,

Zorg voor een onafhankelijke privacy officer!

Verantwoordelijkheid moet belegd worden. Een privacy officer moet de directie advies kunnen geven over dataprotectie en de Raad van Bestuur in een bepaalde richting kunnen sturen.

U kunt hiervoor het beste een dedicated iemand aanwijzen die er verstand van heeft en verantwoordelijkheid durft te nemen. Heeft u niet zo snel iemand die dit voor uw organisatie zou kunnen doen? U kunt altijd overwegen om een derde partij in te schakelen. Zo weet u zeker dat het advies dat u krijgt onafhankelijk is, omdat er geen bedrijfsbelangen meespelen.

,

Tip #5: Het gevoel ‘hier klopt iets niet’ …… klopt meestal!

Social engineering of social hacking, is een techniek waarbij geprobeerd wordt een cyberaanval op computersystemen in te zetten door de zwakste schakel in de computerbeveiliging te kraken: de mens. De aanval is gericht op het verkrijgen van vertrouwelijke of geheime informatie, waarmee de hacker dichter bij het aan te vallen object kan komen.

De diverse social engineering technieken hebben één gemeenschappelijk kenmerk: de aanvaller doet zichzelf voor als iemand anders. Het doel? Mensen, door middel van manipulatie, bepaalde handelingen laten verrichten, dan wel vertrouwelijke of geheime informatie te ontfutselen. Daarbij kan gebruikt worden gemaakt van menselijke ‘zwakheden’ zoals hulpvaardigheid, naïviteit, nieuwsgierigheid, angst, medelijden, hebzucht, etc.

Uit de praktijk blijkt dat de meeste slachtoffers van social engineering in beginsel het stemmetje wel hoorden: ‘hier klopt iets niet’ maar deze hebben genegeerd, vaak met de gedachte ‘ik overdrijf’. Door de kunst van het ‘verleiden’ van de social engineer schakelen mensen dit gevoel uit.
Het gevoel ‘hier klopt iets niet’, klopt dus meestal. Belangrijkste maatregel tegen social engineering is het creëren van security awareness binnen de organisatie. Informeren en trainen van alle medewerkers binnen de organisatie helpt bij het herkennen van oneigenlijk gebruik. Of dit nu om digitale of om telefonische social engineering technieken gaat.

Meer weten? Neem contact op.

,

Tip #4: Geen bezoekers zonder begeleiding!

Hoewel de meeste bedrijven een vorm van bezoekersregistratie doen vanuit het oogpunt van bedrijfshulpverlening, is beveiliging hier enigszins onderbelicht. Sommige organisaties laten nog steeds leveranciers en bezoekers ter plekke toe, voordat van tevoren bekend is dat zij komen.

Misschien vindt u het ‘te veel van het goede’, maar toch blijven we binnen ON2IT – én bij onze klanten – benadrukken: In een veilige omgeving dienen bezoekers en leveranciers van tevoren te worden geregistreerd, met naam en toenaam, inclusief het tijdstip van afspraak en de contactpersoon. De ontvanger blijft persoonlijk verantwoordelijk voor de bezoeker en dient deze te begeleiden tot en met vertrek uit het pand. Sterker nog: ruimtes waar zich informatie en IT-voorzieningen bevinden, behoren voorzien te zijn van fysieke toegangsbeveiligingen. Bezoekers dienen in deze ruimtes altijd begeleid te worden!

,

Tip #3: Clean desk, documents & devices? Clear mind!

Ik blijf het herhalen: ook al heeft u alles op orde qua IT-security, houd rekening met de risico’s van ‘onbewust onbekwame’ medewerkers als het gaat om informatiebeveiliging! De basisregels?

  • Clean desk policy helpt te voorkomen dat vertrouwelijke documenten op werkplekken blijven slingeren. Onderdeel van de clean-desk policy is echter ook: zet altijd direct schermbeveiliging aan – ook bij kort verlaten van de werkplek. En ….. loop direct naar de printer in geval van afdrukken van vertrouwelijke of geheime gegevens!
  • Maak medewerkers ervan bewust dat ICT apparatuur gebruikt mag worden als ‘goed huisvader’: een laptop onzichtbaar in een kofferbak is ook te traceren voor kwaad willenden!
  • Vergroot het bewustzijn over informatiebeveiliging bij medewerkers. Blijf de regels herhalen en help ze ‘wennen’ aan een clear mind op het gebied omgang met geheime en vertrouwelijke bedrijfsinformatie.

De (nieuwe) wet- en regelgeving heeft steeds meer impact op omgang met privacy gevoelige gegevens, dus ook op het bewustzijn hierover bij medewerkers. In dat kader verzorgt ON2IT ‘awareness assessments’. Neem contact op voor meer informatie >>

,

Tip #2: Classificeer informatie en handel ernaar

Natuurlijk behandelt u informatie, apparatuur en personeel van klanten en uw organisatie altijd zorgvuldig. Maar zorg ook dat informatie is geclassificeerd en handel hiernaar, daarvoor doet u per slot van rekening aan informatiebeveiliging. Verlies of diefstal van informatie kan invloed hebben op bedrijfseconomische aspecten zoals concurrentiepositie, imago en kostenaspecten. Een informatiebeveiligingsincident is dus als informatie, apparatuur of personeel op plekken terecht komt waar deze niet hoort of gevaar loopt. Vraag ons om een classificatieschema met bijbehorende regels als u deze nog niet op orde heeft.

,

Tip #1: Wachtwoorden, een noodzakelijk kwaad

Wachtwoorden voor welke applicatie dan ook, moeten uniek zijn. Nog liever een zin dan een woord. Omdat iedere applicatie tegenwoordig een wachtwoord nodig heeft, is het handig om een wachtwoord manager te gebruiken zoals LastPass of KeePass. Dit is het veiligst in combinatie met een afzonderlijke verificatie per telefoon.