Blog: Medewerkers zijn bepalend voor het succes van uw beveiliging

Het is nu eind April, de lente is aangebroken. Als ik naar buiten kijk vanuit mijn thuiswerk plek zie ik de bloesem van de appelbomen volop bloeien. Maar er is nog iets wat bloeit als nooit tevoren en dat is de cybercriminaliteit. Ik weet niet hoe het u is vergaan maar ik heb afgelopen weken zoveel berichten over hacks, data diefstal en andere incidenten gelezen alleen al in Nederland, dat ik me daar echt zorgen over maak.

​Datalekken en ransomware aanvallen

Neem het datalek bij RDC die ICT-diensten aanbiedt aan garages. De privéadressen, kentekens en telefoonnummers van mogelijk miljoenen Nederlanders zijn in handen hackers gekomen en te koop aangeboden, dus ook mijn gegevens. Ook groot in het nieuws was het datalek van Facebook dat in het Paasweekeinde bekend werd (gegevens van ruim 530 miljoen Facebook-gebruikers).

Of je zult maar een kaartje voor de dierentuin online hebben gekocht via Ticketcounter en dan is nu je NAW en bankrekeningnummer overal bekend door een datalek. Ook veel in het nieuws zijn de ransomware aanvallen waarbij de data wordt versleuteld zodat je niet meer bij je gegevens kunt. Zoals bij het transportbedrijf dat de kaasdistributie voor Albert Heijn verzorgt, of de gemeente Hof van Twente. Dit is echt een nachtmerrie voor getroffen bedrijven en instellingen.

Het belang van security

Door de toenemende complexiteit van systemen en de steeds verder gaande professionalisering van de cybercriminaliteit worden bedrijven voortdurend op de proef gesteld om de beveiliging van hun IT-systemen up-to-date te houden. Grote bedrijven beschikken vaak over gespecialiseerde securityafdelingen met Certified Information Systems Security Professionals (CISSP) en functies als IT Security officer.

Daar staat tegenover dat ze vaak over tientallen tot honderden applicaties het overzicht moeten houden. Bij bedrijven in het MKB zijn het niet altijd aparte functies maar rollen die bij bestaande functies horen, maar is het aantal applicaties ook aanzienlijk minder. Daarbij is het een voortdurende afweging tussen het risico en investeringen in tijd en geld om deze risico’s te mitigeren.

Pincvision’s securitybeleid

Bij Pincvision ben ik vanuit mijn functie als CIO eindverantwoordelijk voor het securitybeleid. Binnen Pincvision besteden we serieus tijd en geld aan het beveiligen van onze systemen. Enkele voorbeelden hiervan zijn onze jaarlijkse Interim Test of Controls waarbij een externe auditor kijkt naar de maatregelen rondom onze geautomatiseerde systemen. Periodiek laten we onze externe portalen door middel van penetratie testen door een gespecialiseerd bedrijf met ethische hacker testen of ze ongeautoriseerd toegang kunnen krijgen tot klant data.

Voor onze Pincvision Digital Workplace laten we onze Office365 omgeving door middel van gespecialiseerde software (Rapidfiretools in dit geval) scannen op kwetsbaarheden. Uiteraard worden de bevindingen uit deze acties opgepakt en doorgevoerd.

Gedrag van medewerkers bepalend voor succes van beveiliging

Maar de belangrijkste factor voor een goede beveiliging blijven zijn onze medewerkers. Alle technische maatregelen ten spijt, vaak is het gedrag van de medewerkers bepalend voor het succes van de beveiliging. Ondanks onze spamfilters krijgen ze toch wel eens phishing mail in hun inbox.

Binnen Pincvision trainen we onze mensen op dit onderwerp, zowel bij indiensttreding maar ook bij onze kwartaal updates. Tevens maken we voor ons wachtwoordbeleid gebruik van externe tooling die inzichtelijk maakt wat de kwaliteit van de wachtwoorden is, waarschuwt voor hergebruik en aangeeft of hun email adres voorkomt in bekende datalekken. Dit jaar staat een uitgebreide phising awareness training op de agenda om onze collega’s te blijven herinneren aan de gevaren rondom phising en andere vormen van cybercriminaliteit.

Ondanks alle technische investeringen vormen onze collega’s de ‘last line of defence’ tegen cybercriminaliteit! Hoe heeft u dit binnen uw organisatie geregeld?

Lees voorgaande blogs geschreven door de Directieleden van Pincvision

Blog #1: Regulatory Technology: de belangrijkste ontwikkeling van dit moment
Blog #2: Hoe Pincvision zich heeft ontwikkeld tot een RegTech bedrijf
Blog #3: Van ondernemersdroom naar RegTech bedrijf
Blog #4: Pincvision en de impact van de Corona crisis
Blog #5: Pincvision's Digital Workplace
Blog #6: Duurzaam ondernemen - check!
Blog #7: Internationale handel gaat gewoon door tijdens deze bijzondere periode
Blog #8: Digitale behendigheid in de Digital Workplace
Blog #9: De Compliance Efficiëntie Paradox
Blog #10: Pandemie-proof door betrokkenheid bij klanten
Blog #11: Werken en denken vanuit 'Composable Business'
Blog #12: Marketing humbug in de Supply Chain
Blog #13: Nieuw Pincvision kantoor geopend in het Verenigd Koninkrijk

30 apr. 2021 at 11:52
3 min
Gepubliceerd door:
Edwin Kampshoff
CIO (Chief Information Officer)
Terug naar nieuwsoverzicht