Als het gaat om cybersecurity kan er nooit 100 procent garantie gegeven worden, er is altijd wel een mankement. Zelfs wanneer je als organisatie alles doet om je data te versleutelen, veilig op te bergen en de toegangsautorisaties op orde te hebben. Eén technisch probleem of een denkfout in de procedure kan er al voor zorgen dat iemand ongewenst bij je data kan.

“Dit betekent natuurlijk niet dat je dan maar niet moet proberen informatie goed te beveiligen,” zegt Christian Prickaerts, principal security expert bij Fox-IT. “Het is goed om te streven naar die 99 procent zekerheid vanuit preventieve optiek. Maar anticipeer ook op het moment dat het een keertje misgaat, dan is het belangrijk dat je weet wat je moet doen.”

Grootste beveiligingsrisico’s

“De grootste risico’s beginnen vaak bij het niet realiseren dat data specifieke beveiligingsmaatregelen vraagt,” stelt Prickaerts. Niet alle data is hetzelfde, en privacygevoelige persoonsgegevens vereisen natuurlijk een andere aanpak dan algemene informatie. “Een ander fenomeen is dat het technisch toch al heel snel complex wordt. Waardoor het voor velen dan ook lastig is om goed in te schatten wat het veiligheidsniveau is.”

De richtlijnen op het gebied van cybersecurity verschillen vaak per branche, wat dus (aandacht voor) andere risico’s met zich meebrengt. Daarnaast worden ondernemers dagelijks voor de keuze gesteld hoe ze met een bepaald bedrijfsrisico omgaan, en de ene ondernemer is meer risico-avers dan de andere. Het is dus zaak om per organisatie een eigen veiligheidsplan te creëren.

Onderdelen van een veiligheidsplan

Waar moet zo’n veiligheidsplan volgens Prickaerts uit bestaan? “Aan de ene kant moet je data classificeren, zodat je weet hoe je de maatregelen die je moet treffen aan kunt passen aan het niveau van gevoeligheid. Publieke informatie moet dus op een andere manier benaderd worden dan informatie die vertrouwelijk en sensitief is. Als organisatie moet je niet alles proberen te beveiligen, maar keuzes maken op basis van onder andere die dataclassificatie.”

Aan de andere kant zijn de bekende best practices natuurlijk ook goede handvatten voor het inrichten van de veiligheid. “Denk hierbij aan het maken van een goede back-up, of het scheiden van rol en verantwoordelijkheid in de toegang tot data. Of het nemen van specifieke andere technische maatregelen zoals versleuteling van data of het afschermen met een firewall.” Er zijn honderden maatregelen mogelijk, maar volgens Prickaerts komt het eigenlijk neer op het bewaken van de vertrouwelijkheid, integriteit en de beschikbaarheid van data.

Meerwaarde van externe hulp

Hoe veilig een datasysteem ook gebouwd is, er kan altijd iets fout gaan. Gebruikers moeten zich realiseren dat er op hun schouders ook een verantwoordelijkheid rust. Onbewust kunnen zij namelijk situaties veroorzaken die voor mensen binnen en buiten de organisatie erg nadelig zijn.

Prickaerts: “Een voorbeeld is dat medewerkers persoonsgevoelige informatie onversleuteld via een webdienst delen. Dat is helemaal niet handig en moet je echt niet doen, maar dat zou zomaar iets kunnen zijn wat er door de jaren heen ingeslopen is.” Data staat vaak op meer plaatsen dan initieel gedacht wordt, en een externe blik kan helpen om de pijnpunten te ontdekken waar een organisatie op den duur blind voor is geworden.

Expertise van Fox-IT

Prickaerts: “Wat je ook vaak ziet is dat datasystemen vaak ingericht zijn op functionaliteit en het ondersteunen van de primaire processen. Er wordt dan te weinig gekeken naar wat er fout kan gaan, en bij een veiligheidsprobleem kunnen die bedrijven vaak ook niet goed reconstrueren wat er gebeurd is.”

Als organisatie moet je je afvragen of je de expertise kan opbouwen om het op de langere termijn te onderhouden. “Fox-IT is een innovatief bedrijf dat zelf oplossingen maakt. We hebben een goed en actueel beeld van wat de technieken en tools zijn die cybercriminelen inzetten. Zo kunnen we dus forensisch onderzoek doen om vast te stellen wat er gebeurd is, en wat de aard en omvang van het datalek is. We bieden advies om de risico’s zo drastisch mogelijk te verlagen.”