14 februari staat sinds jaar en dag in het teken van de liefde. De dagen ervoor staan in het teken van het kopen van een cadeautje of cadeautjes voor een geliefde. Ik had de cadeautjes afgelopen vrijdag in huis. Dit soort dagen, waarbij ook de websitebezoeken en het aantal online aankopen sterk toenemen, zijn ook populair bij cybercriminelen. Krijgt u te maken met dit soort ongewenste online bezoekers, bijvoorbeeld doordat een kwaadwillende met gestolen gegevens inlogt, dan kunt u maar beter een aantal voorzorgsmaatregelen hebben getroffen. Maatregelen om de criminele interesses zo snel mogelijk in de kiem te smoren.
Online shoppen
Online shoppen is het nieuwe normaal. Mede vanwege de lockdowns werden organisaties gedwongen te investeren in zaken als een website, webshop, een online portaal en apps. Alles om de klant ondanks de beperkingen toch efficiënt te kunnen bedienen. Keerzijde van deze ontwikkelingen is dat deze middelen toegang geven tot de grote liefde van menig cybercrimineel: data. Persoonlijke data zijn gewilde gegevens, oftewel het nieuwe goud. Met persoonlijke data ontstaan mogelijkheden zoals identiteitsdiefstal, fraude, chantage of het plunderen van een bankrekening. De hoogste tijd om ervoor te zorgen dat de cybercrimineel zijn liefde niet verklaart aan uw data.
Train uw medewerkers
Cybercriminelen maken dankbaar gebruik van nieuwe technologieën en marketingtechnieken. Ze weten dat wij beter reageren als een aanbod precies bij ons past. U kunt uw medewerkers wapenen tegen dit soort aanvallen met goede trainingen. Dat wil zeggen: trainingen waarmee ze echt beleven wat er gebeurt bij zo’n aanval. Tijdens zo’n crisissimulatie worden medewerkers geconfronteerd met een ransomware-aanval. Wat doet u als uw bedrijfskritische data ineens razendsnel wordt versleuteld? Of als cybercriminelen dreigen datasets met gegevens van uw klanten te publiceren? Net als met een fysiek bedrijfsincident is snel handelen geboden om erger te voorkomen.
De kracht van herhaling
Alles wat u aandacht geeft groeit. Een brandoefening doet u ook vaker. Daarom is herhalen zeer verstandig. Niet alleen om kennis te maken met de nieuwe dreigingen, ook om scherp te blijven. Daarbij gaat het overigens niet alleen om phishingberichten. Wat te denken van cybercriminelen die bellen naar een helpdesk, zich als u voordoen en proberen om zo uw wachtwoord te laten resetten? Zo kunnen ze toegang tot uw account krijgen en vervolgens tot bedrijfsgegevens. Hoe meer informatie er van u bekend is bij de cybercrimineel, hoe makkelijker het wordt om een helpdeskmedewerker te verleiden. Kortom, trainen, toetsen en testen.
Wees voorzichtig met toegangsrechten
Niet iedereen heeft de code van de kluis. Op dezelfde manier zou u idealiter om willen gaan met uw bedrijfsdata. Zorg dat men alleen bij die data kan die nodig is. Dat noemen we Role-Based Access Control (RBAC). De marketeer hoeft bijvoorbeeld geen toegang tot de leveranciersadministratie of personeelsgegevens. Ook het opsplitsen van het netwerk in verschillende segmenten, zoals een netwerksegment voor de printers, een segment voor de administratie en voor gasten helpt. De cybercrimineel die dan toch binnenkomt, verdwaald dan al snel.
Bewaak de voordeur en zet er een goed slot op
Een wachtwoord alleen is niet meer genoeg om de toegang tot uw IT te bewaken. Haast alle cyberaanvallen maken gebruik van gestolen of voorspelbare wachtwoorden. Daarom zijn extra elementen van belang om toe te voegen aan de toegangscontrole. Dat heet multifactor-authenticatie (MFA). Denk aan een app op de smartphone van uw medewerkers. Als ze willen inloggen, moeten ze dat bevestigen via deze app. Zo zorgt u dat uw medewerkers iets weten (het wachtwoord) en iets hebben (de smartphone). Daarmee werpt u een drempel op voor hackers.
Betrek medewerkers
Draagvlak is een belangrijk gegeven. Als men de context achter een maatregel begrijpt zal dat het adoptieproces versnellen. Dus gaat u een cybersecurity maatregel invoeren? Zorg dat uw medewerkers meegenomen worden in het veranderproces en train hen in het gebruik! Juist tijdens de dagdagelijkse bezigheden beseffen we ons niet altijd welke gevaren er op de loer liggen. Bijvoorbeeld we krijgen alleen een verzoek tot authenticatie op onze smartphone bij het inloggen. Zit u dus in een overleg en logt u zelf niet in, maar krijgt u wel een authenticatieverzoek? Dan is er dus iets aan de hand! Kortom, trainen, toetsen en testen.
Bewaak uw beveiliging
Professionele cybersecurity vereist permanent aandacht. Ook op het hoogste niveau! Zorg er daarom voor dat cybersecurity ook regelmatig op de agenda van het directieoverleg staat. Cybersecurity is niet alleen een IT-feestje, maar moet gedragen worden binnen de hele organisatie. Het gaat immers om medewerkers, processen en technologie en raakt bovendien alle kritische bedrijfsprocessen. Daarnaast is het belangrijk dat er beleid wordt ontwikkeld en bewaakt. Denk daarbij aan beleid op het gebied van omgaan met bedrijfskritische data of op het gebied van informatiebeveiliging. Welke medewerkers hebben toegang tot welke data, op welke manier en met welke reden? Hoe wordt omgegaan met phishingmails? Welk proces wordt er gevolgd als een medewerker wel op een phishinglink klikt? Allemaal zaken die u graag inzichtelijk wilt hebben voordat een cybercrimineel verliefd wordt op uw data. Zo wordt cybersecurity een steeds grotere factor in het succes en de reputatie van uw bedrijf.
Bewaak alle in- én uitgangen
Uw bedrijfsnetwerk bestaat uit talloze verschillende apparaten en diensten. Steeds meer bevinden ze zich buiten de directe controle van het bedrijf: doordat mensen thuiswerken of doordat partnerbedrijven gekoppeld worden aan uw netwerk. Om contact met klanten efficiënt te houden zijn er verschillende tools, denk aan apps, de webshop en een klantportaal. Laat bijvoorbeeld eens testen of er kwetsbaarheden in verborgen zitten. Op die manier krijgt u inzage in de mate van veiligheid en zodoende ook in waar u als organisatie kwetsbaar bent.
Gaat u ook op blinddate met leveranciers?
Net als tijdens een eerste date wilt u graag een goed gevoel bij uw mogelijke partner. Wat is het voor persoon? Kan ik veilig met die persoon een avondje op stap? Of doet de persoon zich online anders voor dat in het echt? Zakelijk is dat ongeveer net zo. Is die ene leverancier echt ter goeder trouw en kunt u met een gerust hart zaken doen of is het in feite de cybercrimineel? Hebben uw leveranciers bijvoorbeeld de cybersecurity basis wel op orde? En heeft u die risico’s en afhankelijkheden in kaart gebracht? Of kunt u gerust zijn, want er zijn geen risico’s?
Een gewaarschuwde medewerker telt voor twee.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.