De digitalisering in Nederland is door de coronacrisis in een stroomversnelling gekomen. Scholen stapten over op online lessen, boodschappen deden we nog vaker online en thuiswerken werd de norm. Die verdere digitalisering geeft cybercriminelen veel meer ruimte om hun slag te slaan. Het zijn niet alleen grote multinationals die zich moeten wapenen tegen cybercriminaliteit. Ook kleinere organisaties kunnen slachtoffer worden van een DDoS-aanval, ransomware of phishingmails. Scherp zijn en goed op de hoogte blijven, is het devies van Martijn Broenink, strategisch IT-adviseur bij KoutersVanderMeer. En hij heeft een pragmatische insteek. Moeilijke dingen makkelijk maken ‘Er wordt vaak gedacht dat je álle data moet beveiligen’, vertelt Martijn. ‘Maar je moet juist de pijlen richten op de kritieke datastromen. Die zijn voor elk bedrijf anders. Je wil weten wat je kwetsbaarheden zijn, dat begint bij het verkrijgen van inzicht. Data Governance begint dus met de vraag: welke relevante data hebben we allemaal? Daarna gaan we gelaagdheid aanbrengen en komt de vraag: welke data zijn kritiek? Welk type data zijn nodig om de organisatie te kunnen blijven besturen en beheersen? Dat zijn de zogeheten kroonjuwelen. Door je hierop te richten, maak je het overzichtelijk en behapbaar. Bij andere data, die minder belangrijk zijn, accepteer je een zeker risico. Maar de kroonjuwelen, ja, die wil je maximaal beschermen.’ Mens, techniek en organisatie De zwakste schakel bij het beveiligen van data is veelal de mens omdat gedrag onvoorspelbaar is en mensen fouten kunnen maken. En tegelijkertijd liggen daar kansen voor de quick wins, ofwel het laaghangend fruit. Martijn licht toe: ‘Door beveiligingsupdates tijdig uit te voeren, gebruikers te stimuleren sterke wachtwoorden te gebruiken en die met regelmaat te veranderen. Maar ook door meer wederzijds begrip te creëren tussen de IT-afdeling en de business, zodat er een betere samenwerking ontstaat en ze echt samen optrekken.’ Een andere schakel in de informatiebeveiliging is techniek. Een security scan maakt inzichtelijk hoe een bedrijf ervoor staat als het gaat om beveiliging van kritieke data. ‘Die scan omvat, in de basis, een penetratietest. Dat betekent dat wij als ethical hacker proberen om, legaal, in te breken bij de klant, bijvoorbeeld via een wifi punt, en te zien hoe ver we kunnen komen. Kan een hacker daadwerkelijk bij de kritieke data komen? Welke kwetsbaarheden komt hij onderweg tegen en kan hij deze ook uitnutten? Dit geeft een goed zicht op de cyberrisico’s.’ Vaak combineren we de security scan met een phishing-test. Dat betekent dat we met de klant een goede phishing-mail opstellen en die uitzetten in de organisatie. Zo kunnen we zien of mensen alert zijn op phishing-mails of niet. Klikken ze inderdaad op de link in de mail die ze naar een omgeving leidt met, bijvoorbeeld, malware die schade kan toebrengen aan de (kritieke) data of niet? Daarna organiseren we een awareness-sessie voor de gebruikers waarmee we, aan de hand van geanonimiseerde resultaten en voorbeelden, de bewustwording (awareness), spiegelen en proberen te vergroten.’ Verbindende factor De derde schakel tot slot is de organisatie. Aan haar de taak techniek en de gebruiker op de juiste manier bij elkaar te brengen en te houden. Dat betekent duidelijke afspraken maken over de toegang tot de kritieke data en hoe gebruikers ermee om moeten gaan. De organisatie is daarmee de verbindende factor tussen mens en techniek. Dit is het holistische krachtenveld als het gaat om informatiebeveiliging. Het vraagt een inspanning op al deze vlakken om de kroonjuwelen veilig achter gesloten deuren te houden alsook een continu proces van gepaste aandacht, niet alleen vanwege de evolutie van de techniek maar ook vanwege de factor mens die erg veranderlijk is en blijft. KoutersVandermeer biedt Verstegen ondersteuning bij de uitwerking van complexe IT-vraagstukken. Denk hierbij aan dienstverlening met betrekking tot IT-governance, IT-audits, cybersecurity en privacywetgeving. Martijn Broenink is Director & Compliance Officer bij KoutersVanderMeer – bureau voor prestatieverbetering. Hij is registeraccountant, IT-auditor, docent en spreker. “Kan een hacker daadwerkelijk bij de kritieke data komen?” Informatiebeveiliging: een holistisch krachtenveld INTERVIEW 62
RkJQdWJsaXNoZXIy ODY1MjQ=