Informatieveiligheid en privacy: menselijk handelen in de coronatijd

nieuwsbrief

De chaos van de huidige crisis is een vruchtbare bodem voor cybercriminelen. Onder andere het Openbaar Ministerie en Europol signaleren een verwachte toename van cybercriminaliteit. Desalnietemin maakt onze huidige situatie dat wij meer dan ooit afhankelijk zijn van digitaal verkeer. Hoe zorgt u er voor dat uw overheidsorganisatie weerbaar en wendbaar is en blijft?

Vanuit wetgeving (o.a. BIO en AVG) worden de minimale eisen voor cybersecurity en informatiebeveiliging bepaald, maar de gewenste inrichting alsmede de mate van risico-acceptatie verschilt per overheidsorganisatie. Als Native geloven wij dat er een balans moet zijn tussen technische maatregelen en maatregelen op het gebied van menselijk handelen.

Enerzijds is het belangrijk om de basisprocessen op orde te hebben, zoals het bijwerken van hard- en software, het bijhouden van een overzicht in de ICT-huishouding en bijbehorende wijzigingen (oa configuratiemanagement). Daarbij dienen ook de juiste technische maatregelen genomen te worden op het gebied van spamfilters, firewalls, netwerksegmentatie, toegangsrestrictie, etc.

Anderzijds vormen deze technische maatregelen slechts een beperkt aandeel van het totale pakket aan beheersingsmaatregelen. Daarbij kan een disbalans aan technische maatregelen resulteren in workarounds, waardoor het beoogde veiligheidsvoordeel niet wordt behaald. De helft van de cyberaanvallen ontstaan door een onbewuste handeling van medewerkers, volgens het IBD. Juist in deze tijd nemen de dreigingen op het gebied van menselijk handelen toe. Wij attenderen u graag op een kleine greep uit mogelijke veiligheidsrisico’s in coronatijd die relevant kunnen zijn voor uw organisatie:

Phishing-mails
Een bekende dreiging die in de schaduw van de crisis een nieuwe vorm heeft aangenomen. Afzenders die zich bijvoorbeeld voordoen als een stichting die om hulp vraagt om corona patiënten te ondersteunen en vervolgens inloggegevens stelen of ransomware installeren.

Tip: Heeft u al eens bewust een phishing-mail verspreid in uw organisatie? De resultaten hiervan dragen bij aan de bewustwording van de hele gebruikersorganisatie, het management en de directie.

Toepassingen om digitaal te vergaderen
De digitale transformatie is onlosmakelijk verbonden met de corona crisis. We zoeken massaal oplossingen om met elkaar in contact te blijven, waardoor men zich niet altijd bewust is van de privacy maatregelen op het gebruikte platform. Het kan echter lastig zijn om een platform te vinden die zowel de gewenste functionaliteiten ondersteunt alsmede het juiste privacy niveau waarborgt. Die afweging dient te worden gemaakt op basis van de inhoud van de video-meeting.

Tip: De Autoriteit Persoonsgegevens biedt een keuzehulp privacy videobellen. Op basis van deze keuzehulp kunt u binnen uw organisatie bepaalde toepassingen aan- of afraden voor verschillende werkzaamheden.

Selfies
Waarschijnlijk heeft u ze ook op LinkedIn voorbij zien komen: een lachende medewerker die trots in een selfie de thuiswerkplek toont of een screenshot van een succesvolle online VrijMiBo met collega’s. Dit kan echter ook een potentieel datalek opleveren. Denk hier bijvoorbeeld aan een dossier met persoonsgegevens wat nog open staat of inlog- of contactgegevens die nog getoond worden op het beeldscherm ten tijde van de selfie. 

Tip: Wilt u toch graag een foto plaatsen van uw werkplek? Zorg dan dat uw beeldscherm zwart toont. Wilt u toch graag de VrijMiBo foto plaatsen? Vraag toestemming aan alle deelnemers, vermeld hierbij dat u het bijvoorbeeld op LinkedIn wil plaatsen.

Privé mobile devices
De interne mobile devices zijn doorgaans goed uitgerust met beveiligingsmaatregelen. Het komt nu echter vaak voor, door het tekort aan interne devices, dat er op een privé device ingelogd wordt via een browser op bijvoorbeeld het zaaksysteem. Onbewust kan het gebeuren dat men (gevoelige) bestanden lokaal opslaat, wat kan resulteren in een potentieel datalek.

Tip: Organiseer een goede begeleiding en leg uit wat wel en niet mag voor de thuiswerkers, zeker als zij op een privé device werken. 

Zoals bovenstaande voorbeelden illustreren heeft menselijk handelen een grote invloed op de mate waarin uw organisatie in staat is om informatieveiligheid en privacy te waarborgen. In de coronatijd staan conventionele afspraken m.b.t. gedrag onder druk, waardoor de waarschijnlijkheid van dreiging toe neemt. Wilt u verder praten over de inrichting van informatiebeveiliging voor uw organisatie? Wij zijn ook in deze tijd gewoon (online) bereikbaar. Neemt u hiervoor contact op met Ramona Pakvis. Zij staat u graag te woord op 06 – 15 56 73 57 of r.pakvis@nativeconsulting.nl.

Zoeken
Contactpersoon
Ramona Pakvis
adviseur
0615567357