6 eenvoudige tips voor het voorkomen van datalekken
1. Geef medewerkers alleen toegang tot data en systemen die nodig zijn voor het uitvoeren van zijn of haar taken
De eerste tip heeft te maken met data. Vaak hebben medewerkers toegang tot gehele server- of cloudomgevingen. Dit kan potentieel erg gevaarlijk zijn. Toegang van medewerkers beperken tot enkel data die hij/zij nodig hebben voor het uitvoeren van taken is een belangrijke stap in het reduceren van de impact van data breaches. Zo hoeft bijvoorbeeld een IT-beheerder geen toegang te hebben tot personeelsdossiers en een HR-personeelslid geen toegang tot klantdocumentatie. Door dit goed af te schermen op basis van rollen, kan een potentiële indringer niet direct bij alle informatie.
Bovenstaand beleid geldt ook voor het verlenen van fysieke toegang tot belangrijke ruimtes. Geef bijvoorbeeld niet iedereen toegang tot de netwerk/serverruimte, maar enkel de werknemers die hier geregeld moeten zijn. Mocht een potentiële indringer een pasje of sleutel hebben buitgemaakt van bijvoorbeeld een receptiemedewerker, dan heeft die persoon in ieder geval geen toegang tot deze belangrijke ruimtes.
2. Ontwikkel een Cyber Incident Response Plan
Het opstellen van een Cyber Incident Response Plan maakt hét verschil op het moment dat je getroffen wordt door een cyberaanval. Een Cyber Incident Response Plan stel je zo op:
Stel je een incidentteam samen: wie gaat coördineren en wie zorgt voor de communicatie bij een aanval en bij wie kunnen medewerkers terecht om een incident te melden?
Breng de risico’s voor jouw organisatie in kaart en bepaal de impact voor deze risico’s. Zijn er bijvoorbeeld bepaalde systemen of afdelingen die extra kwetsbaar zijn? Plaats jezelf in de ogen van een hacker, hoe zou jij bij je eigen organisatie binnen proberen te dringen?
Maak een actieplan. De beste manier om dit te doen is om een paar scenario’s uit te werken. Wat is het incident, wat moet er gebeuren, wie moet erbij betrokken worden en wie moet er worden geïnformeerd? Iedere medewerker in jouw organisatie moet van dit actieplan afweten en gemakkelijk kunnen vinden.
Oefen het actieplan en verwerk de resultaten in het plan.
Tip: Stel een Cyber Incident Response Plan altijd op met collega’s uit meerdere afdelingen van je organisatie. Zo weet je zeker dat het plan voor iedere afdeling haalbaar is en er rekening wordt gehouden met alle facetten van je organisatie.
3. Verplicht sterke wachtwoorden én multifactorauthenticatie
Het verplichten van sterke, unieke wachtwoorden in combinatie met multifactorauthenticatie is een erg belangrijke maatregel in de strijd tegen potentiële datalekken. Niet alleen malware zorgt voor datalekken. Accounts met eenvoudige wachtwoorden zonder multifactorauthenticatie zijn een makkelijke prooi voor criminelen. Wanneer criminelen toegang hebben tot een account, dat vervolgens ook nog eens toegang heeft tot veel data kan het heel snel gaan.
In deze blog lees je hoe je een goed wachtwoordmanagement voor jezelf of voor je medewerkers opstelt: Wachtwoordmanagement, wat is het en waarom is het belangrijk? – Insign.it – voor de feiten uit l Venlo, Limburg
4. Verbeter security awareness van medewerkers door geven trainingen
Volgens het 2022 Data Breaches Investigations Report van Verizon was bij 82% van de datalekken een menselijk element betrokken. Je kunt alles op technisch gebied dus zo goed dichttimmeren als je wil, maar zolang medewerkers zonder na te denken op allerlei verdachte links en mails klikken, of wachtwoorden als ‘Welkom1’ gebruiken, loop je alsnog een groot risico. Een goede bewustwording van jouw medewerkers is dus essentieel in de strijd tegen een potentieel datalek. Security Awareness trainingen helpen hierbij.
5. Zorg ervoor dat je IT-systemen en software up-to-date zijn
Het updaten van je systeem is niet alleen om toegang te krijgen tot vernieuwingen of nieuwe functionaliteiten. Vaak zijn deze updates ervoor gemaakt om kwetsbaarheden in een besturingssysteem of software te dichten. Wanneer een softwarebedrijf een bug of storing in hun softwareprogramma vindt, is het vaak een race tegen de klok. In het beste geval detecteerde het softwarebedrijf het lek voordat hackers dat deden. Helaas zijn de hackers hen echter vaak voor en moeten de softwarebedrijven zich haasten om het gat te dichten voordat er meer klanten slachtoffer worden. Klik daarom niet voor eeuwig op ‘herinner mij later’, maar kies ervoor om die paar minuten te nemen en je software en besturingssysteem up-to-date te houden.
6. Wees voorzichtig met het gebruik van USB-sticks
De laatste tip is om het gebruik van USB-sticks algeheel uit te sluiten. Buiten dat een USB-stick gemakkelijk kwijtraakt met daarop potentieel gevoelige informatie, neemt het aantal ‘bad-USBs’ toe. Een bad-USB is een USB-stick met als doel: indringen in jouw systemen. In de Verenigde Staten heeft de FBI begin dit jaar hier meerdere waarschuwingen voor uitgegeven. Onderstaande afbeelding geeft weer hoe zo’n bad-USB werkt.