Wacht niet tot het kalf verdronken is, zorg voor databeveiliging

Bram-Nawijn

‘Als het kalf verdronken is, dempt men de put.’ We denken vaak pas aan de beveiliging van data als we slachtoffer zijn geworden van een aanval. Het beveiligen van data zou echter continu on top of mind van iedere organisatie moeten zijn. Alle medewerkers, ongeacht hun rol of niveau, moeten zich bewust zijn van het belang van gegevensbeveiliging. Het is zaak dit onderwerp op de agenda te houden en steeds weer aan te stippen en aan te scherpen, zonder je medewerkers ermee dood te gooien. Hieronder tref je een aantal punten waarop je kan letten.

1. Ontbreken van een informatiebeveiligingsplan

Een informatiebeveiligingsplan is onmisbaar voor iedere organisatie. Zo’n plan moet geïnitieerd worden door het managementteam waarbij ze ook betrokken zijn bij het opstellen ervan om te waarborgen dat de data ook in de toekomst veilig zijn. Zo’n plan moet resulteren in minimaal twee oplossingen om veilig te zijn, zodat je altijd op een andere oplossing kunt terugvallen.

2. Databeveiliging is niet alleen een IT-probleem

Sommige medewerkers en managers denken dat data en technologie slechts een IT-probleem is waar zij niets mee van doen hebben. Natuurlijk hebben IT-beheerders de meeste kennis van gegevensbeveiliging, maar iedereen in de organisatie heeft verantwoordelijkheid om zorgvuldig met data om te gaan. Beveiliging afschuiven op de IT-beheerder is een gevaarlijke gedachte die gemakkelijk kan resulteren in een datalek.

3. Vertrouwen op beveiligingssoftware

Door te veel te vertrouwen op producten zoals firewalls, antivirus en anti-malware software kan een vals gevoel van veiligheid kan ontstaan. Deze producten zijn niet honderd procent veilig en het idee dat dit wel zo is maakt een organisatie kwetsbaar voor inbreuken.

4. Onvoldoende training

Iedereen, maar dan ook echt iedereen die in contact komt met de bedrijfsgegevens moet worden getraind in het veilig houden van de data. Dus niet alleen medewerkers, maar ook zakelijke partners, klanten en bedrijven in het servicenetwerk. Ze moeten allemaal op de hoogte zijn van de databeveiligingsnormen van de organisatie en deze ook naleven. Enkel een handboek over security aanreiken is onvoldoende. Mensen moeten bewust gemaakt worden en inzien dat het voor hen echt relevant is en hun werk beïnvloed als het fout gaat.

5. Niet weten waar uw gegevens zijn

Veel bedrijven hebben hun data niet in huis op een eigen server maar in een datacenter. Dat betekent echter niet dat het datacenter verantwoordelijk is voor de veiligheid van deze gegevens. De organisatie moet weten waar de gegevens worden gehost, hoe lang het daar zal blijven, waarheen het wordt verplaatst bij een eventuele verplaatsing en welke wetten en voorschriften er van toepassing zijn om deze gegevens te beschermen. Bij de keuze voor een datacenter is dit alles van belang.

6. Verschillende versleutelingstypes

Encryptie is niet overal ter wereld even sterk. Er zijn verschillen in tests en goedkeuringen door regeringen en beveiligingsbureaus over de hele wereld. Zorg ervoor dat je weet wat voor soort versleuteling de verschillende gebruikers in je gegevensnetwerk gebruiken voordat je ze je gegevens toevertrouwt.

7. Data uitwisselen via verschillende apparaten

Mensen werken tegenwoordig vaak buiten het kantoor, vanuit huis of onderweg. Hierbij wisselen ze gegevens uit tussen verschillende apparaten, bijvoorbeeld tussen smartphones, laptops en desktops. Zelfs wanneer de data zoveel mogelijk beschermd is, is er een hoger risico wanneer medewerkers hun mobiele telefoon of hun thuisnetwerk gebruiken voor hun werk. Ook bij het verzenden van e-mails naar verschillende accounts zijn er extra risico’s. Aan de organisatie de schone taak om medewerkers op de hoogte te brengen van de veiligste manieren om data uit te wisselen.

8. Slechte wachtwoorden weren

Wachtwoordgebruik is een van de eenvoudigste manieren om data te beveiligen. Organisaties die medewerkers toestaan ​​om wachtwoorden opnieuw te gebruiken of wachtwoorden te delen, kunnen in de problemen raken. Wachtwoorden die niet vaak worden gewijzigd of die te zwak zijn leveren ook risico’s op. Organisaties zouden hier dan ook strenger beleid op moeten voeren. Bij voorkeur wordt er meervoudige verificatie toegepast om de identiteit van een gebruiker vast te stellen.

9. Social engineering

Slimme mensen met slechte bedoelingen kunnen ook via een andere weg dan de techniek toegang tot data krijgen. Door eenvoudig te bellen en slim vragen te stellen kunnen ze alsnog data loskrijgen van medewerkers die hier niet op zijn voorbereid. Ook hier is training van de medewerkers de enige oplossing.

Bram Nawijn, Director Products & Services van TJIP