Digitale risicobeheersing: hoe doe je dat als je geen IT-bedrijf bent?

4 minuten leestijd
Digitale risicobeheersing - hoe doe je dat als je geen IT-bedrijf bent

Regelmatig horen we nieuwe berichten over cybercriminelen die creditcardgegevens hebben gestolen of wachtwoorden van klanten die op straat komen te liggen. De eerste reactie is vaak: hoe heeft die organisatie het zo ver laten komen? Maar de inrichting van je digitale risicobeheersing is nog niet zo gemakkelijk als je geen IT-bedrijf bent.


Een geschikt doelwit voor een cyberaanval blijkt snel gevonden. Lijsten met interne IP-adressen worden extern gepubliceerd, publieke websites tonen alle medewerkers inclusief werkdetails of de fileserver bij een hostingpartij blijkt onveilig. Ogenschijnlijk kleine kwesties kunnen al snel leiden tot een aanval via phishingmails of social engineering. Het is dus van groot belang om je als organisatie te wapenen met een krachtig plan voor digitale risicobeheersing.

Cyberaanval: een offensieve actie die zich richt op digitale informatiesystemen, netwerken, infrastructuur of persoonlijke apparatuur.

Wat motiveert een cyberaanvaller?

Een aanvaller is een persoon of groep die probeert ongeautoriseerd toegang te verkrijgen tot data, functies of andere afgeschermde systeemdelen, vaak met een kwaadaardig doel. Meestal is het een snelle manier om geld te verdienen. Ze zetten ransomware in om bedrijven af te persen of dreigen gestolen gegevens te verspreiden of verkopen als ze niet op tijd worden uitbetaald. Zogenaamde cyberterroristen willen juist angst en chaos creëren door maatschappelijke ontwrichting te veroorzaken. Cybercriminaliteit wordt ook ingezet om politieke redenen, bijvoorbeeld om een statement te maken of tegenstanders uit te schakelen (cyberwarfare). En soms is het de kwaadwillenden simpelweg om de naamsbekendheid te doen.

NIST-model voor cybersecurity

Door op de juiste manier te investeren in cybersecurity bespaar je op de kosten die worden veroorzaakt door een beveiligingsincident. Een handig hulpmiddel hiervoor is het NIST-model, ontwikkelt door de National Institute of Standards and Technology. Dit model biedt een set securitymaatregelen waarmee je de cybersecurity van elke organisatie kunt inrichten.

NIST-model
  1. Herken risico’s voor systemen, mensen, activa, gegevens en mogelijkheden.
  2. Bescherm door passende maatregelen te treffen.
  3. Detecteer het optreden van een cyberbeveiligingsgebeurtenis.
  4. Reageer door passende actie te ondernemen op een gedetecteerde gebeurtenis.
  5. Herstel van een cybersecurity-incident met een voorbedachte en planmatige aanpak en evaluatie.
Created with Sketch.
Mike van Eck
Mike van Eck Product Owner cybersecurity

Wegwijzer voor informatiebeveiliging

Het belangrijkste advies dat ik kan geven is: ga niet als een kip zonder kop te werk, maar pak het gestructureerd aan. Stel jezelf eerst een aantal vragen:

  • Waarom investeren we in informatiebeveiliging? Vaak hebben organisaties een wettelijke plicht om dit in te richten, bijvoorbeeld vanuit de AVG. Maar het is ook van belang om te voldoen aan bepaalde certificeringen en normen, zoals de NEN of de ISO. Bovendien verwachten klanten, cliënten en zelfs leveranciers een bepaalde mate van vertrouwelijkheid.
  • Wat wil je voorkomen? Je moet er niet aan denken dat je zorgvuldig opgebouwde bedrijf imagoschade oploopt door een datalek.
  • Welke risico’s loop je? Meten is weten! Het belangrijkste doel is om een veilige werkomgeving te bieden voor de bedrijfsvoering, medewerkers en relaties.

Digitale risicobeheersing in de praktijk

Maar hoe verbeter je de weerbaarheid tegen informatiebeveiligingsincidenten in de praktijk? Het belangrijkste is om je te laten begeleiden door een specialist die inzicht geeft in de risico’s en de gewenste eisen (BIV-classificatie). Aan de hand van een checklist inventariseert een securitypartner de huidige status van je ICT-voorzieningen, bedrijfsprocessen en personeel. Vervolgens wordt op basis van het risiconiveau bepaald waar de prioriteit ligt. Hieruit volgt een roadmap met de gewenste en benodigde verbeteracties. De belangrijkste securitymaatregelen moeten uiteraard als eerste worden geïmplementeerd. En een goede digitale risicobeheersing is nooit klaar. Herhaal deze handelingen regelmatig om te zorgen dat je ICT-omgeving altijd optimaal veilig is. Zo wordt informatiebeveiliging een vast onderdeel van je bedrijfsvoering.

De belangrijkste verbetermaatregelen

De mogelijkheden om je digitale risico’s te beperken lijken eindeloos. Waar te beginnen? We helpen je vast op weg met een aantal belangrijke verbetermaatregelen. De eerste is misschien wel meteen de meest effectieve: awareness. Wist je dat maar liefst 95 procent van alle beveiligingsfouten wordt veroorzaakt door menselijk handelen? De veiligheid van jouw organisatie valt of staat dus eigenlijk met het bewustzijn van je medewerkers. Leer ze waarom en vooral hoe ze veilig werken en waar ze op moeten letten. Tref daarnaast de juiste maatregelen om te zorgen dat aanvallen je organisatie niet binnenkomen. Een sterke tooling voor e-mailsecurity is onmisbaar. Multi-factor authenticatie (MFA) beperkt potentieel misbruik en gebruikersaccounts. En een goed ingericht Identity & Access Management verlaagt de beheerlast en borgt de integriteit en vertrouwelijkheid van je organisatie.

Kun je wel wat hulp gebruiken?

Digitale risicobeheersing vraagt om een brede en geïntegreerde aanpak. Zakt de moed je al in de schoenen? Geen nood! Ons expertiseteam staat voor je klaar. In een interactieve workshop verkrijgen we inzicht in de beveiligingsrisico’s, eisen en verbeteracties voor jouw organisatie. Neem vrijblijvend contact met ons op voor een kennismaking.