Security awareness: het belang van goed informatiebeleid
‘Wie pakt ons nou, waarom zouden wij interessant zijn voor hackers?’ Het idee dat er elders altijd wel grotere vissen in de zee zwemmen, veroorzaakt vaak gemakzucht bij kleinere bedrijven. Maar vergis je niet: zelfs het kleinste bestandje met persoonsgegevens is voor hackers al de moeite van een inbraak waard. En bedrijven die de rode loper voor kwaadwillenden uitrollen door cybersecurity onderaan de prioriteitenlijst te zetten, lopen net zo veel risico als die grote vissen die op een goudmijn aan data zitten.
Goed securitybeleid draait om awareness
Edward van Egmond is Senior Manager IT-audit bij Noordbeek en helpt bedrijven kwetsbaarheden op te sporen in de online beveiliging. Hij doet onder andere PCI- en 3DS-audits op online betalingsverkeer en is een ‘registered IT-auditor’ voor assurance-opdrachten. Regelmatig ziet hij in de praktijk wat de effecten zijn van goed cybersecuritybeleid, maar ook wat de gevolgen kunnen zijn als het daaraan nog in meer of mindere mate schort. “Hoe vaak ik wel niet tegenkom dat iemand een nieuw modem heeft gekregen en de gebruikersnaam en het wachtwoord op ‘admin-admin’ heeft gehouden”, vertelt van Egmond. “Goed cybersecuritybeleid draait om awareness, zowel op bedrijfs- als individueel niveau.”
Security awareness is de start van preventie
Preventie begint dus bij awareness, vervolgt Van Egmond. “Zo is het bijvoorbeeld enorm belangrijk om regelmatig awarenesstrainingen te verzorgen voor medewerkers. Niet één keer per jaar het standaard opendeurenriedeltje, maar vernieuwende materie die regelmatig op een prikkelende manier herhaald wordt. Spreek bijvoorbeeld af dat cybersecurity eens in de vier weken even voorbij komt tijdens een werkoverleg. Je kunt rouleren met mensen die tijdens zo’n overleg een korte presentatie geven over een deelonderwerp, zodat ze hun eigen stokpaardje naar voren kunnen brengen. Door het thema actueel te houden, zorg je ervoor dat het niet naar de achtergrond verdwijnt. Risico’s zitten echt in een klein hoekje: de meeste mensen gebruiken op heel veel sites hetzelfde mailadres en wachtwoord. Hierdoor zijn de gevolgen al snel groot. Als ze hun gegevens intikken op onbetrouwbare websites kunnen hackers op zo’n website met een simpel scriptje het wachtwoord ‘stelen’. Daarmee kunnen ze zich toegang verschaffen op veel andere websites.
Goed informatiebeleid ontbreekt vaak
Fatsoenlijke cybersecurity valt of staat bij goed informatiebeleid, stelt Van Egmond. Informatiebeleid is de visie van de organisatie over sterke beveiliging, om zo de risico’s van onder andere ongeautoriseerde toegang te verlagen. Toch ziet hij in de praktijk nog vaak dat dat nou juist ontbreekt. “Vaak zie ik dat webwinkels die gehackt zijn, daarna snel een website veiligheidsscan doen, zoals PCI. Dan blijkt dat ze de gevonden kwetsbaarheden naar eigen inzicht beoordeeld en opgelost hebben, maar niet vertaald naar informatiebeleid. Zij denken dan dat het bij hen wel snor zit, waarna zij er later achter komen dat de beveiliging toch niet goed in elkaar zit. Juist informatiebeleid is dus van groot belang. Als medewerkers niet weten aan welke procedures ze zich moeten houden, hoe creëer je dan awareness?”
Stel goed beleid op en handel ernaar
Dus: stel goed beleid op en handel daar ook naar, luidt het devies. Awarenesstrainingen kunnen er vervolgens voor zorgen dat het beleid ook daadwerkelijk leeft, en dat medewerkers zich bewust blijven van het belang ervan. Maar hoe weet je als bedrijf nou of het beleid nog volstaat, en of de maatregelen die getroffen worden nog voldoende zijn? “Preventieve website-beveiligingsscans zijn daar heel behulpzaam bij”, vindt Van Egmond.
Met preventieve scans een extra oogje in het zeil
“Door periodiek jouw website, webapplicaties en webservers op zwakke punten en kwetsbaarheden in de beveiliging te scannen, zorg je ervoor dat er een extra oogje in het zeil gehouden wordt. Heel prettig als je eenmaal je beveiliging op orde denkt te hebben: een scan toetst iedere week of dat daadwerkelijk nog het geval is. Bij iedere technische wijziging en/of update wordt door de wekelijkse controle gescand of alles nog op orde is, of dat aanpassingen noodzakelijk zijn.
Preventieve scans zijn niets meer en niets minder dan een onderhoudshandeling voor jouw cybersecuritybeleid. Dat is jouw verantwoordelijkheid, niet die van de websitebouwer. Zie het als een APK-keuring: daarvoor geldt ook dat jij verantwoordelijk bent, niet de fabrikant van de auto. Een scan is een kleine moeite met een groot effect.
Wilt u ervaren hoe een beveiligingsscan werkt? Vraag een gratis Freemium scan aan en check uw website op een paar basis beveiligingsaspecten.