Members magazine q3 2015 zekerheid
1
Sebyde | Automatisering Sebyde | Automatisering 18 19 Cyberrisico’s: hoe zeker ben je? I n de moderne bedrijfsvoering maakt het management van bedrijven regelmatig inschattingen over de risico’s waaraan wordt blootgestaan. Afhankelijk van deze risico-inschatting worden er dan zo nodig maatregelen getroffen. Er zijn dan de volgende mogelijkheden: • Je voorkomt het risico door preventief maatregelen te nemen; • Je accepteert het risico; • Je sluit een verzekering af om je tegen mogelijke schade te verzekeren; • Je lost het op door risico-verlagende maatregelen. Het uitvoeren van een risicoanalyse is tegenwoordig vooral nodig voor het inschatten van de risico’s op het gebied van cyber- criminaliteit. Zoals we allemaal weten is cybercriminaliteit een serieuze dreiging voor het bedrijfsleven. Aan de lopende band worden netwerken van bedrijven door hackers besmet met kwaadaardige software, waarna ze rustig op zoek gaan naar belangrijke, vertrouwelijke en kostbare bedrijfsgegevens. Mede- werkers van bedrijven worden bestookt met phishing emails om ze te verleiden op een ‘interessante’ link, plaatje of document te klikken, met alle nare gevolgen van dien. Die gevolgen kunnen serieus zijn. Hackers richten zich tegenwoordig niet meer op netwerken en systemen, maar op medewerkers. Bewuste mede- werkers maken je organisatie weerbaar. Veel bedrijven zijn zich niet bewust van de risico’s en mogelijke gevolgen van cybercriminaliteit. Bedrijven kunnen niet functio- neren zonder hun bedrijfsinformatie. Het zijn de kroonjuwelen die goed beschermd moeten worden. Je zou dus denken dat ieder zichzelf respecterend bedrijf een goed beleid heeft opgesteld met betrekking tot de bescherming van die kroonjuwelen. Niets is minder waar. Nog steeds blijkt 71% van de mkb-bedrijven te denken dat ze geen cyberrisico lopen. Met argumentatie als ‘Het zal wel loslopen, wat kunnen ze bij ons nou halen?’ of ‘We hebben toch een goede firewall?’ denken ze dat het hen niet gebeurt. Voor deze bedrijven is het een kwestie van tijd. Bij een ‘normale’ inbraak zie je direct na de inbraak de inbraak- sporen. Raam ingeslagen, deur opengebroken, kluis weg, kamer overhoop gehaald, etcetera. Bij een digitale inbraak is dat niet het geval. Het duurt gemiddeld meer dan 225 (!) dagen voordat hackers door hun slachtoffers worden opgemerkt. Gedurende die tijd hebben de hackers rustig kunnen meekijken naar alle documenten, emails en andere informatiestromen op het bedrijfsnetwerk. Met een goede informatiebeveiliging organisatie en beleid kunnen deze risico’s echt worden geminimaliseerd. Heb je wel een goed beleid? IT-Security is meer dan alleen het aanleggen van een firewall. Een goed beleid op het gebied van informatiebeveiliging is gestoeld op drie belangrijke pijlers: ‘Mens, Organisatie en Techniek’. Deze dienen alle drie ge- adresseerd te worden, anders blijft de organisatie kwets- baar. Technische maatrege- len alleen zijn onvoldoende (antivirus, firewalls, etcetera) als je medewerkers er maar op los klikken op phishing emails. Het advies aan be- drijven is daarom om eens een nulmeting te laten uit- voeren. Dus niet alleen een technische ‘penetratietest’ op de security kwetsbaarheden van netwerken, systemen en applicaties, maar ook een be- oordeling over hoe security wordt meegenomen in de organisatie, de security-awa- reness van de medewerkers en de gevoeligheid van de organisatie voor phishing emails. Pas als je over deze informatie beschikt, kun je een goede inschat- ting maken van de risico’s die worden gelopen en kun je de juiste maatregelen nemen om die risico’s te minimaliseren. Nieuwe privacy wetgeving: laat een nulmeting uitvoeren De recente verandering in de privacy wetgeving heeft grote ge- volgen voor het bedrijfsleven. (Ja, voor alle bedrijven.) De meld- plicht voor datalekken dwingt bedrijven om gedetailleerd inzicht te hebben in de gegevensverwerkingen in hun organisatie. Deze informatie en andere informatie over een datalek dient binnen 24 uur beschikbaar te zijn voor de toezichthouder in geval er een datalek optreedt. Deze wetgeving wordt gehandhaafd met hoge (bestuurlijke) boetes tot 810.000 euro of in sommige gevallen 10% van de jaaromzet. Een nulmeting over de gegevensverwerkingen in de organisatie en een beoordeling door onze FG (Functionaris Gegevensbescherming) is daarom aan te raden om straks hoge boetes te voorkomen. Voorberei- ding is van groot belang. Tevens is er ook een nieuwe Europese wetgeving aangekondigd (AVG), die nog strengere eisen gaat stellen aan het te voeren beleid op het gebied van informatie- beveiliging en privacy. Privacy is geen ICT-feestje Er wordt vaak gedacht dat de nieuwe privacywetgeving iets is waar alleen de ICT-afdeling mee te maken gaat krijgen Dit berust echter op een misverstand. De nieuwe wetgeving ‘raakt’ direct een aantal disciplines in de organisatie, waaronder de Directie/ Financieel management (goedkeuring jaarrekening, boetes, aansprakelijkheid), Personeelszaken (veilig gedrag van mede- werkers), Marketing & Communicatie (reputatie, wat te doen bij een datalek?). Het is zéker geen ICT-feestje. Het Sebyde Privacy Impact Programma ondersteunt bedrijven bij de voorbereiding op de nieuwe privacy wetgeving. Het is een modulair opgezet programma en bestaat uit de volgende stappen: 1. Nulmeting (hoe staan we er voor?) 2. Analyse (wat en waar zijn de risico’s?) 3. Maatregel (wat kunnen we doen?) 4. Rapport (wat gaan we doen?) 5. Invoering (maatregelen treffen) Sebyde is graag bereid om je vrijblijvend op de hoogte te brengen van de laatste ontwikkelingen met betrekking tot de Nederlandse en Europese Privacy wetgeving. Je kunt op de website van Sebyde meer informatie vinden over hoe Sebyde organisaties ondersteunt bij het maken van een goed beleid op het gebied van informatiebeveiliging en privacy en het vergroten van het bewustzijn van je medewerkers. Voor info: ga naar de website van je branchevereniging, via Members’ Benefits (ledenvoordeel), tab Automatisering Maak kans op een gratis workshop ‘Phishing’ Vraag via [email protected] een vrijblijvende presentatie aan over de ontwikkelingen in de privacy wetgeving. Je maakt dan kans op een gratis workshop ‘Phishing’ voor twee personen. Tijdens deze workshop leggen we uit wat phishing technieken zijn, hoe je phishing emails kunt herkennen en wat je moet doen als je er één ontvangt.
Transcript of Members magazine q3 2015 zekerheid
Sebyde | Automatisering Sebyde | Automatisering
18 19
Cyberrisico’s: hoe zeker ben je?
In de moderne bedrijfsvoering maakt het management van bedrijven regelmatig inschattingen over de risico’s waaraan wordt blootgestaan. Afhankelijk van deze risico-inschatting
worden er dan zo nodig maatregelen getroffen. Er zijn dan de volgende mogelijkheden:
• Je voorkomt het risico door preventief maatregelen te nemen;• Je accepteert het risico;• Je sluit een verzekering af om je tegen mogelijke schade te
verzekeren;• Je lost het op door risico-verlagende maatregelen.
Het uitvoeren van een risicoanalyse is tegenwoordig vooral nodig voor het inschatten van de risico’s op het gebied van cyber-criminaliteit. Zoals we allemaal weten is cybercriminaliteit een serieuze dreiging voor het bedrijfsleven. Aan de lopende band worden netwerken van bedrijven door hackers besmet met kwaadaardige software, waarna ze rustig op zoek gaan naar belangrijke, vertrouwelijke en kostbare bedrijfsgegevens. Mede-werkers van bedrijven worden bestookt met phishing emails om ze te verleiden op een ‘interessante’ link, plaatje of document te klikken, met alle nare gevolgen van dien. Die gevolgen kunnen serieus zijn. Hackers richten zich tegenwoordig niet meer op netwerken en systemen, maar op medewerkers. Bewuste mede-werkers maken je organisatie weerbaar.
Veel bedrijven zijn zich niet bewust van de risico’s en mogelijke gevolgen van cybercriminaliteit. Bedrijven kunnen niet functio-neren zonder hun bedrijfsinformatie. Het zijn de kroonjuwelen die goed beschermd moeten worden. Je zou dus denken dat ieder
zichzelf respecterend bedrijf een goed beleid heeft opgesteld met betrekking tot de bescherming van die kroonjuwelen. Niets is minder waar. Nog steeds blijkt 71% van de mkb-bedrijven te denken dat ze geen cyberrisico lopen. Met argumentatie als ‘Het zal wel loslopen, wat kunnen ze bij ons nou halen?’ of ‘We hebben toch een goede firewall?’ denken ze dat het hen niet gebeurt. Voor deze bedrijven is het een kwestie van tijd.
Bij een ‘normale’ inbraak zie je direct na de inbraak de inbraak-sporen. Raam ingeslagen, deur opengebroken, kluis weg, kamer overhoop gehaald, etcetera. Bij een digitale inbraak is dat niet het geval. Het duurt gemiddeld meer dan 225 (!) dagen voordat hackers door hun slachtoffers worden opgemerkt. Gedurende die tijd hebben de hackers rustig kunnen meekijken naar alle documenten, emails en andere informatiestromen op het bedrijfsnetwerk. Met een goede informatiebeveiliging organisatie en beleid kunnen deze risico’s echt worden geminimaliseerd.
Heb je wel een goed beleid?IT-Security is meer dan alleen het aanleggen van een firewall. Een goed beleid op het gebied van informatiebeveiliging is gestoeld op drie belangrijke pijlers: ‘Mens, Organisatie en Techniek’.
Deze dienen alle drie ge-adresseerd te worden, anders blijft de organisatie kwets-baar. Technische maatrege-len alleen zijn on voldoende (antivirus, firewalls, etcetera) als je medewerkers er maar op los klikken op phishing emails. Het advies aan be-drijven is daarom om eens een nulmeting te laten uit-voeren. Dus niet alleen een technische ‘penetratietest’ op de security kwetsbaarheden van netwerken, systemen en applicaties, maar ook een be-oordeling over hoe security wordt meegenomen in de organi satie, de security-awa-reness van de medewerkers en de gevoeligheid van de organisatie voor phishing emails. Pas als je over deze informatie beschikt, kun je een goede inschat-ting maken van de risico’s die worden gelopen en kun je de juiste maatregelen nemen om die risico’s te minimaliseren.
Nieuwe privacy wetgeving: laat een nulmeting uitvoerenDe recente verandering in de privacy wetgeving heeft grote ge-volgen voor het bedrijfsleven. (Ja, voor alle bedrijven.) De meld-plicht voor datalekken dwingt bedrijven om gedetailleerd inzicht te hebben in de gegevensverwerkingen in hun organisatie. Deze informatie en andere informatie over een datalek dient binnen 24 uur beschikbaar te zijn voor de toezichthouder in geval er een datalek optreedt. Deze wetgeving wordt gehandhaafd met hoge (bestuurlijke) boetes tot 810.000 euro of in sommige gevallen 10% van de jaaromzet. Een nulmeting over de gegevensver werkingen in de organisatie en een beoordeling door onze FG (Functionaris Gegevensbescherming) is daarom aan te raden om straks hoge boetes te voorkomen. Voorberei-ding is van groot belang. Tevens is er ook een nieuwe Europese wetgeving aan gekondigd (AVG), die nog strengere eisen gaat stellen aan het te voeren beleid op het gebied van informatie-beveiliging en privacy.
Privacy is geen ICT-feestjeEr wordt vaak gedacht dat de nieuwe privacywetgeving iets is waar alleen de ICT-afdeling mee te maken gaat krijgen Dit berust echter op een misverstand. De nieuwe wetgeving ‘raakt’ direct een aantal disciplines in de organisatie, waaronder de Directie/ Financieel management (goedkeuring jaarrekening, boetes, aansprakelijkheid), Personeelszaken (veilig gedrag van mede-werkers), Marketing & Communicatie (reputatie, wat te doen bij een datalek?). Het is zéker geen ICT-feestje. Het Sebyde Privacy Impact Programma ondersteunt bedrijven bij de voorbereiding op de nieuwe privacy wetgeving. Het is een modulair opgezet programma en bestaat uit de volgende stappen:
1. Nulmeting (hoe staan we er voor?)2. Analyse (wat en waar zijn de risico’s?)3. Maatregel (wat kunnen we doen?)4. Rapport (wat gaan we doen?)5. Invoering (maatregelen treffen)
Sebyde is graag bereid om je vrijblijvend op de hoogte te brengen van de laatste ontwikkelingen met betrekking tot de Nederlandse en Europese Privacy wetgeving.
Je kunt op de website van Sebyde meer informatie vinden over hoe Sebyde organisaties ondersteunt bij het maken van een goed beleid op het gebied van informatiebeveiliging en privacy en het vergroten van het bewustzijn van je medewerkers.
Voor info: ga naar de website van je branchevereniging, viaMembers’ Benefits (ledenvoordeel), tab Automatisering
Maak kans op een gratis workshop ‘Phishing’
Vraag via [email protected] een vrijblijvende presentatie aan over de ontwikkelingen in de privacy wetgeving. Je maakt dan kans op een gratis workshop ‘Phishing’ voor twee personen. Tijdens deze workshop leggen we uit wat phishing technieken zijn, hoe je phishing emails kunt herkennen en wat je moet doen als je er één ontvangt.
![Rapportage wendbaarheid [Q3-2012]](https://static.fdocuments.nl/doc/165x107/54597096af79592b448b5783/rapportage-wendbaarheid-q3-2012.jpg)
