1: Inventariseer kwetsbaarheden

Inventariseer waar je bedrijf kwetsbaar is voor cyberdreigingen

Inleiding

Een inventarisatie van de kwetsbare onderdelen voor cyberdreigingen binnen jouw bedrijf bestaat uit verschillende onderdelen. Je inventariseert niet alleen welke apparatuur, software, netwerkverbindingen en gegevens je in huis hebt en wat de kwetsbaarheden zijn, maar je brengt ook de technische afhankelijkheid van leveranciers in kaart. Een inventarisatie dwingt je ook na te denken over wat te doen in het geval van een cyberincident. En helpt bij het opstellen van een noodplan en bellijst. Bij risico’s kijk je naar:

  • Beschikbaarheid (hoe erg is het dat een systeem het niet meer doet?)
  • Integriteit (hoe erg is het dat bepaalde gegevens niet juist zijn?)
  • Betrouwbaarheid (hoe erg is het dat gegevens naar buiten lekken?)

 Je bepaalt voor jezelf hoe groot de kans is dat een dreiging optreedt en wat de impact ervan is. Zo krijg je een beeld van de risico’s voor jouw onderneming.

Waarom dit basisprincipe?

Inzicht in de risico’s maakt het makkelijker om de weerbaarheid tegen cyberdreigingen te vergroten. Goed inzicht in je risico’s maakt dat je zelf een afgewogen keuze kunt maken in waar je beste in kunt investeren wat betreft maatregelen en welke risico’s je accepteert. Mocht zich ooit een cyberincident voordoen, voorkom je met de inventarisatie dat je iets over het hoofd ziet en wordt het makkelijker om hoofd- en bijzaken van elkaar te onderscheiden.

Als je je huis beter wilt beveiligen tegen inbrekers, dan maak je een inventarisatie van je belangrijkste bezittingen en waar men gemakkelijk je huis binnen kan komen. Ook is het handig om vooraf te bedenken wie je bij een eventuele inbraak moet bellen.

Wat moet je doen?

  1. Inventariseer de ICT-onderdelen,  kwetsbaarheden en maak een risico-analyse.
  2. Zorg ervoor dat de inventarisatie elke zes maanden wordt geactualiseerd en zet dit ook in de agenda;
  3. Bespreek het belang van en de inhoud van de inventarisatie met collega’s, werknemers, leveranciers en/of afnemers. Bespreek ieders verantwoordelijkheden, leg afspraken vast en zorg dat deze worden nageleefd. De zwakste schakel bepaalt de sterkte van de keten;
  4. Stel een uitwijk- en herstelplan op voor wat je moet doen als je getroffen wordt door een cyberincident waardoor je niet meer ‘gewoon’ gebruik kunt maken van je netwerken, apparatuur, software, communicatiesystemen en data. Test dit plan tenminste 1 keer zodat je weet dat het ook echt werkt;
  5. Bepaal wat je van een organisatie wel en niet mag verwachten in het geval van een cyberincident. Voeg ook contactgegevens toe, en eventuele klant- en contractgegevens in het geval van leveranciers of helpdesk, zodat je snel in actie kunt komen.

En verder

  • Heeft je bedrijf te maken met een cyber-incident? Bekijk dan het overzicht van de meest voorkomende problemen en lees wat je kunt doen om de problemen op te lossen.
  • Ben je ondernemer in de maakindustrie? Doorloop dan de Cyber Security Scan Smart Industry. Met deze scan krijg je inzicht in de cyberveiligheid en adviezen en tips om je te beschermen tegen cyberdreigingen. De scan is door het ministerie van Economische Zaken en Klimaat (EZK) in samenwerking met Smart Industry, TNO en de Rijksdienst voor Ondernemend Nederland (RVO.nl) ontwikkeld.
  • Maak een planning voor het maken van back-ups. Een back-up gebruik je om data te herstellen als deze, door bijvoorbeeld een systeemfout, verkeerd opslaan of een virus, beschadigd zijn. Of als het apparaat waarop deze staan bijvoorbeeld kapot, verloren of gestolen is. Maar ook als je belangrijke bestanden hebt gewijzigd of toegevoegd. Ontkoppel back-ups van je netwerk, bewaar ze op een veilige plek en versleutel de bestanden eventueel voor extra bescherming. Dateer de gemaakte back-ups zodat de kans dat je een geïnfecteerde back-up terugzet kleiner is en oefen het terugzetten van een back-up.