“OP INTERNET.NL IS EEN TEST WAARMEE JE HET BEVEILIGINGSNIVEAU VAN DE EIGEN E-MAIL KUNT CONTROLEREN” kunt afdwingen en monitoren. Ik maak nog steeds mee dat mensen hun account hebben beveiligd met het wachtwoord ‘welkom01’.” Bij ransomware is sprake van twee mechanismen. “Er wordt ingebroken door een kwetsbaarheid in de IT. Dat risico vermindert als je zorgt dat het systeem upto-date is en goede wachtwoorden worden gebruikt.” Het tweede risico is via phishing. “Wat daarbij helpt is de e-mailstandaarden goed in te stellen, zodat malafide e-mails goed worden herkend. Dan praat je niet over een spamfilter, maar over de implementatie van e-mail security standaarden. De werkplekbeveiliging van thuiswerkers kun je prima inregelen met (mobile) device management, waarbij je zorgt dat je mensen alleen maar kunnen inloggen als de software up-todate en het wachtwoord voldoende sterk is.” Een ander aandachtspunt is de awareness. “Je moet medewerkers trainen, zodat ze nepmails herkennen en enigszins argwanend zijn.” ONVEILIG PROTOCOL Veel kantoorhouders denken bij de inzet van software vooral functioneel, aan de efficiëntie, is de ervaring van Doorn. “Wat ze zich onvoldoende realiseren, is dat een koppeling tussen de twee softwarepakketten zomaar over een onveilig protocol kan gaan, een onvoldoende beveiligde verbinding.” De verantwoordelijkheid ligt bij de softwareleveranciers, maar ook bij de kantoren zelf, benadrukt hij. Een veelvoorkomende fout is het niet toetsen van leveranciers. “Een gemiddeld kantoor heeft zo’n twintig softwareapplicaties. Een groot deel van de verwerking van data steunt op software van derden. Dan is het relevant om te weten hoe die derde de eigen beveiliging op orde heeft. Bijvoorbeeld of een leverancier ISO-27001 is gecertificeerd. Er is vaak onvoldoende zorg en aandacht voor de keten.” Vanuit cybersecurityhoek zijn daar grote zorgen over, vertelt Doorn. “Bij een aantal grote datalekken in het afgelopen jaar was sprake van een fout in een onderliggend softwaresysteem.” “ IT-BEVEILIGING IS EEN SAMENSPEL VAN MENS, TECHNIEK EN ORGANISATIE” CLOUDWATERVREES Er zijn kantoren met cloudwatervrees, is de ervaring van Doorn. “Aan de cloud zitten allerlei afhankelijkheidsrisico’s, maar er komt een punt dat het in beheer hebben van eigen servers onveiliger is dan het risico van onveiligheid dat we toedichten aan de cloud. Met eigen servers moet je zelf de hele infrastructuur up-to-date houden. Daar moet steeds meer zorg en tijd naartoe gaan, omdat zich steeds complexere kwetsbaarheden voordoen. Kantoren moeten zich afvragen of het risico in de cloud niet veel kleiner is. Mijn antwoord laat zich raden.” NOAB.NL 27 ICT & INNOVATIE
28 Online Touch Home