Waarom is informatiebeveiliging zo belangrijk?
Cybercriminelen worden steeds slimmer en weten hoe langer hoe meer hun boze doelen te realiseren. Om te voorkomen dat cybercriminelen ook uw bedrijf binnendringen moet informatiebeveiliging uiterst serieus genomen worden. De gevolgen zijn anders niet te overzien. Diefstal van persoons- en bedrijfsgegevens, afpersing en het de uitval van systemen hebben een grote impact op uw bedrijf.
Toenemende cybercriminaliteit
Tegenwoordig lijkt het alsof geen dag voorbij gaat zonder melding van een hack of datalek. Recente voorbeelden die ook op onze site staan zijn:
Ransom software bij de universiteit van Maastricht. De universiteit betaalde de cybercriminelen uiteindelijk losgeld om weer de beschikking te krijgen over haar informatie.
Een Ddos-aanval op Thuisbezorgt.nl waardoor in deze Corona-crisis maaltijden niet, te laat of verkeerd bezorgd werden.
Besmette QR codes waardoor er misbruik van de goedgelovigheid van tieners kon worden gemaakt.
Vrijwel altijd zijn cybercriminelen uit op financieel gewin. Dat is uitermate vervelend voor u als organisatie en uw klanten, maar wellicht erger dan de financiële schade is de schade aan uw reputatie. In sommige gevallen kan een aanval van cybercriminelen leiden tot faillissement.
Informatiebeveiliging gaat ver
De meeste organisaties denken bij informatiebeveiliging al snel aan technische maatregelen. Dit is helaas echter te kort door de bocht. Iedereen binnen uw organisatie zal doordrongen moeten zijn van het belang van informatiebeveiliging. Immers 90% van alle informatiebeveiligingsincidenten ontstaan door menselijk handelen. Uit onderzoek blijkt dat:
30% van de gebruikers e-mailberichten opent van cybercriminelen en 10% klikt op bijlagen en koppelingen.
63% van de wachtwoorden zwak is, of een standaard wachtwoord is of wordt gestolen.
58% procent van de gebruikers per ongeluk informatie deelt met anderen.
Bovenstaande is ook terug te zien in de richtlijnen die ISO 27001 stelt. Hierin is te lezen dat er behalve technische maatregelen, ook organisatorische en procedurele maatregelen getroffen moeten worden. Deze maatregelen moeten volgens ISO gebaseerd zijn op een risicoanalyse of een wettelijke verplichting.
Wet- en regelgeving
Overheden en de Europese Unie hechten steeds meer waarde aan het beschermen van mensen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens. Zo heeft vanaf 25 mei 2018 de algemene verordening gegevensbescherming (AVG/ Europese privacyverordening) zijn intrede gedaan. Kern daarbij is de beschikbaarheid, integriteit en vertrouwelijkheid van informatie (BIV kader). In Nederland handhaaft de Autoriteit Persoonsgegevens (AP) de AVG en is bevoegd zware boetes op te leggen indien organisaties zich niet aan wet- en regelgeving op het gebied van informatiebeveiliging houden.
Technische maatregelen
Uiteraard zijn technische maatregelen nodig om informatiebeveiliging goed te regelen. Deze kunnen op preventief, detectief, repressief en correctief gebied zijn. Penetratietests, uitgevoerd door een onafhankelijke specialist, zijn een goed middel om organisaties te ondersteunen in het effectief doorvoeren van deze technische maatregelen. Aanvallen van cybercriminelen moeten immers onmogelijk zijn (preventief) en middels monitoring ontdekt worden (detectief). Ook moeten eventuele gevolgen van een inbraak door cybercriminelen ingeperkt (repressief) of zelfs teruggedraaid worden (correctief). Onze tip is om de penetratietests conform de beveiligingsrichtlijnen van instituten zoals NCSC en OWASP uit te laten voeren.
#communityAim2Secure
#Aim2Legal
#Aim2ICT
#Aim2RiskManagement