Data security | Hoe goed is jouw data beveiligd?

Elk bedrijf beschikt over data. En daarmee is elk bedrijf een mogelijk doelwit voor hackers. Ja, ook jouw bedrijf. En nee, dat zal niet ‘vast wel meevallen’. Jij denkt misschien dat de data binnen je bedrijf voor anderen niet van waarde is. Maar geloof me: doorgewinterde hackers hebben het ook op jou gemunt. Daarom is het belangrijk dat je de risico’s in kaart brengt. Aan de hand daarvan kun je maatregelen treffen om je data zo goed mogelijk te beveiligen. Ook binnen Exact staat data security hoog op de agenda. In dit artikel vertel ik je over het stappenplan dat wij toepassen en wat jij zo kunt overnemen voor jouw bedrijf.

1. Welke risico’s liggen er op de loer?

Breng eerst in kaart welke data er binnen je bedrijf aanwezig is. En dan bedoel ik data in de breedste zin van het woord: van bouwtechnische tekeningen tot klantdata en informatie over strategische leveranciers. Bedenk vervolgens waarom iemand die data zou willen hebben en wat diegene ermee kan. Kunnen ze dit verrijken met andere data om er waardevolle informatie van de maken?

2. Wie kunnen mij aanvallen?

Als je de risico’s in kaart hebt gebracht, dan kun je een afweging maken van wie jouw bedrijf mogelijk kunnen aanvallen. Het Nationaal Cyber Security Centrum (NCSC) maakt daarbij een onderscheid in 8 actoren met daarbij hun intenties. Met welke actoren jij rekening moet houden, is afhankelijk van het type bedrijf en het type data dat jouw bedrijf bezit. Voor Exact vormen interne actoren en script kiddies bijvoorbeeld het grootste risico.

Bron: NCSC

3. Hoe beveilig ik mijn data?

Binnen een bedrijf werk je met verschillende systemen waarin data wordt opgeslagen. De laatste stap is om voor elk systeem te bepalen of er extra beveiliging nodig is en hoe je dit aanpakt. Als je dit in kaart hebt, dan kun je een concreet data security actieplan maken. Zo breng je het risico terug tot een niveau wat jij als ondernemer toelaatbaar vindt. In de ideale wereld wil je al je data en systemen kunnen beveiligen. In de praktijk is dit een utopie; er is geen enkel bedrijf wat alle data en systemen beveiligt. Begin daarom met de belangrijkste data en systemen.

Data security is iets waar je continu over na moet blijven denken. Plan hier minimaal 1 keer per jaar een evaluatiemoment voor in – of binnen een snelgroeiende organisatie zelfs vaker.

Data security: de grootste gevaren in de dagelijkse praktijk

Wees gerust, het gemiddelde MKB-bedrijf hoeft over het algemeen niet bang te zijn voor een grootschalige DDoS-aanval. Maar dat betekent niet dat je minder kans loopt op een datalek. In de dagelijkse praktijk zijn er namelijk ook flink wat gevaren waarmee je rekening moet houden op het gebied van data security.

Wachtwoorden van medewerkers

Via hun computer hebben medewerkers toegang tot veel bedrijfsdata. De enige beveiliging die hier vaak op zit, zijn hun zelf aangemaakte wachtwoorden. Helaas zijn zulke wachtwoorden vaak veel te makkelijk. Zo bevatten ze bijvoorbeeld persoonlijke informatie of soms zelfs de bedrijfsnaam. En ook wordt vaak hetzelfde wachtwoord voor verschillende systemen gebruikt. “Lekker makkelijk te onthouden”, wordt dan gedacht. Klopt, maar dus ook lekker makkelijk te hacken!

Hamer er daarom op dat medewerkers gebruik maken van een password manager. Je hebt dan 1 (bij voorkeur heel complex) wachtwoord wat je moet onthouden; de andere wachtwoorden worden automatisch aangemaakt en geüpdatet. Dit is een stuk veiliger.

Maak ook gebruik van two factor authentication – kortweg 2FA. Je voegt dan naast het wachtwoord een tweede stap in om in te kunnen loggen, bijvoorbeeld een sms-code die je moet invoeren. 2FA is vooral heel belangrijk bij de toegang tot je mail. Want wil je van een willekeurig systeem het wachtwoord aanpassen, dan gaat dat via een ‘wachtwoord vergeten mail’.

Servers die niet geüpdatet zijn

Binnen bedrijven worden vaak allerlei redenen genoemd om servers niet automatisch te updaten, terwijl dit juist heel belangrijk is. Een server die regelmatig wordt geüpdatet, is namelijk beter beveiligd tegen hackers. Maak hier dus afspraken over met je leveranciers en degene die intern verantwoordelijk is. Houd de hygiëne op peil en laat ook minimaal 1 keer per half jaar de routers en wifi-systemen nakijken. Zijn de protocollen die je daarvoor gebruikt nog steeds veilig? En moet het wachtwoord geüpdatet worden?

Gratis tools

Let op waar je je data opslaat. Gratis bestaat niet. Dus sla je je data op via een gratis service als Dropbox, besef je dan dat daar een verdienmodel achter zit, bijvoorbeeld analyse van metadata. Deze data verkopen dit soort bedrijven aan andere partijen om geld te verdienen binnen de wettelijke kaders. Sla gevoelige data dus niet op via gratis services, maar ga voor betaalde services of systemen die binnen jouw omgeving draaien en binnen jouw beïnvloedingssfeer liggen.

Dit geldt niet alleen voor opslag, maar zeker ook voor communicatietools. Zo wordt de gratis tool Houseparty momenteel veel gebruikt om te videobellen. Wat veel mensen niet weten, is dat je bij het akkoord gaan met de algemene voorwaarden toestemming geeft om contacten van je laptop of telefoon uit te lezen. En dat Houseparty jouw videobeelden mag gebruiken voor commerciële doeleinden. Wees dus beducht op welke applicaties je gebruikt en check altijd eerst het risico. Bronnen als Autoriteit Persoonsgegevens (AP) en NCSC delen hierover tips op hun websites.

Phishing

Phishingmails en –telefoontjes zijn misschien wel de meest bekende vorm van internetfraude. We zijn er allemaal van overtuigd dat we er niet in trappen, maar toch is phishing nog steeds een van de grootste oorzaken van datalekken. En dat is niet vreemd, want phishers worden steeds slimmer en sluwer. Zo gebeurt phishing ook steeds meer via Whatsapp, bijvoorbeeld met de vraag of je een bepaald geldbedrag wilt overmaken. Maak medewerkers hier alert op en leg uit hoe ze moeten handelen als ze vermoeden dat ze met phishing te maken hebben.

Onveilig omgaan met data (buiten de deur)

Werken medewerkers buiten de deur, zorg dan dat ze dit op een veilige manier doen. Werkt iemand in een koffiebarretje, maak diegene dan duidelijk dat hij/zij de laptop of bedrijfsdocumenten niet onbeheerd mag achterlaten tijdens een toiletbezoek. En werkt iemand in het OV, zorg dan voor een privacyfilter op het scherm. Mensen met verkeerde intenties kunnen aan een korte blik op het scherm al genoeg hebben. Zorg ook dat je gebruik maakt van een VPN, zodat je zeker weet dat de verbinding veilig is. Dat is ook heel belangrijk nu veel mensen thuiswerken.

Een goede voorbereiding is het halve werk

Conclusie van dit verhaal: wees je bewust van de gevaren en probeer je bedrijf hier zo goed mogelijk tegen te beschermen. Want ja, ook jouw data kan waardevol zijn voor anderen. Besteed dus voldoende aandacht aan data security en zorg voor een concreet actieplan. Zo verklein je de kans op een datalek.