Bron:
NCSC
3. Hoe beveilig jij jouw data?
Binnen een bedrijf werk je met verschillende systemen waarin gegevens worden opgeslagen. De laatste stap is om voor elk systeem te bepalen of er extra beveiliging nodig is en hoe je dit aanpakt. Als je dit in kaart hebt gebracht, kun je een concreet actieplan maken en zo het risico verminderen tot op een niveau dat je als ondernemer toelaatbaar vindt. In een ideale wereld wil je natuurlijk al je data en systemen kunnen beveiligen. Maar in de praktijk is dat een utopie: er is geen enkel bedrijf dat alle data en systemen beveiligt. Begin daarom met de belangrijkste data en systemen.
Dit is iets waarover je continu moet blijven nadenken. Plan hiervoor minstens één keer per jaar een evaluatiemoment in – of binnen een snelgroeiende organisatie zelfs vaker.
Data security: de grootste gevaren in de dagelijkse praktijk
Wees gerust, een gemiddelde kmo moet normaal niet bang te zijn voor een grootschalige DDoS-aanval. Maar dat betekent niet dat je geen kans loopt op een datalek. In de dagelijkse praktijk zijn er namelijk ook flink wat gevaren waarmee je rekening moet houden op het vlak van databeveiliging.
Wachtwoorden van medewerkers
Via hun computer hebben medewerkers toegang tot veel bedrijfsdata. De enige beveiliging die hier vaak op zit, zijn hun zelf aangemaakte wachtwoorden. Helaas zijn die wachtwoorden dikwijls veel te makkelijk. Zo bevatten ze bijvoorbeeld persoonlijke informatie of soms zelfs de bedrijfsnaam. En ook wordt regelmatig hetzelfde wachtwoord voor verschillende systemen gebruikt. “Da’s tenminste gemakkelijk om te onthouden”, wordt dan gedacht. Klopt, maar daardoor zijn ze dus ook heel eenvoudig te hacken!
Hamer er daarom op dat medewerkers gebruik maken van een password manager. Je hebt dan één (bij voorkeur heel complex) wachtwoord dat je moet onthouden; alle andere wachtwoorden worden automatisch aangemaakt en geüpdatet. Dit is een stuk veiliger.
Maak ook gebruik van two-factor authentication – kortweg 2FA. Je voegt dan naast het wachtwoord een tweede stap in om te kunnen inloggen, bijvoorbeeld een sms-code die je ook nog moet invoeren. 2FA is vooral heel belangrijk bij de toegang tot je mail. Want als je van een willekeurig systeem het wachtwoord wilt aanpassen, dan gaat dat via een ‘wachtwoord vergeten mail’.
Servers die niet geüpdatet zijn
Binnen bedrijven worden vaak allerlei redenen opgesomd om servers niet automatisch te updaten, terwijl dit juist heel belangrijk is. Een server die regelmatig wordt geüpdatet, is namelijk beter beveiligd tegen hackers. Maak hierover dus afspraken met je leveranciers en wie intern verantwoordelijk is. Houd je serverhygiëne op peil en laat ook minstens één keer per half jaar de routers en wifi-systemen nakijken. Zijn de protocollen die je daarvoor gebruikt nog steeds veilig? Moet het wachtwoord geüpdatet worden?
Gratis tools
Let op waar je jouw data opslaat. Gratis bestaat niet. Dus als je jouw gegevens opslaat via een gratis service zoals Dropbox, besef dan dat daar een verdienmodel achter zit, bijvoorbeeld analyse van metadata. Die data verkopen dit soort bedrijven aan andere partijen om geld te verdienen binnen de wettelijke kaders. Sla gevoelige data dus niet op via gratis services maar ga voor betaalde services of systemen die binnen je omgeving draaien en binnen je beïnvloedingssfeer liggen.
Dit geldt niet alleen voor opslag, maar zeker ook voor communicatietools. Zo wordt de gratis tool Houseparty momenteel veel gebruikt om te videobellen. Wat veel mensen niet weten, is dat je bij jouw akkoord op de algemene voorwaarden toestemming geeft om contacten van je laptop of telefoon te laten lezen én dat Houseparty je videobeelden mag gebruiken voor commerciële doeleinden. Wees dus voorzichtig met welke applicaties je gebruikt en check altijd eerst het risico. Bronnen zoals Autoriteit Persoonsgegevens (AP) en NCSC delen hierover tips op hun websites.
Phishing
Phishingmails en -telefoontjes zijn misschien wel de meest bekende vorm van internetfraude. We zijn er allemaal van overtuigd dat we er niet in trappen, maar toch is phishing nog steeds een van de grootste oorzaken van datalekken. En dat is niet verwonderlijk want phishers worden steeds slimmer en sluwer. Zo gebeurt phishing ook steeds meer via Whatsapp, bijvoorbeeld met de vraag of je een bepaald geldbedrag wilt overmaken. Maak medewerkers hierop alert en leg uit hoe ze moeten handelen als ze vermoeden dat ze met phishing te maken hebben.
Onveilig omgaan met data (buiten de deur)
Werken medewerkers buiten kantoor, zorg dan dat ze dit op een veilige manier doen. Werkt iemand in een koffiebar, maak dan duidelijk dat zij hun laptop of bedrijfsdocumenten niet onbeheerd mogen achterlaten tijdens een toiletbezoek. En als zij op trein, tram of bus werken, zorg dan voor een privacyfilter op het scherm. Mensen met verkeerde intenties kunnen aan een korte blik op het scherm al genoeg hebben. Zorg ook dat je gebruikmaakt van een VPN, zodat je zeker weet dat de verbinding veilig is. Dat is ook heel belangrijk nu veel mensen thuiswerken.
Een goede voorbereiding is het halve werk
Conclusie van dit verhaal: wees je bewust van de gevaren en probeer je bedrijf er zo goed mogelijk tegen te beschermen. Want ja, ook jouw data kan waardevol zijn voor anderen. Besteed dus voldoende aandacht aan databeveiliging en zorg voor een concreet actieplan. Zo verklein je de kans op een datalek.