”ALS BEDRIJF MOET JE DUIZEND GAATJES DICHTEN, TERWIJL JE ER ALS CRIMINEEL MAAR ÉÉNTJE HOEFT TE VINDEN” twee redenen. “Criminelen krijgen gevoelige financiële informatie van bedrijven in handen. Die kunnen ze verhandelen. En als ze de gegevens hebben verkocht, zetten ze de boel ‘dicht’ en kunnen ze een tweede keer vangen.” Hij vervolgt: “Meestal is de inbraak al langer aan de gang en is óók de back-up versleuteld. Je kunt dan heel stoer roepen ‘ik ga niet betalen’, maar zwichten is eigenlijk de enige optie. Het businessmodel van de criminelen bestaat eruit dat je daadwerkelijk de sleutel krijgt als je betaalt.” Cynisch samengevat: “Ze leveren wat ze zeggen.” CHEFSACHE IT-beveiliging valt onder risicomanagement, niet onder IT, waarschuwt De Joode. “Het moet ‘chefsache’ zijn en onder het hoogste management vallen. Dan maak je een andere risicoafweging, waarbij je de investering afzet tegen de jaaromzet en gevolgen van een hack. Vergelijk het met een brandverzekering. Die kost ook geld en hoop je ook nooit nodig te hebben.” “Als bedrijf moet je duizend gaatjes dichten, terwijl je als crimineel er maar ééntje hoeft te vinden. Het betekent dat je je IT-organisatie naar waarde moet inschatten.” Kantoren moeten zich drie vragen stellen, doceert hij: “Hoe heb ik het geregeld? Maken we back-ups? Worden die back-ups getest?” ON PREMISES De Joode adviseert regelmatig een back-up terug te zetten om te kijken wat er gebeurt. Een ander belangrijk advies is het ‘compartimentaliseren’ van de netwerkomgeving. “Denk als kantoor vooraf goed na hoe je je IT gaat inrichten. Zorg voor firewalls tussen de verschillende activiteiten en informatiestromen. Creëer ‘kantoortjes’ met eigen beveiligingsmuren en een eigen slot op de voordeur, zodat als er iets gebeurt er maar één compartiment wordt geraakt en de organisatie verder door kan blijven draaien.” Er is een verschil tussen software die lokaal is geïnstalleerd, ‘on premises’ of als SaaS-oplossing in de cloud. In het laatste geval staat de infrastructuur bij de softwareleverancier en verzorgt deze de beveiliging. Kantoren zullen zich er dan van moeten vergewissen dat de dienstverlener de beveiliging op orde heeft, in de vorm van een ISEA 3402-verklaring en andere certificeringen. VERMIJD EXTRA RISICO Laat werknemers alleen werken op kantoorlaptops. Vanuit huis inloggen met privé-pc’s is een extra securityrisico. DEEL NETWERKEN OP Zorgt dat je netwerken opgedeeld zijn, waarbij niet iedere werknemer overal bij kan. ZORG VOOR EXTRA FIREWALLS Vertrouw nooit op één verdedigingslinie. Een extra firewall verkleint het risico. PATCH TUESDAY Installeer beveiligingspatches zo snel mogelijk. Daarmee zijn servers beveiligd tegen bekende kwetsbaarheden. Zo heeft Microsoft ‘Patch Tuesday’. VERZEKER CYBERRISICO Sluit een cyberrisicoverzekering af als financieel slot op de deur. NOAB.NL 17 ICT & INNOVATIE
18 Online Touch Home