Databeveiliging: noodzakelijk, maar licht ontvlambaar
Databeveiliging is momenteel “hot & happening”; het regent namelijk nieuwe privacywetgeving, CISO/DPO vacatures en helaas ook datalekmeldingen. Ook bij TOPdesk is databeveiliging een hot topic binnen alle lagen van de organisatie. Gezien de technische aard van onze diensten is dat natuurlijk ook niet zo vreemd.
Cybersecurity bij TOPdesk
Als cybersecurity advocate binnen TOPdesk, ben ik de afgelopen 10 jaar altijd begaan met de veiligheid van collega’s en klanten, en help ik het databeveiliging fort bemannen op de IT afdeling. Ons doel? Vermijdbare datalekken vermijden. Natuurlijk begrijpen wij ook wel dat je alleen volledige veiligheid kunt bereiken als je geen klanten hebt, niets van waarde bewaart en alle medewerkers naar huis stuurt. Maar dat is nogal een lastige manier van werken.
Wat kun jij doen om je data te beveiligen?
Voor elk bedrijf is het uiteraard belangrijk om een passende balans te vinden tussen vrijheid en (technische) maatregelen. Je wilt de groei en creativiteit van medewerkers natuurlijk niet beteugelen door te hard aan de spreekwoordelijke rem te trekken. De oplossing? Medewerkers voldoende kennis en middelen geven om zich digitaal te kunnen weren èn tegelijkertijd kritieke systemen op technische wijze beveiligen.
Stel een toegewijd security team samen
Het begint allemaal met mensen binnen het bedrijf die zich verantwoordelijk voelen voor alles dat met security te maken heeft. Het liefst zijn dit mensen uit alle hoeken van de organisatie zodat er geen maatregelen worden genomen die potentieel een on-vertegenwoordigde afdeling kortwieken. Zo voorkom je ook dat je belangrijke databronnen over het hoofd ziet.
Tref de nodige technische maatregelen
In elke organisatie zijn er systemen die je prima technisch kunt beperken zonder collega’s in de weg te zitten. Dus doe dat dan ook. Ik heb het hier bijvoorbeeld over toegang tot boekhoudsystemen, archiefruimtes en datacentra.
Een andere belangrijke technische maatregel is versleuteling en antivirussoftware afdwingen op werkstations. En procedures waarbij alle aanwezige standaardaccounts van nieuwe apparatuur wordt verwijderd.
Duidelijke regels
Verwachtingen uitspreken is belangrijk. Zeker als het gaat om security. Wat verwacht je van medewerkers als ze bedrijfsdiensten en -apparatuur gebruiken?
Impliciete regels zijn niet voldoende; de ervaring leert dat ondanks goede intenties medewerkers niet altijd goed in staat zijn zelf in te schatten wat wel en niet “okay” is. Een goed voorbeeld hiervan is het gebruik van VPN-diensten. Dit klinkt vaak onschuldig en handig, maar kan onbewust leiden tot het omzeilen van belangrijke technische beveiligingsmaatregelen.
Wil je kennis en regels binnen je bedrijf centraal beschikbaar stellen? Dat kan binnen TOPdesk met kennis beheer!
Train je mensen met cursussen security
Regels vereisen soms vaardigheden om nageleefd te kunnen worden. Neem bijvoorbeeld regels over het delen van klantinformatie: deze kunnen genegeerd worden door een medewerker die gevoelig is voor phishing of social engineering, simpelweg doordat men zich niet bewust is van de gevaren. Daarom is goede security training zo belangrijk.
Bij TOPdesk is de vraag naar data protection hulp bij projecten gestegen ná security training omdat de potentiële gevaren ineens duidelijk werden.
Daarnaast is het belangrijk dat er mensen binnen het bedrijf aanwezig zijn die een oplossing kunnen bieden als er echt iets gebeurt. Security training is dan ook niet alleen nodig voor de gebruiker, maar ook voor de security experts zelf: zij moeten de juiste inhoudelijke vaardigheden hebben om gevaarlijke situaties op te lossen.
Getrainde medewerkers als detectienet
Getrainde gebruikers kunnen worden gezien als een uitgebreid detectienet. Als dit detectienet goed functioneert, worden zichtbare onveilige situaties gemeld. En dat scheelt.
Natuurlijk kun je niet altijd alles zelf in de gaten houden. Wil je meer zicht op de situatie? Dan kun je hiervoor technische detectie in de vorm van monitoring inrichten. Denk hierbij aan systemen die automatisch alarm slaan op basis van criteria zoals “vreemd” gebruikersgedrag of foutief geconfigureerde hardware.
Informeer je medewerkers over de hulplijnen in geval van nood
Maar al deze maatregelen betekenen niets als je niets doet – of te laat handelt – bij een onveilige situatie. In geval van nood moet je zo snel mogelijk onderzoeken wat het probleem is en dit waar mogelijk neutraliseren.
Bij TOPdesk hebben we hier een gespecialiseerd team voor. Zodra er iemand één van de bekende alarmeringsmiddelen gebruikt, laat dit team alles vallen en worden de procedures uit de spreekwoordelijke kast getrokken.
Goede voorbereiding is het halve werk
Het is niet de vraag “of” maar juist “wanneer” het fout gaat. Maar je kunt wel voorbereid zijn: passende technische beveiliging, gebruikers die in staat zijn onveilige situaties te herkennen en een team toegewijde probleemoplossers kunnen de risico’s binnen het huidige digitale speelveld enorm verminderen.
Databeveiliging is veelal een onderwerp met een negatieve en soms autoritaire connotatie, het is dan ook belangrijk nooit het einddoel uit het oog te verliezen. Het gaat er namelijk om dat alle betrokkenen op een zo fijn en veilig mogelijke manier hun ding kunnen doen zonder zich constant zorgen te hoeven maken of dingen wel veilig zijn of niet.
Zolang je op een passende wijze de organisatie weet te behoeden voor catastrofe terwijl je belemmeringen zoveel mogelijk voorkomt ben je goed (genoeg) bezig!
Meer weten?
Wil jij je servicedesk niet alleen veiliger maken, maar ook blijer? Ga aan de slag met TOPdesk.
Inspireer anderen, deel deze blog