2. Bevorder veilig gedrag
Bij de meeste cyberincidenten speelt de mens een rol. Dat is niet verrassend: dagelijks zijn er talloze interacties tussen mensen en systemen en soms gaat er iets mis. Zo kun je met een klein foutje bijvoorbeeld een datalek veroorzaken. Cybercriminelen maken bovendien gebruik van slimme technieken om onveilig gedrag uit te lokken. Denk bijvoorbeeld aan phishingmails, social engineering of andere vormen van online fraude.
Waarom dit basisprincipe?
Het is belangrijk om veilig gedrag te stimuleren om weerbaarder te worden tegen digitale dreigingen. Dit kan door medewerkers bewust te maken van risico's, ze te trainen in het omgaan met incidenten en een cultuur te creëren waarin mensen veilig melding kunnen maken als er onverhoopt iets misgaat. Technische oplossingen kunnen hierbij helpen. Denk aan spamfilters om phishing te herkennen, inloggen in 2 stappen of het gebruik van wachtwoordmanagers. Door te investeren in je mensen maak je van hen een sterke eerste schakel in jouw cybersecurityketen.
Wat kun je doen?
Bouw aan je veiligheidscultuur
Het toegeven van fouten is nooit plezierig. Toch is het tijdig ontdekken van een cyberincident cruciaal als je de gevolgen daarvan wil beperken. Door je medewerkers actief aan te moedigen om te melden, door melders te belonen en het melden van incidenten eenvoudiger te maken, verlaag je de drempels en draag je bij aan een veilige meldcultuur.
Help medewerkers met bewustwording en training
De meeste cyberincidenten ontstaan door menselijke fouten. Medewerkers kunnen onbedoeld grote schade toebrengen door het gebruiken van een besmette USB-stick, het slordig zijn met (zwakke) wachtwoorden of door een phishingmail niet te herkennen. Cybercriminelen maken slim gebruik van naïviteit en gemakzucht bij mensen. Bewustzijn van cyberrisico's is dus heel belangrijk voor het voorkomen van incidenten. Help daarom je medewerkers om kennis op te doen over (het ontstaan van) cyberincidenten.
Zijn jouw medewerkers voldoende bewust van de gevaren en de mogelijke gevolgen? Help ze door cybersecuritytrainingen of quizzen aan te bieden. Of rol een bewustwordingscampagne uit. Een cybercrisisoefening helpt je medewerkers om te oefenen wat de beste reactie is op een crisissituatie. Zo'n oefening kan je veel tijd en fouten besparen wanneer er een echt cyberincident is. Leer je collega's daarnaast hoe te handelen als het onverhoopt misgaat.
Ondersteun medewerkers met techniek
Beveiligingsmaatregelen kunnen veilig lijken, maar toch een hindernis vormen voor medewerkers. Denk bijvoorbeeld aan het afdwingen van sterke wachtwoorden. Als iemand én sterke wachtwoorden moet verzinnen, deze moet onthouden en dan ook nog eens voor veel verschillende accounts, dan kun je verwachten dat iemand een eenvoudig te onthouden (zwak) wachtwoord kiest en dit hergebruikt voor meerdere accounts. De techniek houdt dan onvoldoende rekening met menselijk gedrag met als resultaat juist onveiliger gedrag. Dit kan anders. Denk bijvoorbeeld aan gebruiksvriendelijke wachtwoordmanagers, of het vergemakkelijken van het melden van phishing door een ‘meld-knop’. Zet techniek in om de mens een handje te helpen bij het maken van veilige keuzes.
Basisprincipe 1 voor cybervolwassen organisaties
Bekijk welke verdiepende hulpmiddelen onze fusiepartner NCSC voor cybervolwassen organisaties heeft.
Doe de CyberVeilig Check
Starten met de cyberveiligheid van je bedrijf? Doe de CyberVeilig Check voor zzp en mkb en weet binnen 5 minuten wat je vandaag zelf kunt doen om een begin te maken. Download je eigen actielijst en ga aan de slag met praktische instructies en tips.
3. Bescherm systemen, apparaten en applicaties
Systemen, applicaties en apparaten houden je organisatie draaiende. Kwetsbaarheden in soft - en hardware kunnen er echter voor zorgen dat deze ernstig verstoord raken. Het is daarom van belang deze te beschermen door te kiezen voor veilige instellingen en dreigingen tijdig te detecteren.
4. Beheer toegang
Als de toegang tot data en systemen niet goed beheerd wordt, kan dat leiden tot datalekken of ongeautoriseerde toegang. Definieer per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Zorg dat toegangsrechten worden aangepast als iemand een nieuwe functie krijgt of bij de onderneming vertrekt.
5. Bereid voor op incidenten
Niet alle incidenten kunnen voorkomen worden, ga er dus vanuit dat er een incident plaats gaat vinden (‘assume breach’). Om weerbaar te zijn tegen digitale incidenten is het belangrijk om te weten hoe je op incidenten moet reageren (respond). Als het misgaat, wil je ook weten hoe je de schade weer kunt herstellen (recover).