Kennis van cybersecurity op peil houden

16-11-2023

Updates installeren, back-ups maken, multifactorauthenticatie gebruiken en zorgen voor een veilig netwerk: met deze simpele stappen komen organisaties al een heel eind op het gebied van effectieve cyberweerbaarheid. Het is echter ook belangrijk om het informatiebeveiligingsbeleid actueel te houden.

Beveiligingsbewustzijn creëren

In de hele beveiligingsoperatie en in alle procedures zijn de werknemers een belangrijke schakel. Ze maken immers gebruik van alle data en daarvoor moeten ze toegang hebben tot de systemen, programma’s en opslaglocaties van de organisatie. Hoe kan een organisatie voorkomen dat de werknemers de zwakste schakel zijn? Werknemers, uitzendkrachten en externe gebruikers die met gegevensverwerking te maken hebben, moeten zich bewust zijn van de beveiliging, het beleid en de procedures binnen de organisatie. Dat betekent dat het beveiligingsbewustzijn regelmatig moet worden geactiveerd door middel van onder meer:

  • abonnementen op wekelijkse of maandelijkse nieuwsbrieven van kennisorganisaties die ontwikkelingen publiceert op het gebied van cybersecurity, zoals het Nationaal Cyber Security Centrum (NCSC), de Fraudehelpdesk en veiliginternetten.nl. Er zijn ook talloze websites die ingaan op de laatste ontwikkelingen van kwetsbaarheden en cyberdreigingen.
  • trainingen over bewust en veilig datagebruik en online gedrag, maar bijvoorbeeld ook trainingen op het gebied van incidentmanagement, risicomanagement en management van  informatiebeveiliging, zoals de Certified Information Security Manager (CISM);
  • begrijpelijke, hapklare en actuele informatie. Denk aan korte instructies, checklists, tips, applicaties en reminders. Zo kan een organisatie bijvoorbeeld de werknemers elke week of elke twee weken één meerkeuzevraag sturen over dataveiligheid met een beknopte toelichting bij het juiste antwoord.

Daarnaast moeten werknemers altijd een hulplijn kunnen inschakelen als ze informatie missen of ergens over twijfelen.

Bouwen aan een netwerk

Het opzetten en onderhouden van een netwerk van professionals is ook een belangrijk aspect van het leren en bijblijven. Met een netwerk van diverse professionals hebben de werknemers altijd iemand om mee te sparren. Ook kunnen ze samen bedreigingen en nieuwe ontwikkelingen signaleren. Er zijn ook verschillende netwerkgroepen gericht op informatiebeveiliging of op basis van functies. Door deelname aan deze netwerkgroepen doen de werknemer kennis op en worden zij op de hoogte gebracht van alle ontwikkelingen die spelen binnen hun vakgebied.

Leren van incidenten

Ondanks allerlei maatregelen kunnen beveiligingsincidenten zich toch voordoen. Belangrijk is dat de werknemers leren van de evaluatie van de incidenten. Bij zwakke plekken in de beveiliging en beveiligingsrisico’s moet tijdig en doeltreffend worden gehandeld om kwetsbaarheden beheersbaar te houden. Bij het beheer van technische kwetsbaarheden kunnen er ook evaluatiemomenten zijn waaruit nieuwe geschikte maatregelen naar voren komen om risico’s te verkleinen. Mochten er juridische maatregelen voortkomen uit incidenten, dan is het ook belangrijk een goede procedure te hebben voor het verzamelen van bewijsmateriaal, en dit te bewaren en presenteren via de bewijsrechtelijke regels.