Magnifying glass Close

Adblocker is geactiveerd!

Op deze website worden advertenties getoond. Van de advertenties wordt de redactie betaald. De redactie verzorgt het nieuws op deze website. Zonder advertenties geen nieuws. Zou je je adblocker daarom willen uitschakelen

IT-beveiliging draait om het voorkomen van menselijke fouten

Inkoop moet goede IT-afspraken maken met leveranciers

In 2017 was een internationaal containerbedrijf slachtoffer van een aanval met ransomware. Hierna moest het bedrijf ruim 45.000 pc’s en 4000 nieuwe servers herinstalleren. Dit kostte de onderneming ongeveer 300 miljoen dollar. Hieruit blijken de grote en zelfs ontwrichtende gevolgen van cyberaanvallen. Mensen en organisaties zijn volledig afhankelijk geworden van digitaal verkeer. Wat zijn de veiligheidsrisico’s van it-software en – hardware en hoe hou je er rekening mee als inkoop?

De omvang en de ernst van digitale dreiging nemen toe. Tegelijk nemen lang niet alle organisaties de noodzakelijke basismaatregelen voor het afslaan van cyberaanvallen. Wat het nog ingewikkelder maakt, zijn onder andere clouddiensten en het gebruik van mobiele en slimme apparaten. Dit vergroot nog de potentiële kwetsbaarheden. De bescherming tegen digitale schade richt zich op cybersecurity en datasecurity.

Cybersecurity
Bij cybersecurity gaat het om de beveiliging van IT-systemen tegen diefstal of schadelijke aanvallen. Het kan om een ‘harde’ aanval gaan waarbij een aanvaller een ontwerp- of configuratiefout gebruikt om de beveiliging te omzeilen. Er kan ook sprake zijn van een ‘zachte’ aanval met bijvoorbeeld phishing via de e-mail. Bescherming kan plaatsvinden met antivirus- en antimalware-software en met een firewall. Bescherming via hardware gebeurt bijvoorbeeld met NX-bit (AMD) of XD-bit (Intel). Deze technieken beschermen de computer tegen bijvoorbeeld virusaanvallen gericht op overbelasting van het IT-systeem. Tot slot zijn fysieke beveiligingsmaatregelen mogelijk, zoals het vastzetten van apparatuur met staalkabels en het fysiek afsluiten van usb-poorten  

Datasecurity
Datasecurity richt zich op de bescherming van digitale data tegen vernietiging of ongewilde acties, zoals bij een datalek. Ook voorkomt het dat ongeautoriseerde gebruikers toegang krijgen tot data.

Een beveiligingsmaatregel is bijvoorbeeld versleuteling (encryptie). Dit biedt bescherming bij het verzenden en delen van data. Ook is het frequent en structureel maken van back-ups belangrijk om dataverlies te voorkomen.

Een andere vorm van datasecurity is het inloggen met sterke wachtwoorden met twee-factor-authenticatie (gebruik wachtwoord plus extra code). Extra veilig is een inlog met biometrische herkenning. Hierbij moet de gebruiker zich identificeren met vingerafdruk- of gezichtsherkenning.

In aansluiting hierop is een goede voorlichting van medewerkers over het zorgvuldig omgaan met data erg belangrijk. Datalekken ontstaan namelijk vaak door menselijke fouten of onoplettendheid. Een goede monitoring van dergelijke fouten en eventuele datalekken zelf is dan ook belangrijk.   

Organisatorische maatregelen
Voor zowel cyber- als datasecurity zijn organisatorische maatregelen erg belangrijk, omdat menselijke fouten voor grote schade kunnen zorgen. Dit begint met het bewust maken van medewerkers wat IT-veiligheidsrisico’s inhouden. Het kan helpen om medewerkers te laten zien hoe gemakkelijk het is om in het kantoor of in systemen binnen te dringen. Dit kan bijvoorbeeld met een inlooptest of met een namaak-phishingmail.

In combinatie hiermee zijn duidelijke richtlijnen voor het IT-gebruik nodig. Denk aan het niet delen van wachtwoorden, geen externe usb-sticks in de pc stoppen, programma’s tijdig updaten en alert zijn op phishingmails. Ook is het verstandig om voorzichtig te zijn met vertrouwelijke, papieren documenten. Medewerkers moeten daarvan goed op de hoogte zijn. In combinatie daarmee is het trainen van medewerkers belangrijk.

Mobiele apparaten
Er is steeds meer aandacht voor de veiligheid van smartphones en andere mobiele apparaten zoals tablets. Gebruikers vergeten nog wel eens dat voor dergelijke apparaten soortgelijke IT-risico’s gelden als voor een PC.  Met mobiele apparaten wordt bovendien ook in onveilige omgevingen gewerkt. Daarbij staat er vaak ook nog eens vertrouwelijke of privacygevoelige informatie op deze ‘devices’. Dit brengt hoge veiligheidsrisico’s met zich mee. Hiervoor zijn minimaal dezelfde beschermingsmaatregelen nodig als bij vaste computers.

Shadow-IT
Een groot risico voor zowel cyber- als datasecurity is zogeheten shadow-IT. Dat is software of hardware die niet voldoet aan de richtlijnen van de IT-afdeling, maar die medewerkers toch gebruiken omdat het zo gemakkelijk is. Daarnaast kunnen ook gebruiksonvriendelijke officiële applicaties, trage verbindingen, gebrek aan functionaliteiten en soms zelfs gebrekkige invoering van nieuwe applicaties redenen zijn voor gebruik van shadow-IT. De exacte omvang ervan is vanwege het verborgen karakter niet bekend.

Bij shadow-IT ontbreekt het zicht op updates en de kwaliteit van software. Dit kan voor allerlei kwetsbaarheden in een IT-systeem zorgen. Verder kan het ook leiden tot datalekken, doordat gebruikers bijvoorbeeld gevoelige data uploaden naar een externe clouddienst. Het is dan ook belangrijk dat organisaties medewerkers wijzen op de IT-veiligheidsrisico’s van gebruik van niet-goedgekeurde hard- of software. Daarbij is het verstandig om medewerkers duidelijk zelf verantwoordelijk te stellen voor deze risico’s.

Thuiswerken levert een soortgelijk risico op, omdat de kans dan nog groter is dat de werknemer werkt met eigen software en/of niet goed beveiligde software. Bij thuiswerken is het daarom extra belangrijk dat medewerkers zich aan dezelfde veiligheidsvoorschriften houden als op kantoor.

BYOD
Een ander soortgelijk risico wordt gevormd door ‘bring your own device’ (BYOD). Dit betekent dat medewerkers hun eigen ‘devices’ (smartphones, laptops en tablets) mogen gebruiken voor hun werk. BYOD maakt een IT-systeem extra kwetsbaar. Van belang is dat er een duidelijke en vaste scheiding is tussen data en apps in een zakelijk en privédeel. Bovendien moet beveiligingssoftware ook op de externe devices up-to-date blijven. Daarnaast doen organisaties er goed aan gebruikers duidelijk te instrueren om hun apparaten niet door mensen van buiten de organisatie te laten gebruiken.

Het nieuwe digitale werken
Consultant collega Marnix Pilon van adviesbureau Improven stelt op Consultancy.nl dat de laatste jaren digitale risico’s alleen maar zijn toegenomen. Dat komt volgens hem onder andere door de tempo waarin het werken via de cloud afgelopen jaren is gegroeid. “Het nieuwe digitaal werken is veelal onder grote tijdsdruk geïmplementeerd om vooral niet achter te raken. Terwijl veel organisaties hun IT-strategie en IT-beleid nog niet op deze ontwikkeling hebben geactualiseerd.”  

Zijn collega Kevin Hermes waarschuwt voor het koppelen van zakelijke accounts aan apps zoals Google Drive, Dropbox en Gmail. De informatie die je erop zet valt vaak onder Amerikaans recht en buiten de Europese wetgeving (AVG). Organisaties beseffen dat nog onvoldoende.

Het adequaat voorkomen van digitale ‘ongelukken’ vraagt volgens Hermes echt om veranderingen in de kern van organisaties. “Organisatie hebben vaak wel een algemene bedrijfsstrategie, maar men verzuimt aansluitend een afgeleide IT-strategie en passend IT-beleid te formuleren. Terwijl innovatie sneller dan ooit verloopt en IT-beslissingen steeds vaker decentraal worden genomen.”

Inkoop en IT-beveiliging
Inkoopprocessen en de inkoopadministratie zijn steeds meer geautomatiseerd. Dit betekent dat IT-veiligheid ook voor de inkoop steeds meer een aandachtspunt is geworden. Een speciaal onderwerp daarbij is de digitale veiligheid van de toeleveringsketen. Deze is in principe zo sterk als de zwakste schakel. Als één partij de beveiliging niet in orde heeft dan kan dat een datalek van de gegevens van de inkoop betekenen. Het is daarom erg belangrijk om goede afspraken te maken met leveranciers over de IT-veiligheid en het delen van data. 

Verder is het van belang om punten in supply-chainprocessen te identificeren waarvoor een cyberaanval de meeste gevolgen heeft. Inkoopafdelingen doen er goed aan dit in een noodplan met draaiboek te verwerken voor het geval het fout gaat.

Een ander aandachtspunt is dat alle IT-eisen die voor de rest van de organisatie gelden ook in de inkoop worden toegepast. Geef inkoopmedewerkers daarom de verantwoordelijkheid voor de IT-veiligheid binnen hun werkterrein. Bevorder verder een goede samenwerking van de inkoopafdeling met de IT-afdeling. Hierbij moet er aanspreekpunten zijn voor IT binnen de inkoopafdeling en voor de inkoop binnen het IT-team.

Het is tot slot raadzaam om zorgvuldig om te gaan met de uitbesteding van inkoopfuncties. Kies hiervoor betrouwbare partners die hetzelfde niveau van IT-beveiliging toepassen als de uitbestedende organisatie en die werken met de juiste, goed geteste software.

Partner van Inkoperscafé
Partner van Inkoperscafé

Reacties

Partner van Inkoperscafé
Sluiten

Inloggen met

of met e-mailadres