Databeveiliging onder de GDPR: helemaal niet zo lastig als het lijkt
Veel bedrijven lopen achter met het aanpassen van hun informatiebeveiliging en riskeren hoge boetes als straks de GDPR van kracht is. Goede databeveiliging is echter veel minder veelomvattend en ingewikkeld dan bedrijven denken. Met een paar eenvoudige maatregelen maak je een vliegende start.
Volgens een onderzoek van auditbureau Brand Compliance is momenteel zo’n 80 procent van het mkb in Nederland niet in staat om te voldoen aan de regels van de GDPR. Als de autoriteit persoonsgegevens actief zou handhaven, zouden ze niet door de keuring komen. En met name de databeveiliging, zowel de fysieke bescherming als de netwerkbeveiliging, is bij veel bedrijven onvoldoende. Men voelt geen noodzaak om databeveiliging goed te regelen en gaat pas aan de slag als er een groot incident is geweest. Het gevolg hiervan is dat het aantal slachtoffers van cybercrime vrij hoog blijft.
Organisaties hebben vooral last van malware (30%; cijfers van Cyberveilig Nederland), zoals vijandige virussen en aanvallen, waaronder computervirussen, wormen, Trojaanse paarden, ransomware, spyware, adware, scareware en andere programma’s die met kwade intenties gemaakt zijn. Daarnaast is ook phishing (10%) een veelvoorkomende vorm van cybercriminaliteit. Phishing verwijst naar een vorm van oplichting waarbij de aanvaller in een mail of telefoongesprek zich voordoet als een ander. Doel van phishing is het bemachtigen van wachtwoorden en persoonsgegevens die de aanvaller kan gebruiken om identiteitsfraude te plegen.
Het is een behoorlijk karwei om je tegen al die cyberdreigingen te wapenen. Een bedrijf kan makkelijk slachtoffer worden van een cyberaanval wanneer medewerkers slachtoffer zijn van malware of phishing en er niet genoeg beveiligingsrichtlijnen zijn. De meest voorkomende missers die bedrijven maken bij databeveiliging zijn volgens de onderzoekers:
- Planloos tewerk gaan (er is geen databeveiligingsplan beschikbaar)
- Databeveiliging beschouwen als een zaak van de IT-afdeling
- Alle vertrouwen schenken in firewalls, antivirusprogramma’s en anti-malware software zonder deze bij te houden
- Medewerkers zonder richtlijnen en training gebruik laten maken van bedrijfsdata
- Niet weten waar data opgeslagen zijn
- Geen zorg dragen voor databeveiliging bij het starten van een nieuw initiatief
- Slechte wachtwoorden gebruiken
- Eén beveiligingsoplossing hebben die je gebruikt voor al je beveiligingszaken
- Ervan uitgaan dat mensen beveiliging belangrijk vinden
- Vergeten dat er zoiets als social engineering bestaat
Als je deze lijst zo ziet, dan zie je al gauw dat veel van de problemen eenvoudig te tackelen zijn. Zorg ervoor dat mensen van tijd tot tijd nieuwe wachtwoorden aanmaken, software op tijd updaten en zorg ervoor dat personeel adequaat getraind is om verdachte activiteiten te herkennen en hierop te kunnen reageren. Gebruik maken van beveiligingsmiddelen - zoals passwordmanagers en tweefactor authenticatie - en het inhuren van professionele cyber security bedrijven is een volgende stap in het effectief beveiligen van data. Al deze zaken zijn niet ingewikkeld. Bovendien kan je voor advies terecht bij het gloednieuwe Digital Trust Centre (DTC) van de Nederlandse overheid.
Wordt geen Cambridge Analytica slachtoffer zoals Mark Zuckerberg en zet de noodzakelijke stappen op het gebied van dataveiligheid. Want met een paar eenvoudige stappen ben je al hard onderweg.
Door: Dingeman Leijdens (foto), directeur en oprichter van TJIP