Systeembeheer

Cybercrime is slechts een aspect bij de inventarisatie. Dreigingen kunnen ook een brand zijn of een ernstig technisch falen, zoals een harddisk-crash. Een medewerker kan per ongeluk een belangrijke bestandenmap wissen of zijn/haar laptop met vertrouwelijke documenten bij een klant achterlaten of vergeten in de trein. Iemand vergeet de deur van uw serverruimte op slot te doen. Bedreigingen voor uw bedrijfsinformatie kunnen van zeer uiteenlopende aard zijn. Zo kan een softwarefout in uw bedrijfseigen programmatuur er de oorzaak van worden dat een hacker zich een toegangsweg baant tot uw bedrijfsnetwerk.

Nadat al deze gevaren geïnventariseerd zijn, dienen het risico en de impact van elk ervan op uw organisatie gewogen te worden. Soms kan met een simpele kansberekening het risico bepaald worden. De impact van een event kan dikwijls nauwkeurig berekend worden.

Nadat alle risico's en gevolgen duidelijk in kaart gebracht zijn, kunnen de beschermende maatregelen opgesteld worden. Dit kan variëren van een aanpassing van een werkinstructie tot de installatie van een nieuwe firewall of het aangaan van een cloudovereenkomst met een bepaalde leverancier.

Het is een illusie te denken dat we alle risico’s kunnen uitsluiten. Er blijft altijd een onbeheersbaar stuk risico bestaan. Denk alleen maar aan natuurrampen, blikseminslag, overstroming, maar ook menselijke fouten en kwaad opzet zijn niet volledig beheersbaar. Het enige wat we nog kunnen en moeten doen is dit overblijvende risico zo klein mogelijk houden. Dit is voor iedere organisatie anders en daarom bestaan er ook geen pasklare modellen voor de opmaak van een informatiebeveiligingsbeleid. Elk bedrijf zal een beleid moeten opstellen dat het best bij de organisatie past.

5 Quick Wins voor kleine bedrijven

Voor kleine bedrijven is het vaak niet doenbaar om een uitgebreid informatiebeveiligingsbeleid op te stellen. Kleine bedrijven (< 10 medewerkers) adviseren we om zich voornamelijk te concentreren op de 5 belangrijkste "Quick Wins" voor informatiebeveiliging:

• Zorg dat overal in het bedrijfsnetwerk (gebruikerslogin, netwerkapparatuur, eigen software,...) sterke wachtwoorden worden gebruikt (minimaal 14 tekens met cijfers, tekens, kapitalen)
• Zorg dat de back-ups helemaal op punt staan: dagelijkse back-ups, minimaal op een extern medium, met kopieën op een externe locatie; Regelmatige tests van deze back-ups en een sterk beveiligde back-up omgeving.
• Antivirus software op alle werkstations met bij voorkeur antivirus/anti-spam software van een andere leverancier in de firewall. Wekelijkse full-scans op de werkstations en server.
• Laat jaarlijks een informatiebeveiligingsdeskundige een uurtje langskomen om voor alle medewerkers een voordracht te geven hoe men dient om te gaan met phishing-mails/telefoontjes, kwaadaardige mails herkennen, hoe te reageren op een alert van de antivirus software, veilig download gedrag en het installeren van updates.
• Zorg dat alle IT systemen regelmatig gecontroleerd worden op updates en dat de updates worden geïnstalleerd.