IT-beveiliging gaat niet over dingen maar over mensen

Bescherm je data, sluit lekken uit

Je hebt intussen een uitstekend ERP-systeem en dat zit tjokvol onmisbare informatie. Eerst en vooral moet je dus zeker zijn dat er niets mee kan gebeuren. Bovendien is het je wettelijke plicht om klantengegevens te beschermen tegen privacy-inbreuken en diefstal. Tegelijk wil je dat de gegevens altijd en overal beschikbaar zijn voor wie de informatie op dat moment nodig heeft. ERP is een samenwerkingsplatform waar verschillende toegangspoorten toe zijn. De vraag is dan ook hoe je al die toegangspoorten bewaakt. Hoe houd je je ERP- en andere gegevens veilig?

Stap 1: het afschakelplan

We leven in mobiele tijden en je werknemers werken nu eenmaal efficiënter als ze vanop verschillende toestellen toegang krijgen tot de informatie die ze, vaak ook onderweg, nodig hebben. Het eerste wat je dus nodig hebt bij het opstellen van een risicoanalyse is een goed overzicht van alle mensen en toestellen die toegang hebben tot je ERP-systeem. Algauw zal je merken dat op de achtergrond wat passieve servers draaien en er nog toestellen aangesloten zijn die al lang niet meer gebruikt worden.

Schakel alle ‘slapende’ toegangspoorten uit en blokkeer – desnoods tijdelijk – de apparaten waarvan je de oorsprong niet kent. Breng in kaart welke toestellen toegang nodig hebben en wie de eigenaars van die toestellen zijn. Met dit lijstje kan je over naar stap twee: je mensen informeren.

Stap 2: verstevig alle schakels

De meeste cyberaanvallen worden niet meer rechtstreeks op grote servers gepleegd. Tegenwoordig wordt vaak de identiteit van een individu overgenomen of gestolen en misbruikt. Een werknemer die toegang heeft tot gevoelige informatie is het belangrijkste doelwit geworden. Daarom is het belangrijk dat je je mensen informeert, zeker wanneer er ook persoonlijke toestellen gebruikt worden voor het werk. Een ketting is maar zo sterk als de zwakste schakel en bij cybersecurity gaat dat net zo.

Druk daarom iedereen op het hart om ook privé-toestellen zo goed mogelijk te beveiligen. Dat kan uiteraard door een firewall te installeren. Maar wist je dat updaten bijzonder belangrijk is? Updates bieden vaak een patch voor zwakke plekken in de software. Zorg ook voor een meldpunt voor phishing, scamming en spam, waardoor collega’s elkaar kunnen informeren bij twijfel.

Wachtwoorden maak je best zo sterk mogelijk en verander je elke drie maand, ook van het Wifi-netwerk thuis. Persoonlijke netwerken als 3G en 4G zijn veiliger dan openbare hotspots; gebruik de eerste als dat kan, zeker voor het werk. Als je de keuze hebt tussen verbinden via Wifi of Bluetooth, is de laatste de veiligste optie. Verwijder ook apps die je niet meer gebruikt. Zogenaamde ‘zombie apps’ worden niet meer geüpdatet en worden dus steeds onveiliger.

Tenslotte is het aan te raden om een social media policy op te stellen. Niet om te controleren wat iemand post, maar zorg dat iedereen goed weet welke informatie openbaar is en welke niet. Vele sociale media hebben de onhebbelijke gewoonte hun privacy-instellingen zelf regelmatig te ‘updaten’. Elke twee maanden een reminder uitsturen met een korte handleiding om je profielen zo afgeschermd mogelijk te houden, is dus geen slecht idee.

Elke maand een uurtje werk

Nadat je alles in kaart gebracht hebt, zorgen enkele kleine ingrepen er dus voor dat je gegevens beter beschermd zijn tegen inbreuken. Bij vele bedrijven is “patch Tuesday” opgenomen in de bedrijfscultuur. In dit geval wordt er elke tweede dinsdag van de maand geüpdatet en past iedereen collectief zijn wachtwoorden aan. Maak hiervan een goede gewoonte, zowel op het werk als thuis.