Cybersecurity: hoe houd je data veilig?

Cybersecurity is onmisbaar voor elk bedrijf. Toch is de uitvoering niet zo eenvoudig als het lijkt. Enerzijds bezitten organisaties genoeg kennis op het gebied van cybersecurity, anderzijds worstelen veel organisaties met het aanpakken van de online veiligheid.

Cybersecurity: hoe houd je data veilig?

Cybersecurity is onmisbaar voor elk bedrijf. Toch is de uitvoering niet zo eenvoudig als het lijkt. Enerzijds bezitten organisaties genoeg kennis op het gebied van cybersecurity, anderzijds worstelen veel organisaties met het aanpakken van de online veiligheid. Het CIO Platform Nederland besloot hun kennis hierover te bundelen in een reeks artikelen waarin het organisaties via zes stappen op weg helpt. In dit artikel behandelen we de tweede stap: hoe houd je data veilig?

Wanneer een organisatie eenmaal zijn systemen, data en andere waardevolle assets heeft geïdentificeerd, wordt het tijd om deze te beschermen tegen gevaren. Potentiële gevaren, gevaren die zowel van binnen als buiten de organisatie kunnen komen. Organisaties kunnen een aantal maatregelen nemen om het risico zo klein mogelijk te houden. We noemen een aantal voorbeelden.

Access management

Weet jij wie toegang heeft tot de verschillende systemen binnen je bedrijf? Hoogstwaarschijnlijk niet precies. Het wordt dan hoog tijd dit actief bij te houden en in te grijpen bij veranderingen binnen de organisatie. Mocht een medewerker bijvoorbeeld worden aangenomen op de administratie, dan is het handig dat deze direct in de benodigde systemen kan. Maar op het moment dat deze medewerker een andere functie binnen het bedrijf krijgt of vertrekt, is het belangrijk dat de toegang zo snel mogelijk wordt ontnomen. Dit beperkt de kans op activiteiten, per ongeluk of opzettelijk, met vergaande, vervelende gevolgen voor de organisatie.

Systeem management

Dan het systeem zelf. Het spreekt voor zich dat de verschillende systemen waar het bedrijf mee werkt continu veranderen. Het is daarom zaak om je beleid daar op tijd op aan te passen. Voor bedrijven is het aan te raden een Configuration Management Database (CMDB) bij te houden, waarin staat hoe de inrichting van elk systeem eruitziet en wat er nodig is om deze systemen draaiende te houden. Vind er een incident plaats, dan ligt er op deze manier actuele informatie voorhanden.

Encryptie

Een organisatie kan honderden maatregelen nemen, maar risico’s zijn niet volledig uit te sluiten. Encryptie van data biedt uitkomst, wat overigens verplicht is bij AVG. Mocht een derde de data in handen krijgen, dan zorgt een organisatie met encryptie ervoor dat deze versleuteld en onleesbaar is. Bijkomend voordeel: een datalek hoeft op deze wijze veelal niet te worden gemeld bij een toezichthouder.

Monitoring

Wanneer een organisatie de eerder besproken stappen heeft doorlopen, zijn de risico’s zo klein mogelijk gemaakt. Vervolgens is het aan de organisatie om het beleid te monitoren en collega’s aan te spreken als er iets dreigt mis te gaan. Als het zogenaamde ‘detecteren’ goed wordt uitgevoerd, geeft dit een groot voordeel in de ‘reageer’- en ‘herstel’-fase.

Respons

Het kan zomaar zijn dat een incident zich plotseling voordoet. Bedrijven moeten er dan voor zorgen dat het beleid wordt uitgevoerd. In dit beleid moeten duidelijke taken, procedures en escalatielijnen staan die kant-en-klaar voor de oplossing zorgen. Dan resteert voor de organisatie ‘slechts’ het uitvoeren en het minimaliseren van de negatieve gevolgen.

Benieuwd naar het complete rapport? Navigeer naar cio-platform.nl en download het document.

Verder lezen? Lees hier deel 3 "Cybersecurity: herstel na uitval?" uit de reeks.