dat het goed geregeld is” te toetsen in de praktijk. Hier wordt te makkelijk over gedacht. Als kantoor is het noodzakelijk om bij het aangaan van een samenwerking, ten minste een stevig gesprek te voeren over beveiligingsaspecten en hierin een zorgvuldige afweging te maken vóórdat u zaken gaat doen. Dat valt als ‘leek’ op dit gebied niet altijd mee. U kunt ten minste kijken naar waarborgen die geboden worden in de vorm van rapportages van verrichte penetratietests, audits en certificeringen. Ook onder de privacywetgeving zijn certificeringen een belangrijk middel geworden om compliancy aan te tonen. Als u vervolgens naar uw eigen administratiekantoor kijkt, is het goed om onderstaande drie aspecten in ogenschouw te nemen: 1. DE MENSELIJKE FACTOR De wijze waaróp medewerkers omgaan met techniek en procedures bepaalt de effectiviteit van de te nemen beveiligingsmaatregelen. Realiseert u zich ook dat het niveau van uw beveiliging gelijk is aan de zwakste schakel. Bewustzijn bij u en uw medewerkers op kantoor is dus de eerste stap naar een professionelere en veiligere omgang met informatie. U kunt inzicht in (bewust en onbewust) gedrag geven door een ‘security awareness’-campagne op te zetten voor uw medewerkers. Daarnaast is het goed medewerkers te trainen in hun handelen en hiervoor duidelijke handvatten aan te reiken. Zo komen ze meer beslagen ten ijs als ze bijvoorbeeld te maken krijgen met social engineering en phishing. 2. DE FACTOR ‘ORGANISATIE’ Denk ook aan de procedurele kant. Dat lijkt wellicht voor een kleiner kantoor irrelevant, maar is evenzo belangrijk om uitgedacht te hebben. Dit begint bij het opstellen van een beveiligingsbeleid. Dat kan desnoods op één A4, waarin u start met het NOAB.NL 23 “ EEN WATERDICHTE BEVEILIGING IS EEN ILLUSIE” opnemen waar verantwoordelijkheden liggen, welke externe partijen betrokken zijn (reikwijdte), welke vijf kerncriteria u hanteert (voor leveranciers), welke maatregelen voor u minimaal vereist zijn en een korte gedragscode. Werk daarna korte procedures uit voor onder andere vertrekkende medewerkers, nieuwe leveranciers, het toekennen van rechten en de registratie van beveiligingsincidenten. 3. DE FACTOR ‘TECHNIEK’ Voor de technische kant zult u hoogstwaarschijnlijk een partner in de hand moeten nemen. Zorg dat uw samenwerkingspartner u goed begrijpt, erkent wat het belang is van informatieveiligheid én ernaar handelt. Het belang van technische maatregelen is groter naarmate er veel onbekwaam wordt gehandeld. Indien het gebruik van USB-sticks bijvoorbeeld niet stopt, kunt u het gebruik ervan technisch laten blokkeren. Besteed bij de technische aspecten ten minste aandacht aan: firewalls, filtering, update- en patchbeleid, monitoring van devices, wachtwoordgebruik, back-ups, encryptie, versleutelde verbindingen en WiFi-netwerken. Vergeet tenslotte uw e-mailserver en website niet! ADVIES
24 Online Touch Home