Wie geen virussen wil oplopen, kan de hele dag paracetamol slikken, een dikke muts en shawl dragen en niemand de hand schudden, om van kussen maar helemaal te zwijgen. Hij kan ook voor het eten en na een toiletbezoek zijn handen wassen. Zo werkt het ook bij IT-security. Het begint bij jezelf.
Voor METRI is security een belangrijk fenomeen. Wij bemiddelen al voor klanten die een beveiligingspartner zoeken maar we gaan binnenkort vaker en op meer security-aspecten benchmarken. Daar hoort bij: maturity, ofwel hoe volwassen is een organisatie en hoeveel impact heeft die volwassenheid (of het gebrek daaraan) op het securitybeleid? Voor veel organisaties is dat goed om te weten. Veel organisaties willen weten welke partij of welk middel ze het best kan beschermen tegen de gevaren van buitenaf.
Maar nu even onder ons: de beste partij die u kan helpen met de bescherming tegen alle online gevaren, dat bent u zelf. Ik hoef niemand uit te leggen dat er ontzettend veel bedreigingen zijn, net als in het echte leven. En je kunt je echt niet overal tegen beschermen. Misschien wel tegen veel, maar dan betaalt u wel torenhoge kosten. Vraag dat maar aan Geert Wilders.
Bedrijven die zich tegen alle mogelijke gevaren willen beschermen, wat een utopie is, kijken vaak bij de concurrenten of branchegenoten wat zij aan veiligheidsmaatregelen nemen. Intussen zijn er security-partijen die aan bangmakerij doen en niet kijken naar uw risico’s. Met als centrale boodschap: dek elk risico af! Prioriteit nummer één is echter: kijk goed hoe uw (bedrijfs-)informatie eruitziet; welke informatie moet u goed beschermen vanuit privacy-oogpunt of met het oog op bedrijfsgeheimen? Classificeer die informatie en bepaal welke risico’s er aan die informatie kleven en wat kunt u doen om dat alles te mitigeren?
Natuurlijk kun je aan de hand van een risicoprofiel, dat u door een specialist laat bepalen, middelen kopen en inzetten. Maar nogmaals, je kunt je niet overal tegen beschermen. Maar je kunt wel zelf maatregelen nemen. Om de parallel te trekken met het gewone leven: u eet en drinkt ook niet alles, toch? En u neemt toch ook een basis hygiëne in acht? Dat zou ook voor uw mensen moeten gelden als het om onlinegedrag gaat. En dan niet alleen binnen uw bedrijfsmuren, maar vooral erbuiten. Wat heeft u afgesproken met uw mensen die vaak buiten de deur werken? Hoe gaan jullie om met phishing mails? Het is cruciaal dat er bewustzijn is als het gaat om internetgebruik. Daar begint alles. Doordring uw mensen ervan dat datgene wat zij buiten het bedrijf doen een potentieel gevaar is voor het bedrijf. Dat criminelen met phishing via hun mailaccount uiteindelijk bij bedrijfsgeheimen kunnen komen? Wat dat betreft is een awareness-sessie van een halve dag een aanrader. Zodat ze weten: dit kan er gebeuren als mijn profiel zomaar rondzwerft op internet. Laatst keek ik met mijn dochter mee op Instagram. Zij is 14 en heeft haar account keurig afgeschermd. Goed opgevoed ja, u haalt de woorden uit m’n mond. Veel mensen weten echter niet eens dat je een account kunt afschermen. Eigenlijk zouden ze dat op scholen al moeten doceren.
Betekent het dat je door bewustzijn en het in acht nemen van een basishygiëne verder geen maatregelen moet nemen? Uiteraard niet. Maar voordat u een fort bouwt om het bedrijf, met gepantserde muren en kogelvrije vesten, kijk dan eerst wat uw mensen doen. Hoe gedragen zij zich? Denk na over te nemen maatregelen en het opstellen van protocollen, die voor iedereen gelden. Ofwel: was je handen voor het eten en na een toiletbezoek. En vraag aan de specialist wat je verder nodig hebt op basis van je risico-analyse.