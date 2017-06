Hacktivisten kennen de waarde van uw data. Kent u die zelf ook?

"De waarde van data fluctueert met de cyclus waarin data zich bevinden. Een autofabrikant die aan een nieuw ontwerp werkt doet er alles aan om dat ontwerp geheim te houden. Dat maakt de relevante data extreem waardevol. Zodra het nieuwe model klaar is voor de markt, moet juist iedereen er van weten. Daarmee verandert ook de waarde van de data.

Uw data gaan ook door een cyclus, waar weet u welke? Weet u waar en wanneer uw klanten of gebruikers toegang hebben? Kent u de waarde van de persoonsgegevens (PII) in uw beheer? De kans is groot dat hackers en hacktivisten daar wel prima van op de hoogte zijn. Terwijl uw IT-afdeling rondrent om alles overal te beveiligen, selecteren hackers alleen de zwakste plek met het hoogste rendement. Pas uw beveiligingsoplossingen aan bij de dynamiek van uw business. Verkwansel de energie van uw security-mensen niet met het implementeren en onderhouden van een overall strategie."

Hoe kan het dat malware überhaupt uw organisatie binnenkomt?

"Ransomware had twintig jaar geleden al uitgeroeid moeten worden, maar de risico's zijn alleen maar toegenomen. Op LinkedIn is eenvoudig te vinden wie waar werkt en in welke functie. Een persoonlijke, professioneel uitziende phishing-mail is zo gemaakt. De ontvanger opent de gezipte bijlage en geïnfecteerde data komt het netwerk binnen. Maar wie versturen er in uw organisatie nog versleutelde ZIP-documenten aan elkaar? Dat moet toch wantrouwen opwekken wanneer dat als bijlage in een e-mail zit? Mensen mailen nauwelijks meer vanaf hun desktop, dat gaat massaal vanaf mobiel. En toch worden dergelijke bijlagen nog toegelaten tot het netwerk. Zet die mogelijkheid standaard uit en laat gebruikers toestemming vragen wanneer nodig."

Hoe werken uw vendors samen om uw data te beschermen?

"Over tien vijf jaar gebruiken we de term 'Internet of things' niet eens meer, omdat van kleding tot auto 'uiteraard' alles aan een netwerkt hangt. Veel van die IoT-devices zijn slecht beveiligd. Hoe beschermt u een infrastructuur die van alle kanten bedreigd wordt door de apparaten en sensoren die er aan hangen? Dat kunt u niet alleen. Vendors moeten daarom samenwerken zodat hun IoT-devices geen risico zijn voor uw digitale veiligheid. Iedereen werkt met zijn eigen systemen, dus samenwerking zit vooral in informatie. Net als hackers moeten vendoren hun kennis over virussen en ransomware met elkaar gaan delen om hun doel te bereiken. U kunt hen daar wellicht niet toe dwingen, maar u kunt hen wel vragen hoe zij samenwerken om u te beschermen."

Stel dat uw werknemers zijn gehackt, hoe komt u daar dan achter?

"Troy Hunt heeft een carrière opgebouwd met het uitzoeken wat er met andermans data gebeurt. Op de website Have i been pwned kunt u zien of uw e-mailadres betrokken was bij een datalek. Dit is natuurlijk niet de manier waarop u daar achter wilt komen. Hoe houdt u de controle over uw data, ook wanneer die in de cloud zijn of ondergebracht bij derden? Zorg dat uw data ook beschermd zijn wanneer ze niet on-prem zijn. Vraag uw leveranciers naar hun securitymaatregelen. En weten uw werknemers zelf wel wat zij moeten doen wanneer ze iets verdachts merken? Zet een eenvoudig protocol op waarin kort staat wanneer mensen actie moeten nemen, wat ze moeten doen en bij wie ze de mogelijke breuk of diefstal moeten melden."

Wie is verantwoordelijk voor de veiligheid van uw data?

"Is het de klant? De consument? De cloud? De provider? De IT-afdeling? Of bent u het wellicht zelf? Ik ben van mening dat het uiteindelijk de CIO is die verantwoordelijkheid is voor dataveiligheid, dat dit stokje niet meer is door te geven. Misschien is het juridisch of organisatorisch anders geregeld, maar waarom zou u de verantwoordelijkheid uit handen geven? Wie anders heeft binnen de organisatie meer verstand van de waarde van wat beveiligd moet worden en wat de kostenpost is wanneer die beveiliging faalt?"