SecurityBeveiligingssoftware is nog geen security

Quizvraag: welke beveiligingsmaatregelen heb je genomen? Een virusscanner op de zaak, een VPN voor de thuiswerkers en 2-factor authenticatie op de belangrijkste programma’s? Dan hebben we slecht nieuws voor je: de kans is groot dat je helemaal niet veilig bent. 

En dit is waarom.

Software is nog geen security

Waarom het beschermen van bedrijfsinformatie verder gaat dan technologie

Regelmatig komen we bij bedrijven over de vloer en inventariseren we de beveiligingsmaatregelen. Maar wat op het oog goed beveiligd lijkt, is in de praktijk lang niet altijd even goed dichtgetimmerd.

Veel bedrijven maken security tooling leidend in hun beveiligingsbeleid. Maar is dat wel logisch? Wij vinden van niet.

Als je het hebt over informatiebeveiliging, dan gaat dat over mensen, over processen en over de cultuur rondom security. Want de zwakste schakel is niet de hard- of software: de zwakste schakel is en blijft de mens.

Beveiligingssoftware is schijnveiligheid

Informatiebeveiliging moet breder worden aangepakt dan alleen de aanschaf van de juiste tools. Het gaat om het creëren van een beveiligingscultuur binnen je organisatie. Stel jezelf eens de vraag: hoe weet je of de keuzes die je maakt ook daadwerkelijk je bedrijf beschermen?

Het is belangrijk dat je niet zomaar iets aanschaft "omdat het goed klinkt", maar omdat het daadwerkelijk bijdraagt aan je veiligheid.

Een voorbeeld van een goede beveiligingsstrategie is het inzetten op awareness. Awareness is namelijk veel meer dan je medewerkers af en toe een phishing-simulatie uit te laten voeren of online een training te laten volgen. Want hoe weet je zeker dat ze echt begrijpen hoe ze moeten handelen bij een bedreiging?

Het integreren van beveiligingsbewustzijn in de bedrijfscultuur, bijvoorbeeld via HR-processen, is veel effectiever. Door security te koppelen aan in-, door- en uitstroomprocessen en het algemene HR-proces, zorg je ervoor dat iedereen vanaf dag één op de hoogte is van de veiligheidsregels. Het resultaat is dat iedereen weet waarom maatregelen bestaan en hoe er in geval van een incident gehandeld dient te worden.

En ook heel waardevol: door security te koppelen aan HR-processen, houd je doorlopend in de gaten wie toegang heeft tot welk systeem. Zo voorkom je dat autorisaties gaan 'stapelen'; iets wat kan gebeuren als iemand doorstroomt binnen het bedrijf. Want een medewerker met te veel autorisaties vormt een groter risico dan iemand met alleen de autorisaties die hij of zij echt nodig heeft.

De juiste keuzes maken: wat heb je écht nodig?

Het is belangrijk om je beveiligingsstrategie te baseren op risicoanalyses. Denk goed na over wat je beschermt. Wat zijn de "kroonjuwelen" van je bedrijf? Wat zou er gebeuren als je die data verliest of als je bedrijf tijdelijk niet kan draaien door een cyberaanval?

Een goede strategie omvat meer dan alleen software. Het gaat om scenario’s doorwerken en plannen maken: wat doe je als een hacker belt? Hoe ga je om met een ransomware-aanval waarbij je klantgegevens op het spel staan?

Begin bij de basis, en bouw van daaruit verder

Uiteindelijk gaat het bij informatiebeveiliging niet alleen om de juiste tools, maar om de juiste mindset en aanpak. Start met een analyse van je cybersecurity om te ontdekken waar je staat. Integreer beveiligingsbewustzijn in je bedrijfsprocessen en zorg ervoor dat je keuzes maakt op basis van feiten en risico’s, niet omdat de buurman het doet.

Over de auteur

Jan Vellema is gespecialiseerd in de combinatie van/tussen bedrijfsvoering en cybersecurity. Met zijn expertise helpt hij bedrijven aan een doordacht beleid.

Ben jij je genoeg bewust van cybersecurity-risico's op de werkvloer? Kijk ons on-demand webinar 'Introductie security awareness' en ontdek hoe jij kunt bijdragen aan een veilige digitale werkplek