Het beveiligen van uw data, uw systemen en uw bedrijf is belangrijker dan ooit.
Hacked.com: "In heel 2020 hebben hackers hun activiteit met meer dan 600% verhoogd ... Aanvallen op financiële dienstverleners behoren tot de duurste, met gemiddelde kosten van $ 18,3 miljoen per hack. 90% van de aanvallen begint met een zeer gerichte spear phishing e-mail die hackers toegang geeft tot de servers van een bedrijf. Hackers kregen bij financiële dienstverleners toegang tot gemiddeld 352.771 bestanden per hack."
Indrukwekkende cijfers die in 2021 alleen maar zijn toegenomen en ook in 2022 nog verder zullen toenemen. Dit geldt zeker niet alleen voor de financiële sector, vrijwel elk bedrijf is tegenwoordig een doelwit voor cybercriminelen. Hackers beschikken over geautomatiseerde en efficiënte technologie om te scannen op kwetsbaarheden over het hele internet.
Ze gebruiken slimme software om geavanceerde phishing e-mails te verzenden, niet naar security specialisten maar juist naar collega’s die minder bewust zijn van de gevaren. De voorbeelden van wat er gebeurt als u uw gegevens niet goed beveiligd staan helaas dagelijks in de krant.
Kortom: het opzetten van een managementsysteem voor informatiebeveiliging is nu belangrijker dan ooit. Maar het lijkt vaak erg moeilijk om zo'n systeem goed en bruikbaar op te zetten.
Drie redenen waarom:
1. Cybersecurity is moeilijk te begrijpen;
2. De menselijke factor wordt onderschat;
3. Certificering en administratie worden een doel op zich.
1. Cybersecurity is moeilijk te begrijpen
Veel bedrijven haasten zich om beveiligingsmaatregelen te nemen. De meeste van die maatregelen zijn op zichzelf niet slecht, maar ze worden afzonderlijk geïmplementeerd en zijn vaak voornamelijk IT gericht. Om ervoor te zorgen dat de genomen operationele beveiligingsmaatregelen duurzaam zijn en de informatiebeveiliging correct is ingericht, continu wordt verbeterd en up-to-date wordt gehouden, moet er meer worden gedaan.
Denk aan:
Leiderschap zorgt ervoor dat er management is die verantwoordelijkheid neemt en helpt bij het creëren van organisatiebreed bewustzijn door het juiste voorbeeld te geven;
Operationele en HR-processen die moeten worden bijgewerkt volgens nieuwe beveiligingsstandaarden;
Continue monitoring van kwetsbaarheden en bedreigingen om proactief te kunnen handelen en beveiligingsproblemen te voorkomen.
Dit vereist een systeem om continu alle belangrijke facetten te beheren en niet alleen de technologie. Het vereist een programma en strategie om het managementsysteem op de juiste manier te implementeren.
Valkuil: Ongeorganiseerde informatiebeveiliging zonder het implementeren van een Information Security Management System.
Een van de meest voorkomende manieren om dit te bereiken is door ISO27001 te implementeren. ISO: "ISO/IEC 27001 is alom bekend en stelt eisen aan een informatiebeveiligingsbeheer systeem (ISMS). Door dit framework te gebruiken, kunnen organisaties van welke aard dan ook de beveiliging van hun assets beheersen. Denk hierbij aan financiële informatie, intellectueel eigendom, klantgegevens, werknemersgegevens of informatie die door derden is toevertrouwd aan de organisatie."
Het is verstandig om een specialist in te huren die het framework al kent en u kan helpen deze op een praktische manier te implementeren. Of u zich nu wilt certificeren of niet, dat maakt niet uit, het framework biedt richtlijnen voor het bereiken van een solide beveiligingsniveau. Meer weten? Stuur ons een e-mail: info@dvginfosec.com
2. De menselijke factor wordt onderschat
Volgend op de eerste succesfactor: Informatiebeveiliging is meer dan IT en niet alleen het domein van technische wizards met veel schermen met code erop. Veiligheid gaat meer over mensen en hun gedrag dan veel organisaties zich nog realiseren. Hacked.com: "90% van de aanvallen begint met een zeer gerichte spear-phishing e-mail die hackers toegang geeft tot de servers van een bedrijf.”
Phishing-e-mails bijvoorbeeld vereisen tenslotte altijd menselijk handelen om effect te hebben.
Valkuil: Onvoldoende investeringsruimte voor het aantrekken van de juiste expertise en de kennis en bewustwording van de medewerkers binnen de organisatie.
Een van de belangrijkste beveiligingsmaatregelen die u kunt nemen is investeren in uw werknemers en uw organisatie. Creëer een Data Talent Centre dat zich richt op het aantrekken van medewerkers met de juiste en specifieke kennis van data- en informatiebeveiliging. U kunt hiervoor specialisten inhuren maar de data en security markt is een niche en voor veel organisaties is het lastig om de juiste experts aan te trekken. Een wervingsoplossing versnelt het verkrijgen van de expertise die nodig is in uw strijd tegen cybercriminaliteit: DVG Search: information en cyber security recruitment experts
3. Certificering en administratie worden een doel op zich.
Hoewel wij zelf ISO-nerds en proces freaks zijn, houden van checklists en het minimaliseren van risico's, beperken we ook graag de administratieve last.
Albert Einstein: "Bureaucratie is de dood voor ieder succes".
Veelal mondt de implementatie van een ISMS uit in niet concrete beleidsdocumenten, lange en moeilijke checklists en een hoge administratieve last zonder een duidelijke link naar de realiteit van het beveiligen van data, systemen en de organisatie.
Valkuil: Het echte doel wordt uit het oog verloren. Geïmplementeerde controles en procedures zijn te administratief met een te sterke focus op certificering en minder op de werkelijke beveiliging.
Het echte doel is het beveiligen van de informatie, niet de certificering op zich. Als dat tijdens de implementatie van het managementsysteem uit het oog verloren wordt, leidt dat vaak tot een administratieve bureaucratie. Naast tijdverspilling is dit ook een groot risico: het risico om veilig te lijken op papier wat in werkelijkheid een schijnveiligheid is.
Cybercriminelen geven niet om procedures of certificeringen, ze zoeken gewoon naar uw kwetsbaarheden. En als ze er een vinden buiten ze die uit. Beperk daarom de last van de administratie, houd het management efficiënt, creëer geen twee afzonderlijke werelden van administratie en realiteit. Meer weten? Bekijk onze Risk Assessment.
We hadden het ook kunnen hebben over de details van phishing, DDOS, Ransomware, Trojan Horses, Root Kits, Spyware, Malware, Clickjacking, enz.
Hoewel dit allemaal belangrijke termen zijn en manieren waarop u kunt worden aangevallen raden we u aan om u door deze termen niet af te laten leiden.
Focus op de belangrijks basiszaken om uw gegevens te beveiligen:
Zet een managementsysteem op om daarmee continu alle aspecten van cybersecurity te beheersen, niet alleen technologie;
Investeer in kennis en bewustwording van uw medewerkers, dit is één van de meest waardevolle beveiligingsmaatregelen;
Hou rekening met het echte doel, implementeer alleen de controls en administratie die werkelijk nodig zijn.
Zorg ervoor dat in uw bedrijf informatiebeveiliging ook goed wordt georganiseerd, zorg ervoor dat iedereen weet wat te doen, want het is niet de vraag of u wordt aangevallen ... dat bent u hoogstwaarschijnlijk al. De vraag is: bent u klaar om uzelf te verdedigen?
Wilt u weten hoe u ervoor staat? Maak kans op een gratis Risk Assessment twv €2500