Ondernemen

Data security | Hoe goed is uw data beveiligd?

Data security | Hoe goed is uw data beveiligd?
Elk bedrijf beschikt over data. En dat maakt van elk bedrijf een mogelijk doelwit voor hackers. Ja, ook uw bedrijf. En nee, dat zal niet ‘vast wel meevallen’. U denkt misschien dat de gegevens binnen uw bedrijf voor anderen geen waarde hebben. Maar geloof me: doorgewinterde hackers hebben het ook op u gemunt. Daarom is het belangrijk dat u de risico’s in kaart brengt en maatregelen neemt om uw data zo goed mogelijk te beveiligen. Ook binnen Exact staat databeveiliging hoog op de agenda. In dit artikel vertelt Jack Krul, Chief Information Security Officer bij Exact, u over het stappenplan dat zij toepassen en wat u daarvan heel gemakkelijk kunt overnemen voor uw bedrijf.

1. Welke risico’s liggen op de loer?

Breng eerst in kaart welke data binnen uw bedrijf circuleren. Met data bedoel ik de breedste zin van het woord: van bouwtechnische tekeningen tot klantgegevens en informatie over strategische leveranciers. Bedenk vervolgens waarom iemand die data zou willen hebben en wat ze ermee kunnen aanvangen. Kunnen ze dit verrijken met andere data om er waardevolle informatie van te maken?

2. Wie kan u allemaal aanvallen?

Als u die risico’s in kaart hebt gebracht, kunt u afwegen wie uw bedrijf mogelijk kan aanvallen. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) maakt daarbij een onderscheid tussen acht 8 actoren en hun intenties. Met welke actoren u rekening moet houden, is afhankelijk van het type bedrijf en het type data dat uw bedrijf bezit. Voor Exact bijvoorbeeld vormen interne actoren en script kiddies het grootste risico.

NCSC actoren en intenties
Bron: NCSC

3. Hoe beveiligt u uw data?

Binnen een bedrijf werkt u met verschillende systemen waarin gegevens worden opgeslagen. De laatste stap is om voor elk systeem te bepalen of er extra beveiliging nodig is en hoe u dit aanpakt. Als u dit in kaart hebt gebracht, kunt u een concreet actieplan maken en zo het risico verminderen tot op een niveau dat u als ondernemer toelaatbaar vindt. In een ideale wereld wilt u natuurlijk al uw data en systemen kunnen beveiligen. Maar in de praktijk is dat een utopie: er is geen enkel bedrijf dat alle data en systemen beveiligt. Begin daarom met de belangrijkste data en systemen.

Dit is iets waarover u continu moet blijven nadenken. Plan hiervoor minstens één keer per jaar een evaluatiemoment in – of binnen een snelgroeiende organisatie zelfs vaker.

Data security: de grootste gevaren in de dagelijkse praktijk

Wees gerust, een gemiddelde kmo moet normaal niet bang te zijn voor een grootschalige DDoS-aanval. Maar dat betekent niet dat u geen kans loopt op een datalek. In de dagelijkse praktijk zijn er namelijk ook flink wat gevaren waarmee u rekening moet houden op het vlak van databeveiliging.

Wachtwoorden van medewerkers

Via hun computer hebben medewerkers toegang tot veel bedrijfsdata. De enige beveiliging die hier vaak op zit, zijn hun zelf aangemaakte wachtwoorden. Helaas zijn die wachtwoorden dikwijls veel te makkelijk. Zo bevatten ze bijvoorbeeld persoonlijke informatie of soms zelfs de bedrijfsnaam. En ook wordt regelmatig hetzelfde wachtwoord voor verschillende systemen gebruikt. “Da’s tenminste gemakkelijk om te onthouden”, wordt dan gedacht. Klopt, maar daardoor zijn ze dus ook heel eenvoudig te hacken!

Hamer er daarom op dat medewerkers gebruik maken van een password manager. Je hebt dan één (bij voorkeur heel complex) wachtwoord dat je moet onthouden; alle andere wachtwoorden worden automatisch aangemaakt en geüpdatet. Dit is een stuk veiliger.

Maak ook gebruik van two-factor authentication – kortweg 2FA. U voegt dan naast het wachtwoord een tweede stap in om te kunnen inloggen, bijvoorbeeld een sms-code die u ook nog moet invoeren. 2FA is vooral heel belangrijk bij de toegang tot uw mail. Want als u van een willekeurig systeem het wachtwoord wilt aanpassen, dan gaat dat via een ‘wachtwoord vergeten mail’.

Servers die niet geüpdatet zijn

Binnen bedrijven worden vaak allerlei redenen opgesomd om servers niet automatisch te updaten, terwijl dit juist heel belangrijk is. Een server die regelmatig wordt geüpdatet, is namelijk beter beveiligd tegen hackers. Maak hierover dus afspraken met uw leveranciers en wie intern verantwoordelijk is. Houd uw serverhygiëne op peil en laat ook minstens één keer per half jaar de routers en wifi-systemen nakijken. Zijn de protocollen die u daarvoor gebruikt nog steeds veilig? Moet het wachtwoord geüpdatet worden?

Gratis tools

Let op waar u uw data opslaat. Gratis bestaat niet. Dus als u uw gegevens opslaat via een gratis service zoals Dropbox, besef dan dat daar een verdienmodel achter zit, bijvoorbeeld analyse van metadata. Die data verkopen dit soort bedrijven aan andere partijen om geld te verdienen binnen de wettelijke kaders. Sla gevoelige data dus niet op via gratis services maar ga voor betaalde services of systemen die binnen uw omgeving draaien en binnen uw beïnvloedingssfeer liggen.

Dit geldt niet alleen voor opslag, maar zeker ook voor communicatietools. Zo wordt de gratis tool Houseparty momenteel veel gebruikt om te videobellen. Wat veel mensen niet weten, is dat u bij uw akkoord op de algemene voorwaarden toestemming geeft om contacten van uw laptop of telefoon te laten lezen én dat Houseparty uw videobeelden mag gebruiken voor commerciële doeleinden. Wees dus voorzichtig met welke applicaties u gebruikt en check altijd eerst het risico. Bronnen zoals Autoriteit Persoonsgegevens (AP) en NCSC delen hierover tips op hun websites.

Phishing

Phishingmails en -telefoontjes zijn misschien wel de meest bekende vorm van internetfraude. We zijn er allemaal van overtuigd dat we er niet in trappen, maar toch is phishing nog steeds een van de grootste oorzaken van datalekken. En dat is niet verwonderlijk want phishers worden steeds slimmer en sluwer. Zo gebeurt phishing ook steeds meer via Whatsapp, bijvoorbeeld met de vraag of u een bepaald geldbedrag wilt overmaken. Maak medewerkers hierop alert en leg uit hoe ze moeten handelen als ze vermoeden dat ze met phishing te maken hebben.

Onveilig omgaan met data (buiten de deur)

Werken medewerkers buiten kantoor, zorg dan dat ze dit op een veilige manier doen. Werkt iemand in een koffiebar, maak dan duidelijk dat zij hun laptop of bedrijfsdocumenten niet onbeheerd mogen achterlaten tijdens een toiletbezoek. En als zij op trein, tram of bus werken, zorg dan voor een privacyfilter op het scherm. Mensen met verkeerde intenties kunnen aan een korte blik op het scherm al genoeg hebben. Zorg ook dat u gebruik maakt van een VPN, zodat u zeker weet dat de verbinding veilig is. Dat is ook heel belangrijk nu veel mensen thuiswerken.

Een goede voorbereiding is het halve werk

Conclusie van dit verhaal: wees u bewust van de gevaren en probeer uw bedrijf er zo goed mogelijk tegen te beschermen. Want ja, ook uw data kan waardevol zijn voor anderen. Besteed dus voldoende aandacht aan databeveiliging en zorg voor een concreet actieplan. Zo verkleint u de kans op een datalek.

Author image
Jack Krul

Dit artikel is geschreven door Jack Krul. Jack is Chief Information & Security Officer bij Exact. Binnen Exact staat veiligheid hoog op de agenda en doen we er alles aan om de data van onze klanten zo goed mogelijk te beschermen.

BE Select your country