Datalekken en ransomware aanvallen
Neem het datalek bij RDC die ICT-diensten aanbiedt aan garages. De privéadressen, kentekens en telefoonnummers van mogelijk miljoenen Nederlanders zijn in handen hackers gekomen en te koop aangeboden, dus ook mijn gegevens. Ook groot in het nieuws was het datalek van Facebook dat in het Paasweekeinde bekend werd (gegevens van ruim 530 miljoen Facebook-gebruikers).
Of je zult maar een kaartje voor de dierentuin online hebben gekocht via Ticketcounter en dan is nu je NAW en bankrekeningnummer overal bekend door een datalek. Ook veel in het nieuws zijn de ransomware aanvallen waarbij de data wordt versleuteld zodat je niet meer bij je gegevens kunt. Zoals bij het transportbedrijf dat de kaasdistributie voor Albert Heijn verzorgt, of de gemeente Hof van Twente. Dit is echt een nachtmerrie voor getroffen bedrijven en instellingen.
Het belang van security
Door de toenemende complexiteit van systemen en de steeds verder gaande professionalisering van de cybercriminaliteit worden bedrijven voortdurend op de proef gesteld om de beveiliging van hun IT-systemen up-to-date te houden. Grote bedrijven beschikken vaak over gespecialiseerde securityafdelingen met Certified Information Systems Security Professionals (CISSP) en functies als IT Security officer.
Daar staat tegenover dat ze vaak over tientallen tot honderden applicaties het overzicht moeten houden. Bij bedrijven in het MKB zijn het niet altijd aparte functies maar rollen die bij bestaande functies horen, maar is het aantal applicaties ook aanzienlijk minder. Daarbij is het een voortdurende afweging tussen het risico en investeringen in tijd en geld om deze risico’s te mitigeren.
Pincvision’s securitybeleid
Bij Pincvision ben ik vanuit mijn functie als CIO eindverantwoordelijk voor het securitybeleid. Binnen Pincvision besteden we serieus tijd en geld aan het beveiligen van onze systemen. Enkele voorbeelden hiervan zijn onze jaarlijkse Interim Test of Controls waarbij een externe auditor kijkt naar de maatregelen rondom onze geautomatiseerde systemen. Periodiek laten we onze externe portalen door middel van penetratie testen door een gespecialiseerd bedrijf met ethische hacker testen of ze ongeautoriseerd toegang kunnen krijgen tot klant data.
Voor onze Pincvision Digital Workplace laten we onze Office365 omgeving door middel van gespecialiseerde software (Rapidfiretools in dit geval) scannen op kwetsbaarheden. Uiteraard worden de bevindingen uit deze acties opgepakt en doorgevoerd.
Gedrag van medewerkers bepalend voor succes van beveiliging
Maar de belangrijkste factor voor een goede beveiliging blijven zijn onze medewerkers. Alle technische maatregelen ten spijt, vaak is het gedrag van de medewerkers bepalend voor het succes van de beveiliging. Ondanks onze spamfilters krijgen ze toch wel eens phishing mail in hun inbox.
Binnen Pincvision trainen we onze mensen op dit onderwerp, zowel bij indiensttreding maar ook bij onze kwartaal updates. Tevens maken we voor ons wachtwoordbeleid gebruik van externe tooling die inzichtelijk maakt wat de kwaliteit van de wachtwoorden is, waarschuwt voor hergebruik en aangeeft of hun email adres voorkomt in bekende datalekken. Dit jaar staat een uitgebreide phising awareness training op de agenda om onze collega’s te blijven herinneren aan de gevaren rondom phising en andere vormen van cybercriminaliteit.
Ondanks alle technische investeringen vormen onze collega’s de ‘last line of defence’ tegen cybercriminaliteit! Hoe heeft u dit binnen uw organisatie geregeld?
Lees voorgaande blogs geschreven door de Directieleden van Pincvision
Blog #1: Regulatory Technology: de belangrijkste ontwikkeling van dit moment
Blog #2: Hoe Pincvision zich heeft ontwikkeld tot een RegTech bedrijf
Blog #3: Van ondernemersdroom naar RegTech bedrijf
Blog #4: Pincvision en de impact van de Corona crisis
Blog #5: Pincvision's Digital Workplace
Blog #6: Duurzaam ondernemen - check!
Blog #7: Internationale handel gaat gewoon door tijdens deze bijzondere periode
Blog #8: Digitale behendigheid in de Digital Workplace
Blog #9: De Compliance Efficiëntie Paradox
Blog #10: Pandemie-proof door betrokkenheid bij klanten
Blog #11: Werken en denken vanuit 'Composable Business'
Blog #12: Marketing humbug in de Supply Chain
Blog #13: Nieuw Pincvision kantoor geopend in het Verenigd Koninkrijk
Edwin Kampshoff
CIO (Chief Information Officer)