregister bijgewerkt? Dan raakt dat mogelijk ook andere documenten. Zo is het zaak om het privacybeleid en het privacystatement bijvoorbeeld te herzien.

Stap 8 – cyclus

Beheersmaatregelen neem je niet eenmalig. Zorg ervoor dat beleid cyclisch is en periodiek wordt herzien, verbeterd, etc. Organisaties veranderen. IT infrastructuren veranderen ook. Bij wijzigingen is het van belang om direct ook het beleid daarop zo nodig te herzien. Maar het is zeker ook van belang om zo’n beleid periodiek te herzien op vaste momenten, bijvoorbeeld na de zomervakantie. 

Vragen?

Heb je hulp nodig bij het opzetten van een cybersecuritybeleid of vragen n.a.v. dit artikel? Neem dan gerust contact op. 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *