Security Archives - ICTberichten.nl

All posts in Security

Privacywetgeving in de public cloud: hoe zit dat?

Cloud Computing internet, Security
Reacties uitgeschakeld voor Privacywetgeving in de public cloud: hoe zit dat?
ERP systemen

ICT informatiecentrum|

De Nederlandse privacywetgeving lijkt in de meeste gevallen duidelijk: iedere in Nederland gevestigde organisatie moet zich aan de privacyspelregels houden. Bij publieke clouddiensten met servers over de grens ontstaat echter een ingewikkelde situatie. Welke privacy spelregels gelden in de public cloud?

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens, zoals medische gegevens, mogen alleen onder zeer strikte voorwaarden worden verwerkt.

Belangrijkste spelregels

Privacywetgeving in de cloud is niet altijd vanzelfsprekend en jurisdictie speelt absoluut een rol. Er bestaat echter een aantal harde afspraken. We zetten de belangrijkste op een rij:

1. Bewerkersovereenkomst – In geval persoonsgegevens worden verwerkt, zoals vaak bij public cloud diensten, is een bewerkersovereenkomst verplicht. Dat is een officieel document waarin de organisatie afspraken maakt met de cloudprovider over de gegevensbewerking. Ook maakt u in zo’n overeenkomst afspraken over verantwoordelijkheden bij een datalek.

2. Serieuze beveiligingsmaatregelen – Een cloudprovider die persoonsgegevens verwerkt, is verplicht serieuze beveiligingsmaatregelen te nemen, zowel technisch als organisatorisch.

3. Meldplicht richting verantwoordelijke – Een cloudleverancier moet zijn klanten inlichten over een datalek. Melden bij de AP is de verantwoordelijkheid van de klant, ook wanneer de cloudleverancier bewust of onbewust zijn mond houdt over het lek.

4. Doorgifte naar buitenland – Data kunnen (ooit) worden verhuist naar een land buiten de EU. Daar moet u harde afspraken over maken! Dat is verboden, tenzij het land over een minstens zo hoog beschermingsniveau beschikt. Ook bij toegang tot persoonsgegevens op afstand aan een niet-EU-land, zoals een helpdesk in India, is waakzaamheid geboden. Data van Europese burgers op Amerikaanse servers vallen onder het Privacy Shield. Het Amerikaanse cloudbedrijf moet wel daar zijn aangemeld.

De private cloud is met enige oplettendheid absoluut geen privacy-onvriendelijke plek. Goede afspraken met de cloudprovider zijn echter gewenst.

Bron: KPN

Voorkom datalekken door menselijk falen

Algemeen ICT nieuws, Datamanagement, ICT informatiecentrum, Nieuwsselectie, Security
Reacties uitgeschakeld voor Voorkom datalekken door menselijk falen
ERP systemen

ICT informatiecentrum|

Datalekken vormen groot en groeiend risico op imageschade en boetes in kader AVG. De meeste datalekken komen echter van binnenuit: insider threats. Daarvoor is maar één effectieve oplossing: beveiliging op dataniveau.

Onderzoek (o.m. Verizon) geeft aan dat 25 procent van de datalekken van binnenuit komt. En dat percentage groeit. Steeds meer gegevens worden verzameld en moeten kunnen worden gedeeld. Dat is in de regel het verdienmodel. Data-centrische aanpak is noodzakelijk om mee te blijven doen, wat een groter risico met zich meebrengt.

Databeveiliging op netwerkniveau is achterhaald

Datalek van binnenuit is niet tegen te houden met beveiliging tegen dreiging van buitenaf. Dit geldt ook voor beveiligen van toegang tot het netwerk: delen is immers (de basis van) het verdienmodel. Vandaar: informatiebeveiliging niet meer op netwerkniveau, maar op het dataniveau.

Risico’s kunnen worden beperkt door:
1. Bescherming van specifieke data
Geef uitsluitend toegang tot relevante gegevens. Flexibele en gedetailleerde toegangscontrole reguleren werkzaamheden van de medewerkers. Dat kan tot in het document zelf (redaction).
2. Security awareness training
Maak alle betrokkenen bewust van risico’s. De meeste datalekken worden veroorzaakt door nalatigheid (CSO en KPMG). Betrokkenen moeten geloven in het belang van beveiliging! Leidinggevende hebben hierin een actieve rol met voorbeeldfunctie voor de CISO (Chief Information Security Officer).
3. De belofte van big data
Tegenwoordig is er een veel rijkere set aan detectiemogelijkheden, zoals herkomst, kwaliteit, eigenaar en geolocatie van (geüploade) data. Combinatie met tegenwoordige rekenkracht geeft een nieuw middel om onregelmatigheden in de informatiebeveiliging te detecteren en datalekken op te sporen.

Conclusie

Het grootste risico op een datalek: eigen mensen. Bescherming door beveiliging in te bouwen op het niveau van de data zelf. Combineer met regelmatige training en neem datasecurity serieus. Dan neemt het risico op een datalek sterk af.

Bron: Jurriaan Krielaart

Wilt u maandelijks op de hoogte blijven van al het laatste ICT nieuws? Schrijf u dan nu in voor de ICT nieuwsbrief.

Uitgaven IT-beveiliging 2018 drastisch hoger dan 2017

Security
Reacties uitgeschakeld voor Uitgaven IT-beveiliging 2018 drastisch hoger dan 2017
ICT onderzoek externe bron

Computer Futures|

Ten opzichte van 2017 hebben organisaties drastisch meer budget beschikbaar gesteld voor IT-beveiliging voor 2018. Bij ruim 60 procent van organisaties wordt verwacht dat de IT-kosten over het algemeen zullen toenemen. Ook blijkt dat bijna driekwart van de organisaties het afgelopen jaar niet te maken heeft gehad met een ransomware-incident.

Uitgaven IT-beveiliging stijgen

In 2017 gaf 70 procent van de CIO’s aan dat er 5 tot 20 procent van het IT-budget aan beveiliging werd uitgegeven. In 2018 geldt dit slechts voor de helft van de CIO’s. Bijna 12 procent van de ondervraagden heeft voor 2018 20 tot 30 procent van hun budget voor IT-beveiliging begroot, 10 procent stelt 30 tot 40 procent beschikbaar en 3 procent van de CIO’s reserveert zelfs meer dan 50 procent van het budget voor IT-beveiliging.

Integratie IT-beveiligingsstrategie in IT-strategie

In 2017 stelde 47 procent van de CIO’s dat de IT-beveiligingsstrategie sterk geïntegreerd is in de IT-strategie, in 2018 loopt dit terug naar 38 procent. Bij 42 procent is het enigszins geïntegreerd en bij bijna 16 procent helemaal niet. Binnen de banking & finance en de publieke sector is het vaakst sprake van een sterke integratie, respectievelijk 46 en 55 procent. In de IT-sector geldt dit voor slechts 30 procent van de organisaties.

Ten opzichte van vorig jaar geven minder CIO’s aan te maken te hebben gehad met een ransomware-incident. Dit kan voortkomen uit een toenemend bewustzijn van desktopbeveiliging of bijvoorbeeld uit geoptimaliseerde bescherming op organisatieniveau. De grootste uitdaging waar organisaties momenteel voor staan op het gebied van beveiliging is het vinden van cybersecurity-specialisten. De behoefte aan deze specialisten stijgt, maar het aanbod neemt af. Dit heeft tot gevolg dat de uitgaven voor IT-beveiliging verder stijgen, aangezien salarissen steeds hoger komen te liggen.

Het gehele onderzoek kunt u lezen in het rapport ‘De toekomst van de IT-afdeling’.

Wilt u maandelijks op de hoogte blijven van al het laatste ICT nieuws? Schrijf u dan in voor de ICT nieuwsbrief.

Privacy: vier stappen voor HR

HRM / eHRM, Security
Reacties uitgeschakeld voor Privacy: vier stappen voor HR
ERP systemen

ICT informatiecentrum|

4 stappen om op tijd klaar te zijn voor de Algemene Verordening Gegevensbescherming (AVG).

De General Data Protection Regulation (GDPR) en voor Nederland de AVG gaat in op 25 mei 2018. Taak voor HR om te zorgen dat ze compliant zijn/worden. HR is een onderdeel waar privacy bij uitstek telt, volgens Lieke van den Eijnden van De Voort Advocaten Mediators. Dus 4 vragen:

1. Heeft HR zijn zaakjes op het gebied van privacy op orde?

Pas de laatste tijd wordt serieus actie ondernomen richting AVG, ondanks het feit dat al twee jaar bekend is dat de nieuwe verordening eraan komt. Wellicht komt dit door de torenhoge boetes die op het spel staan, maar organisaties zijn nu in ieder geval aan de slag.

2. Er zijn nogal wat punten waar HR rekening mee moet houden.

Privacy loopt overal doorheen, zeker bij HR. Zelfs bij zoiets als een ‘smoelenboek’. (Aanstaande) Werknemers Googelen, LinkedIn gebruiken, social media gebruiken voor controle op ziekte o.i.d. betekent al verwerking van persoonsgegevens. Vraag is: wat weegt zwaarder? Privacy van de werknemer of het belang van HR?

3. Wanneer een bedrijf nu nog moet beginnen, is het dan te laat?

De wet Bescherming Persoonsgegevens bood al veel houvast voor wie eraan voldoet. De AVG gaat echter verder. Het legt meer verplichtingen op aan een bedrijf. Is er sprake van privacyrisico dan is een Data Protection Impact Assessment (DPIA) of soms ook de aanstelling van een Functionaris Gegevensbescherming verplicht. In ieder geval voor overheden en in geval wanneer er sprake is van de verwerking van bijzondere persoonsgegevens, zoals bij een verzekeraar of arbodienst.

4. Een privacyfunctionaris is niet per se verplicht?

Het is raadzaam iemand aan te stellen die zich verdiept in privacyzaken. Ook als het niet per se verplicht is. Dat kan ook bij een bestaande functie worden ondergebracht.

Vier actiepunten voor HR

1. Vergaar kennis. Stel je op de hoogte en breng anderen op de hoogte. Schakel eventueel de OR in.
2. Breng de verwerking van persoonsgegevens in de hele organisatie in kaart.
3. Stel de grondslag (doel) voor de gegevensbewerking vast.
4. Maak de beveiliging op orde. Zowel online als offline!

Bron: Lieke van den Eijnden

Wilt u meer weten over wat nieuwe Europese wetgeving betekent voor uw ICT oplossingen en de omgang met persoonsgegevens? Download dan het gratis boekje ‘Zo voldoet u aan AVG / GDPR’ van het ICT informatiecentrum.

Cyber security voorspellingen voor 2018

Algemeen ICT nieuws, ICT informatiecentrum, Nieuwsselectie, Onderzoeken, Security
Reacties uitgeschakeld voor Cyber security voorspellingen voor 2018
ERP systemen

ICT informatiecentrum|

Alleen investeren in defensieve technologieën is niet genoeg, volgens het Security Predictions rapport van Forcepoint. Incidenten gebeuren nog steeds en ook cybercriminelen zoeken steeds naar nieuwe middelen. ‘U moet zich kunnen verplaatsen in de cybercrimineel om het te kunnen bijbenen’, aldus Richard Ford van Forcepoint. Er is inzicht nodig in waarom welke mensen wanneer met welke data werken. Het gaat niet (meer) om netwerkgrenzen. Het gaat om gedragsanalyse.

Verkeerde focus

Tot nu toe is dat een onderbelicht gedeelte in beveiliging. Een verkeerde focus dus. Inzicht in (bewust en onbewust) gedrag en in de menselijke factor beperken de veiligheidsrisico’s veel meer dan weer een cyberwall.

Acht voorspellingen voor 2018

Het debat over privacy wordt sterker
De grenzen van privacy staan onder druk. De contradictie tussen veiligheid voor allemaal versus privacy voor het individu leidt tot privacy wars, volgens Forcepoint.
Voorspelling: in 2018 zal een breed en gepolariseerd privacydebat ontstaan, niet alleen binnen de overheid, maar ook onder burgers.

Data-aggregaten: een goudmijn die ontdekt moet worden
Het incident bij Equifax zal niet op zichzelf blijven staan. Aanvallers blijven zwakke plekken zoeken en zullen daar misbruik van maken.
Voorspelling: een data-aggregaat zal in 2018 het slachtoffer zijn van een inbraak waarbij een bekende aanvalsmethode is gebruikt.

De opkomst van cryptovalutahacks
Systemen voor cryptovaluta worden meer doelwit. Zwakke plekken in blockchain vinden, om zo persoonlijke gegevens van gebruikers te kunnen misbruiken.
Voorspelling: aanvallers gaan zich richten op kwetsbaarheden in systemen die gebruikmaken van blockchain-technologie.

Disruption of Things: het gaat gebeuren
Internet of Things maakt dat veel apparaten doelwit kunnen worden voor criminelen. Voornamelijk om onrust en verwarring te zaaien, disruptie te veroorzaken.
Voorspelling: het IoT zal niet gegijzeld worden met ransomware, maar het doelwit zijn van grootschalige disruptie.

Bron: Security Predictions rapport van Forcepoint

Meer informatie, tips en adviezen over internetveiligheid leest u op de cyber security pagina van het ICT informatiecentrum. Bent u betrokken bij beslissingen over ICT toepassingen of geïnteresseerd in ICT ontwikkelingen? Ontvang en lees dan maximaal twee keer per maand de ICT nieuwsbrief om optimaal geïnformeerd te blijven. Aanmelden kan hier.

Maak uw werknemers bewust van cybercrime

Security
Reacties uitgeschakeld voor Maak uw werknemers bewust van cybercrime
ICT onderzoek externe bron

BIT|

Op Safer Internet Day blijkt dat maar liefst 27 procent van de organisaties geen maatregelen heeft getroffen om werknemers bewust te maken van cybercrime. Dit gebrek aan maatregelen brengt ernstige risico’s met zich mee.

Zo klikt 14 procent van de werknemers op de werkvloer op linkjes in e-mails van onbekende afzenders. Bijna een kwart (22%) geeft aan dat hierdoor de werkcomputer of -laptop weleens geïnfecteerd is met een virus. 12 procent heeft geen idee of dit gevolgen heeft gehad. Naast het klikken op linkjes in e-mails van onbekende afzenders, geeft één op de tien werknemers aan weleens bestanden te openen uit mails van onbekende afzenders. 26 procent heeft hierdoor te maken gekregen met een virus en 15 procent weet niet of het gevolgen heeft gehad.

Getroffen maatregelen cybercrime

Van de organisaties die wel maatregelen hebben genomen om werknemers bewust te maken van internetgevaren, heeft 43 procent veiligheidsmaatregelen opgesteld in een reglement en deze ook aan alle medewerkers uitgelegd. Volgens 34 procent van de medewerkers zijn veiligheidsrisico’s gedocumenteerd en aan iedereen uitgelegd en bij 19 procent van de bedrijven worden interne bijeenkomsten georganiseerd over veiligheidsrisico’s. Daarnaast zegt bijna een derde van de werknemers dat internetgebruik continu anoniem wordt gemonitord en dat zij worden aangesproken op het moment dat er risicovolle handelingen worden uitgevoerd.

maatregelen cybercrime

Alle onderzoeksresultaten leest u in het rapport ‘Internet Eigenwijs

Meer informatie, tips en adviezen over internetveiligheid leest u op de Cyber security pagina van het ICT informatiecentrum. Bent u betrokken bij beslissingen over ICT toepassingen of geïnteresseerd in ICT ontwikkelingen? Ontvang en lees dan maximaal twee keer per maand de ICT nieuwsbrief om optimaal geïnformeerd te blijven. Inschrijven voor de ICT nieuwsbrief kan hier.

Vijf cybersecuritytrends voor 2018

Algemeen ICT nieuws, ICT informatiecentrum, Nieuwsselectie, Security
Reacties uitgeschakeld voor Vijf cybersecuritytrends voor 2018
ERP systemen

ICT informatiecentrum|

De vijf belangrijkste cybersecuritytrends volgens het McAfee Labs 2018 Threats Predictions Report:

1. Een groeiende ‘wapenwedloop’ tussen aanvallers en verdedigers op het gebied van machine intelligence
Machine learning voor grootschalige data-analyses is niet alleen voor verdedigers: ook aanvallers gebruiken het om hun aanvallen te versterken. Om aanvalspatronen te herkennen moet het beoordelingsvermogen van machines en snelle automatische securityrespons worden aangevuld met menselijk intellect.

2. Ransomware evolueert van traditionele afpersingsscenario’s naar nieuwe doelwitten, technieken en doelen
Verbetering van de verdediging zal het effect van ransomware laten afnemen. Daardoor vindt er een verschuiving plaats naar andere (waardevolle) doelwitten: rijke personen, connected devices en bedrijven, bijvoorbeeld om rivalen plat te leggen. Het zal meer gaan om disruptie van organisatie in plaats van puur geld. Dit leidt weer tot groei verzekering tegen cybercrime.

3. ‘Serverless apps’ gaan tijd en kosten besparen, maar ze bieden ook nieuwe aanvalsmogelijkheden
Serverless apps – apps zonder serverbeheer – zijn kwetsbaar voor aanvallen door misbruik van verhoogde privileges. Daardoor ontstaat er mogelijk aanzienlijke financiële schade. Effectieve (aanvullende) bescherming is nodig.

4. Fabrikanten van connected home devices en service providers zullen proberen om dalende winstmarges goed te maken door meer van onze persoonlijke gegevens te verzamelen – met of zonder onze toestemming.
Gebruikers nemen vaak niet de moeite de voorwaarden te lezen. Bedrijven komen daardoor in de verleiding om deze voorwaarden aan te passen nadat consumenten de apparaten en diensten zijn gaan gebruiken. Er moet een hardere aanpak komen om deze bedrijven, die zich niet aan de wet houden, te straffen.

5. Het verzamelen van digitale content van kinderen door bedrijven kan later reputatierisico’s voor volwassenen opleveren
Ouders moeten zich meer bewust worden van gevaren (ook op langere termijn) van door hun kinderen gecreëerde content in apps. Privacyrichtlijnen zijn lang niet altijd duidelijk. Apps worden extra aantrekkelijk gemaakt om zo informatie/content los te weken.

Bron: McAfee

Meer informatie, tips en adviezen over internetveiligheid leest u op de cyber security pagina van het ICT informatiecentrum. Via de ICT nieuwsbrief blijft u maandelijks op de hoogte van al het laatste nieuws rondom ICT. Inschrijven voor deze nieuwsbrief kan hier.

Security in 2018

Algemeen ICT nieuws, ICT informatiecentrum, Nieuwsselectie, Security
Reacties uitgeschakeld voor Security in 2018
ERP systemen

ICT informatiecentrum|

In 2017 zijn veel personen wereldwijd slachtoffer geworden van cyberaanvallen en -bedreigingen.
De vier belangrijkste voorspellingen voor security in 2018 zijn:

1: Automatisering van security response
De respons op bedreigingen is nog veelal handmatig werk. Trend is automatisering van de inschatting van bedreigingen en hoe te reageren. Dat helpt bij het bepalen van ‘herstelwerkzaamheden’. Scheelt security veel tijd, daardoor is er meer ruimte voor strategische projecten.

2: Beveiliging als topic in de boardroom
Aandacht voor het onderwerp security in de boardroom is noodzakelijk. Maar dan wel in de taal van de directie. Chief Information Security Officer (CISO) krijgt een belangrijke rol als ‘vertaler’ van techniek naar de business en de impact van cybercrime op de business.

3: Grens fysieke beveiliging en informatiebeveiliging vervaagt
De grens tussen informatiebeveiliging en fysieke beveiliging vervaagt. Alles is met elkaar verbonden en alles heeft invloed op elkaar. Elke aanval heeft invloed op ons leven, hoe en waar dan ook.

4: De EU deelt een boete uit vanwege het overtreden van de GDPR
Komend jaar zal een voorbeeld worden gesteld in de handhaving van de GDPR (General Data Protection Regulation). Een hoge boete zal het bedrijfsleven wakker schudden. Over wat GDPR betekent voor uw ICT oplossingen en de omgang met persoonsgegevens leest u in het e-boek: Zo voldoet u aan AVG / GDPR van het ICT informatiecentrum. U kunt dit e-boek gratis downloaden via deze link: ictboekensite.nl/zo-voldoet-u-aan-avg-gdpr

Bron: ServiceNow

Meer informatie, tips en adviezen over internetveiligheid leest u op de cyber security pagina van het ICT informatiecentrum.

Cybercriminaliteit: voorkom nalatigheden

Security
Reacties uitgeschakeld voor Cybercriminaliteit: voorkom nalatigheden

Verizon|

Steeds meer opvallende datalekken halen het nieuws. Sommige mensen reageren moedeloos als de term cybercriminaliteit valt. De algemene indruk is dat cybercriminelen de boventoon voeren en dat bedrijven alleen maar achter de feiten aan kunnen lopen. Maar is dat echt zo? Zit er niets anders op dan geduldig afwachten totdat de volgende cyberaanval plaatsvindt? Absoluut niet!

We hebben techniek nodig voor onze communicatie, zakelijke transacties of concurrentievermogen. Onze afhankelijkheid van digitale technologie neemt toe. Veel bedrijven onderscheiden zich van de concurrentie door hun vermogen om te profiteren van digitale innovaties. Betere tools voor samenwerking, snellere en robuustere netwerken, meer opslagmogelijkheden, meer partners en wereldwijd speelveld: dit alles vraagt om de uitwisseling van steeds meer informatie. En deze bedrijfskritische data is bepalend voor de concurrentiepositie. Deze gegevens vormen hun intellectuele eigendom en zijn cruciaal voor het bedrijfsimago. Als bedrijfsdata de levenslijn van elke onderneming vormt, rest de vraag waarom zoveel organisaties de beveiliging daarvan als een sluitpost zien.

Voorkom nalatigheden

Uit de jaarlijkse Data Breach Investigation Reports van Verizon blijkt wel dat een ondoordringbaar systeem simpelweg niet bestaat. Met een redelijke beveiliging is het echter mogelijk om cybercriminelen af te schrikken. Zij zullen al snel op zoek gaan naar een makkelijkere prooi.

Veel bedrijven nemen geen basismaatregelen op het gebied van ict-beveiliging of passen ze niet op de juiste wijze toe. Dat is nogal verbazingwekkend met het oog op alle cybercriminaliteit om ons heen. Bij 63 procent van alle bevestigde datalekken was sprake van zwakke, standaard of gestolen wachtwoorden. Voor de meeste aanvallen werd misbruik gemaakt van kwetsbaarheden die nooit waren gepatched, hoewel er al maanden of zelfs jaren een beveiligingsupdate beschikbaar was.

Dit is mogelijk te wijten aan het gebruik van verouderde beleidsregels voor de beveiliging, een gebrekkig inzicht in sectorspecifieke cybercriminaliteit, het feit dat de beveiliging onvoldoende prioriteit heeft of simpelweg een gebrekkige voorlichting aan het personeel.

Criminelen zijn sneller

De realiteit is dat cybercriminelen in staat zijn om binnen een paar minuten bedrijfsnetwerken binnen te dringen en bedrijfsinformatie naar buiten te smokkelen. In 93 procent van alle gevallen van gegevensdiefstal die zijn onderzocht, bleek dat systemen binnen enkele minuten werden geschonden. In 28 procent van alle gevallen werden er al na een paar minuten gegevens naar buiten gesluisd. Maar zelfs in gevallen waarin dit proces dagen in beslag neemt, hoeven cybercriminelen zich weinig zorgen te maken. Want in 83 procent van alle gevallen kwam de getroffen organisatie er pas na weken of langer achter dat er bij hen was ingebroken.

Hoe langer het duurt om een datalek te detecteren, des te meer tijd cybercriminelen hebben om de waardevolle bedrijfsinformatie te bemachtigen waarnaar zij op zoek zijn en/of bedrijfsprocessen te verstoren. Standaard beveiligingsmechanismen zijn daarom niet toereikend. Bedrijven moeten over effectieve detectie- en herstelsystemen en -processen beschikken om aanvallen af te kunnen slaan en eventuele schade tot een minimum te beperken.

Basismaatregelen en bewustwording

Een paar aanbevelingen ten aanzien van basismaatregelen: verwerf inzicht in de aanvalspatronen die binnen uw branche het meeste voorkomen, maak gebruik van two-factor authenticatie voor de bedrijfssystemen, moedig gebruikers aan om zich op sociale netwerken aan te melden met behulp van two factor-authenticatie, installeer op tijd de laatste patches, verleen alleen toegangsrechten die gebruikers daadwerkelijk nodig hebben, bewaak het inkomende verkeer, versleutel gegevens en licht uw personeel voor om de bewustwording rond de beveiliging te vergroten. En nog het belangrijkste: zorg dat u weet welke data er binnen uw organisatie aanwezig is en bescherm die overeenkomstig het bedrijfskritische niveau.

Bewustwording is de eerste en beste verdedigingslinie tegen cybercriminelen. Een gebrekkige voorlichting werkt het herhaaldelijke succes van cyberaanvallen in de hand. Het is van cruciaal belang dat brancheorganisaties informatie uitwisselen over sectorspecifieke cybercriminaliteit en aanvalstechnieken. Deze rijkdom aan informatie kan organisaties in alle sectoren de input bieden die nodig is voor het bestrijden van cybercriminaliteit.

Informatie, tips en adviezen over internetveiligheid leest u op de cyber security pagina van het ICT informatiecentrum. Via de ICT nieuwsbrief blijft u maandelijks op de hoogte van al het laatste ICT nieuws. Inschrijven doet u hier.

Zie cybersecurity als een kans

Security
Reacties uitgeschakeld voor Zie cybersecurity als een kans
ERP systemen

ICT informatiecentrum|

Vanaf 25 mei 2018 wordt de nieuwe privacywet AVG streng gehandhaafd. Boetes voor datalek of cybercrime kunnen tot vier procent van de wereldwijde jaaromzet bedragen. Reden voor paniek? Nee, eerder een nieuwe kans om orde op zaken te stellen.

Cybercriminelen worden steeds slimmer. Het is doorontwikkeld tot een professionele business, bedrijven met alles erop en eraan. Inclusief specialisme en zelfregulering.

Cybersecurity

Nieuwe Europese wetgeving noodzaakt bedrijven flink te investeren (in ieder geval in tijd en moeite) om maatregelen te nemen. De GDPR, voor Nederlanders de Algemene Verordening Gegevensbescherming, wordt vanaf 25 mei 2018 streng gehandhaafd. De Europese wet is vooral bedoeld om de privacyrechten van consumenten beter te beschermen. De wet stelt grotere verantwoordelijkheid op het gebied van cybersecurity en informatieplicht. Het is ook verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Het bedrijf wordt aansprakelijk gesteld.

Ongrijpbaar monster

Cybersecurity is geen groot ongrijpbaar monster. Het biedt juist de kans om de datahuishouding eens echt goed op orde te krijgen. U kunt zich daarmee zelfs onderscheiden.

GDPR compliance

Bewustwording is de basis van alles. Medewerkers gaan nog steeds te makkelijk om met bedreigingen en laten overal data achter. Bescherming begint bij een aantal simpele handelingen en gezond verstand.

Vier stappen naar GDPR-compliance:

1. Analyseer
Breng in kaart wat er is aan persoonsgegevens en wie toegang heeft.

2. Beheer
Bepaal en leg vast wie waar toegang toe mag hebben. Dat scheelt een flinke zoektocht mocht iets verkeerd gaan.

3. Bescherming
Neem afdoende maatregelen:

  • Encryptie
  • Update van wachtwoorden
  • Gebruik bijv. programma’s die bepaalde mails met info automatisch wissen
  • Zorg voor heldere protocollen.

4. Rapporteren
Bied inzicht in wat er met de data gebeurt. Intern, maar ook aan klanten en partners. Krijgt u te maken met een datalek, licht dan de organisatie en uw klanten in. En de AP!

Cultuur

Zoek de zwakke schakels in de keten. Zowel intern als bij partners en andere betrokkenen. Onzorgvuldigheid met data kan verstrekkende gevolgen hebben. Cybersecurity is een cultuur en een echt businessvraagstuk, waarvan de beslissingen op bestuursniveau genomen moeten worden.

Bron: Lotte Elbrink

Meer informatie, tips en adviezen over internetveiligheid leest u op de speciale pagina over cyber security van het ICT informatiecentrum. Maandelijks op de hoogte blijven kan via de ICT nieuwsbrief. Inschrijven daarvoor kan hier: ictberichten.nl/nieuws-volgen

Werknemer voelt zich niet verantwoordelijk voor vertrouwelijke informatie

Algemeen ICT nieuws, Onderzoeken, Security
Reacties uitgeschakeld voor Werknemer voelt zich niet verantwoordelijk voor vertrouwelijke informatie

Fellowes Brands|

Kantoormedewerkers voelen zich niet verantwoordelijk voor het zorgvuldig omgaan met vertrouwelijke informatie. Werknemers schuiven de verantwoordelijkheid graag af op anderen. 62 procent vindt de officemanager de aangewezen persoon om regels op het gebied van vertrouwelijkheid te handhaven. Daarnaast vindt 46 procent van de kantoormedewerkers dat voldoen aan de wetgeving omtrent de veiligheid van vertrouwelijke informatie een taak is voor de directie.

Geen regels

Het is niet verwonderlijk dat medewerkers zich niet verantwoordelijk voelen. Bijna een kwart van de organisaties (23%) heeft namelijk geen duidelijke voorschriften van hoe om te gaan met gevoelige informatie. Hier ligt dus nog een belangrijke taak voor organisaties. Zonder duidelijke regels voor de omgang met vertrouwelijke informatie, is de impact van de mogelijke gevolgen niet bekend. Zo maakt het overgrote deel van de kantoorwerkers (80%) zich helemaal geen zorgen na het weggooien van papieren documenten. Nog eens 40 procent versnippert zelden of nooit papier.

Bron: Fellowes Brands

Via de ICT nieuwsbrief houden wij u maandelijks op de hoogte van al het laatste nieuws rondom ICT. Inschrijven kan hier.

Consument bang om slachtoffer te worden van datalek

Datamanagement, Onderzoeken, Security
Reacties uitgeschakeld voor Consument bang om slachtoffer te worden van datalek
ICT onderzoek externe bron

Gemalto|

Wereldwijd is tweederde van de consumenten bang dat zij in de nabije toekomst slachtoffer worden van een datalek. Nederlandse en Belgische consumenten kennen beduidend minder angst, 56 procent geeft aan bang te zijn om slachtoffer te worden van een datalek. Ondanks deze bezorgdheid beveiligen consumenten zichzelf niet goed. Meer dan de helft van de respondenten geeft aan (56%) hetzelfde wachtwoord te gebruiken voor verschillende online-accounts, onder Nederlanders en Belgen is dit aantal iets lager (48%). Zelfs wanneer bedrijven beveiligingsoplossingen zoals two-factor authentication aanbieden, geeft 41 procent van de consumenten aan hier geen gebruik van te maken.

Bedrijven verantwoordelijk

Een meerderheid van de consumenten (62%) vindt dat bedrijven die hun gegevens bewaren de grootste verantwoordelijkheid dragen voor de beveiliging ervan. Een grote meerderheid van de consumenten (93%) neemt of overweegt juridische stappen te ondernemen tegen het bedrijf wat verantwoordelijk is voor het bewaren van de data. 47 procent van de Nederlandse en Belgische ondervraagden heeft al eens juridische stappen ondernomen. Daarnaast doet het grootste deel (70%) van de consumenten niet langer zaken met bedrijven die slachtoffer zijn geworden van een datalek. Bedrijven worden door dit sentiment gedwongen om extra stappen te nemen om consumenten te beschermen en om beveiligingsmaatregelen te implementeren. Ook moeten de bedrijven de consumenten wijzen op de voordelen van deze beveiligingsmaatregelen.

Het hele onderzoek kunt u hier downloaden.

Op de Cyber security pagina van het ICT informatiecentrum leest u meer informatie, tips en adviezen over internetveiligheid. Via de ICT nieuwsbrief blijft u maandelijks op de hoogte van al het laatste ICT nieuws. Inschrijven voor de nieuwsbrief kan hier: www.ictberichten.nl/nieuws-volgen.

Nederlanders bewaren wachtwoorden in e-mail of op papier

Onderzoeken, Security
Reacties uitgeschakeld voor Nederlanders bewaren wachtwoorden in e-mail of op papier
ICT onderzoek externe bron

BIT|

Er wordt nog niet altijd verantwoord omgegaan met wachtwoorden. Zo bewaart meer dan de helft van de Nederlanders het wachtwoord op een onveilige manier. Maar liefst 38 procent schrijft wachtwoorden op papier en 18 procent e-mailt deze naar zichzelf om ze niet te vergeten. Tevens blijkt dat er nog maar weinig tools worden ingezet om wachtwoorden te genereren of op te slaan. Slechts 14 procent maakt gebruik van een passwordgenerator en 15 procent weet zelfs niet wat het is. Voor de passwordmanager geldt dat 17 procent deze gebruikt en 18 procent weet niet wat het is. Het gebruik onder jongeren ligt voor beide tools iets hoger, namelijk op 21 en 25 procent.

wachtwoord

Veranderen van wachtwoorden

Hoewel de meerderheid (64%) vindt dat zij het wachtwoord regelmatig veranderen, blijkt dat slechts de helft het wachtwoord één keer per kwartaal verandert, 19 procent doet dit één keer per jaar en 9 procent verandert het wachtwoord nooit. Tevens maakt 46 procent variaties op één wachtwoord voor alle online accounts. Daarnaast geeft meer dan de helft van de Nederlanders (53%) aan het gebruikelijke wachtwoord voor meer dan drie logins te gebruiken. Voor jongeren (18 t/m 34 jaar) ligt dit percentage zelfs nog hoger op maar liefst 64 procent.

Meer informatie, tips en adviezen over internetveiligheid leest u op de speciaal ingerichte cyber security pagina van het ICT informatiecentrum. Wilt u maandelijks op de hoogte blijven van al het laatste ICT nieuws? Meldt u dan nu aan voor de ICT nieuwsbrief.

IT-beslissers besteden IT-security steeds meer uit

Onderzoeken, Security
Reacties uitgeschakeld voor IT-beslissers besteden IT-security steeds meer uit
ICT onderzoek externe bron

Telindus|

Uit onderzoek van Telindus onder 266 IT-beslissers blijkt dat organisaties de komende drie jaar op het gebied van IT-security steeds meer gaan uitbesteden. Op dit moment geeft 16 procent van de IT-beslissers aan IT-security in ruime mate of volledig uit te besteden, de verwachting is dat dit over drie jaar 46 procent zal zijn. Met name binnen de zorg, industrie en overheid zal er steeds meer uitbesteed worden. De belangrijkste redenen op dit moment om nog niet te kiezen voor uitbesteding, zijn het behouden van de volledige controle (33%), de (privacy-)gevoeligheid van data (32%) en hoge kosten (20%). Slechts 18 procent geeft aan zelf een sterk securityteam in huis te hebben.

IT-security

Ransomware

De IT-beslissers is ook gevraagd welke maatregelen zij hebben genomen om zich voor te bereiden op de effecten van een ransomware-aanval. 70 procent geeft aan een backup beschikbaar te hebben, 49 procent zegt dat de backup redundant is uitgevoerd en 41 procent geeft aan een duidelijk draaiboek te hebben. Slechts 16 procent geeft aan niet of onvoldoende voorbereid te zijn.

Het hele onderzoek is hier te lezen. Informatie, tips en adviezen over internetveiligheid leest u op de speciale cyber security pagina van het ICT informatiecentrum. Via de maandelijkse ICT nieuwsbrief blijft u op de hoogte van al het laatste nieuws rondom IT-security, cyber security en andere ICT thema’s. Inschrijven kan hier.

Gebrek aan kennis malafide e-mails gevaar voor bedrijven

Onderzoeken, Security
Reacties uitgeschakeld voor Gebrek aan kennis malafide e-mails gevaar voor bedrijven
ICT onderzoek externe bron

BIT|

Uit onderzoek onder 1.012 Nederlanders met een kantoorbaan, uitgevoerd door BIT, blijkt dat kennis over malafide e-mails en phishing onder Nederlanders tekort schiet. De termen zijn inmiddels wel bekend, zo weet 82 procent wat phishing is. Echter betekent dit niet dat dit soort e-mails ook daadwerkelijk worden herkend. Maar liefst twee op de vijf Nederlanders (41%) herkent valse linkjes en e-mailadressen niet. Toch is bijna driekwart (73%) van de Nederlanders er zelf wel van overtuigd dat zij een malafide e-mail direct weten te identificeren.

Malafide e-mails

Malafide e-mails bevatten vaak een schadelijke link of bestand. Daarom is de Nederlandse werknemer gevraagd welk type bestand zij denken dat mogelijk schade kan toebrengen aan een computer. Feitelijk kan ieder bestand schadelijk zijn, maar uit het onderzoek blijkt dat dit niet bekend is bij de respondenten. Er wordt vooral vanuit gegaan dat bestanden als .exe (45%), .jar (38%), .js (35%) en .zip (35%) schadelijk zijn. Maar liefst één op de drie Nederlanders heeft geen idee welke bestanden schade kunnen toebrengen.

Signaleringsfunctie

Nederlanders geven tenslotte aan niet betrokken te zijn bij de signaleringsfunctie van malafide e-mails. Zo geeft maar liefst 60 procent aan geen contact op te nemen met een bedrijf, wanneer zij een nep e-mail van dit bedrijf ontvangen. Hiervan geeft één op de vijf respondenten toe weleens een nep e-mail gesignaleerd te hebben, maar hier vervolgens geen actie op te hebben ondernomen.

Het gehele onderzoek is te lezen in het onderzoeksrapport ‘Internet Eigenwijs 2017’. Dit rapport kunt u hier downloaden.

Op de pagina Cyber Security van het ICT informatiecentrum leest u meer informatie tips en adviezen over internetveiligheid. Maandelijks op de hoogte blijven over het laatste nieuws rondom cyber security kan via onze maandelijkse ICT nieuwsbrief. U kunt zich daarvoor hier inschrijven.

Werknemer gaat onverantwoord om met bedrijfsinformatie

Onderzoeken, Security
Reacties uitgeschakeld voor Werknemer gaat onverantwoord om met bedrijfsinformatie
ICT onderzoek externe bron

BIT|

Uit onderzoek van BIT blijkt dat werknemers onverantwoord omgaan met bedrijfsinformatie. De meeste werkcomputers en -laptops zijn beveiligd met een wachtwoord (92%). In de praktijk is het echter de vraag hoe effectief deze beveiliging is. 28 procent van de werknemers geeft namelijk aan dat het wachtwoord van deze computer bekend is bij minimaal één ander persoon in de privé-omgeving. 8 procent geeft zelfs aan dat dit bekend is bij twee of meer mensen. Met deze inloggegevens hebben deze derden in 40 procent van de gevallen ook toegang tot bedrijfssystemen en -informatie.

Prive vs. werk

Daarnaast blijkt uit het onderzoek dat maar liefst driekwart van de respondenten het erger vindt dat zijn of haar externe harde schijf met privéfoto’s, bestanden en documenten wordt gestolen dan dat de werkcomputer met bedrijfsgevoelige informatie wordt gestolen. Nederlanders controleren ook eerder of alle ramen en deuren goed gesloten zijn wanneer zij weggaan van huis (71%) dan dat zij controleren of de toegang tot de werklaptop/pc vergrendeld is wanneer zij de werkplek verlaten (29%).

bedrijfsinformatie

Het gebeurt steeds vaker dat bedrijfslaptops mee naar huis gaan en vervolgens ook door familieleden en vrienden gebruikt worden. De risico’s die hiermee gepaard gaan, zijn enorm. Bedrijfsinformatie kan ineens op straat komen te liggen. Neem daarom maatregelen die het risico beperken. Bespreek het gebruik door derden van de bedrijfslaptop met de medewerkers of installeer gastaccounts om derdengebruik te faciliteren.

Het hele rapport kunt u hier lezen.

Online privacy: Nederlanders niet veilig op internet

Onderzoeken, Security
Reacties uitgeschakeld voor Online privacy: Nederlanders niet veilig op internet
ICT onderzoek externe bron

BIT|

Uit onderzoek van BIT blijkt dat maar liefst 68 procent van de Nederlanders geen idee heeft wat er gebeurt met de informatie die zij online achterlaten. Tegelijkertijd zegt meer dan de helft (59%) niet te weten wat hij of zij moet doen om de online privacy te beschermen.

Toch worden er onbewust wel maatregelen getroffen. 64 procent van de respondenten beschermt de online privacy bijvoorbeeld door middel van sterke wachtwoorden, 53 procent door verschillende wachtwoorden te gebruiken en 51 procent door systemen regelmatig te updaten. Uit het onderzoek blijkt echter ook dat slechts 42 procent gebruikmaakt van unieke wachtwoorden.

online privacy

Online privacy

Het onderzoek toont tevens aan dat Nederlanders niet bewust omgaan met het delen van privacygevoelige informatie op internet. Vooral de standaardgegevens als voor- en achternaam (75%), postcode en woonplaats (63% en 64%) worden vaak gedeeld. Wanneer het echter om bankzaken en identiteitsbewijzen gaat, is de Nederlander voorzichtiger. Zo deelt slechts 20 procent bankrekeningnummers, 7 procent paspoortnummers en 12 procent creditcardgegevens.

Het hele rapport van BIT kunt u hier downloaden.
Wilt u meer lezen over internetveiligheid? Op de pagina cyber security van het ICT informatiecentrum krijgt u informatie, tips en adviezen over cyberaanvallen, ransomware en internetrisico’s. Via onze ICT nieuwsbrief houden wij u op de hoogte van deze of andere onderwerpen.

De menselijke factor in IT security

Onderzoeken, Security
Reacties uitgeschakeld voor De menselijke factor in IT security
ICT onderzoek externe bron

Kaspersky Lab |

Werknemers houden in 40% van de bedrijven wereldwijd IT-beveiligingsincidenten achter – zo blijkt uit een nieuw rapport van Kaspersky Lab. Aangezien elk jaar 46% van de IT-beveiligingsincidenten door eigen medewerkers wordt veroorzaakt, moet deze zwakke plek in bedrijven op allerlei niveaus worden aangepakt, niet alleen via de IT-beveiligingsafdeling.

Hackers lopen zo mee naar binnen
Onwetende of onzorgvuldige medewerkers behoren tot de meest waarschijnlijke oorzaken van een cyberbeveiligingsincident – alleen malware scoort hoger. Terwijl malware steeds geavanceerder wordt, is de trieste werkelijkheid dat de goede oude menselijke factor een nog groter gevaar kan opleveren.

Als het gaat om gerichte aanvallen, is vooral de onzorgvuldigheid van werknemers een van de zwakste plekken in het cyberbeveiligingspantser van bedrijven. Hoewel geavanceerde hackers bij het plannen van hun overval altijd terug kunnen vallen op maatwerk malware en hightech-technieken, zullen ze waarschijnlijk beginnen met het benutten van het makkelijkste toegangspunt – de menselijke aard.

Volgens het onderzoek speelde het afgelopen jaar bij bijna een op de drie (28%) gerichte aanvallen op bedrijven phishing/social engineering een rol als bron. Een slordige accountant kan bijvoorbeeld gemakkelijk een kwaadaardig bestand openen dat is vermomd als een factuur van een van de vele aannemers van een bedrijf. Dit kan de infrastructuur van de hele organisatie platleggen, wat de accountant een onwetende medeplichtige maakt van de aanvallers.

Waarom betrokkenheid van HR en topmanagement nodig is
Als personeel hun betrokkenheid bij incidenten verbergt, kan dat dramatische gevolgen hebben en de totaal veroorzaakte schade vergroten. Zelfs één niet gemelde gebeurtenis kan duiden op een veel grotere inbreuk, en beveiligingsteams moeten snel de dreigingen kunnen identificeren waarmee ze te maken hebben, om de juiste mitigatietactiek te kiezen.

Uit vrees voor de gevolgen brengen werknemers echter liever de organisatie in gevaar dan dat ze een probleem rapporteren, of ze schamen zich ervoor dat ze verantwoordelijk waren voor iets dat fout ging. Sommige bedrijven hebben strikte regels geïntroduceerd en plaatsen extra verantwoordelijkheid bij hun werknemers, in plaats van hen alleen maar aan te moedigen om waakzaam en coöperatief te zijn. Dit betekent dat cyberbescherming niet alleen het domein is van technologie, maar ook te maken heeft met de cultuur en scholing binnen een organisatie. Daarom moeten het topmanagement en HR erbij betrokken worden.

De beste manier om organisaties te beschermen tegen mensgerelateerde cyberdreigingen is het combineren van de juiste tools met de juiste praktijken. Hierbij moeten HR en directie zich gezamenlijk inspannen om medewerkers te motiveren en te stimuleren om waakzaam te zijn en hulp te zoeken in het geval van een incident. Beveiligingsbewustzijnstrainingen voor medewerkers, het uitvaardigen van duidelijke richtlijnen in plaats van meerdere pagina’s lange documenten, het opbouwen van sterke vaardigheden en motivatie, en het bevorderen van de juiste werksfeer zijn de eerste stappen die organisaties moeten nemen.

Het hele van Kaspersky Lab kunt u hier lezen.

Meer informatie, tips en adviezen over internetveiligheid leest u op de pagina cyber security van het ICT informatiecentrum.

Digital Risk Management

Management, Security
Reacties uitgeschakeld voor Digital Risk Management
ICT nieuws externe bron

Digital Shadows|

De noodzaak en adoptie van digital risk management binnen organisaties groeit. Dat blijkt uit het rapport ‘The Pressing Need for Digital Risk Management’. Het rapport laat zien dat CEO’s en het bestuur zich bewust zijn van de digitale risico’s en niet meer terugdeinzen van een organisatiebrede cybersecurity-strategie.

Verder laat het rapport zien dat organisaties een echt goede beveiliging willen en investeren in goede middelen ter bescherming van de organisatie. Desalniettemin denken nog veel organisaties dat digitale risico’s alleen het interne netwerk bedreigen. Digitale risico’s hebben invloed op het gehele ecosysteem van een organisatie, zoals websites, sociale netwerken, belangrijke personen, partners, leveranciers, etc. Daarom adviseert ESG een alomvattende digital risk management-strategie. Dit betreft het monitoren, filteren, beoordelen en vervolgens het acteren op bedreigingen die zich op het internet en dark web bevinden.

Digital Risk Management

Een effectieve digital risk management-strategie bevat in ieder geval het monitoren van gerichte cyber-dreigingen. Daarnaast is het belangrijk om te monitoren of uw merk, data en infrastructuur worden blootgesteld aan de buitenwereld. Digital risk management waarbij de intelligentie van menselijke analisten wordt gecombineerd met geautomatiseerde analyses, is tegenwoordig een cruciaal component in cybersecurity.

Het ESG rapport ‘The Pressing Need for Digital Risk Management’ is hier te downloaden.

Meer over cyber security vind u op deze pagina van het ICT informatiecentrum.

Nederlanders angstiger voor cybercrime dan fysieke misdaad

BIT, Onderzoeken, Security
Reacties uitgeschakeld voor Nederlanders angstiger voor cybercrime dan fysieke misdaad
ICT onderzoek externe bron

BIT |

Maar liefst 57 procent van de Nederlanders verwacht eerder slachtoffer te worden van cybercrime dan van een fysieke misdaad. Dit blijkt uit onderzoek van BIT, specialist in colocatie, internetverbindingen, managed hosting en outsourcing. 58 procent van de Nederlanders vindt het waarschijnlijker dat een cybercrimineel de bankgegevens achterhaalt dan dat een inbreker het huis binnendringt (42%). Tevens verwacht de meerderheid (80%) de gestolen portemonnee eerder terug dan dat een cybercrimineel de kwaadwillig verwijderde bestanden terugzet (20%). Hoewel Nederlanders angstig zijn voor cybercrime, gaat een derde er bij de aankoop van een nieuw device ten onrechte vanuit dat de beveiliging al geregeld is.

Privacygevoelige data verspreiden

Uit het onderzoek blijkt ook dat er via allerlei wegen geprobeerd wordt om persoonlijke informatie te achterhalen. 71 procent van de ondervraagden is door een onbekend persoon gevraagd naar privacygevoelige informatie en 36 procent heeft deze vraag telefonisch gekregen. Meestal gaat dit gepaard met de melding dat er een prijs of korting te verkrijgen is. Hoewel slechts 3 procent van de Nederlanders bereid is om via de telefoon of e-mail privacygevoelige informatie te delen met een onbekende, staat maar liefst een kwart van de Nederlanders open om informatie achter te laten op onbekende websites. Om kans te maken op een prijs of korting, delen Nederlanders vooral e-mailadres (56%), voor- (47%) en achternaam (39%) en woonplaats (38%).

Cybercrime

Privacygevoelige informatie
Wido Potters, Manager Support & Sales bij BIT over de resultaten: “Privacy is een groot goed. Het is voor consumenten en bedrijven een nachtmerrie als data op straat komt te liggen. Opvallend is dat maar 20 procent van de Nederlanders de kwaadwillig verwijderde bestanden terugverwacht, terwijl het verdienmodel van cryptolockers juist geënt is op het terugzetten van bestanden na de betaling. Het percentage geeft gelukkig wel aan dat Nederlanders cybercrime serieus nemen. Verrassend is het dus wel dat privacygevoelige informatie nog vaak wordt gedeeld. Hoe meer privacygevoelige informatie met de buitenwereld gedeeld wordt, hoe groter de kans dat kwaadwillenden hier misbruik van maken. Hoewel je niet alles zelf in de hand hebt, is bewustwording de basis om cybercrime terug te dringen.”

Meer informatie over dit onderzoek is te vinden in het onderzoeksrapport ‘Internet eigenwijs’ en is hier te downloaden.

 

Nederlandse IT’ers wanen data onterecht veilig

Datamanagement, Security
Reacties uitgeschakeld voor Nederlandse IT’ers wanen data onterecht veilig
ICT nieuws externe bron

Telindus |

70 procent van de IT-professionals zegt compliant te zijn, maar slechts 30 procent versleutelt dataverkeer dat het pand verlaat. Op het gebied van databeveiliging laten veel bedrijven steken vallen, blijkt uit een onderzoek van Telindus onder ruim 400 Nederlandse IT-professionals.

Bijna een jaar na invoering van de Wet Meldplicht Datalekken blijkt dat de ruime meerderheid (69%) van Nederlandse IT-professionals de aanname doet compliant te zijn. Om echter aan de huidige regelgeving te voldoen, en per 25 mei 2018 ook aan de Europese Privacy Wetgeving (AVG), is het een vereiste om het dataverkeer te beveiligen. Daar laten veel bedrijven steken vallen, blijkt uit een onderzoek van Telindus onder ruim 400 Nederlandse IT-professionals.

Datacenter compliant
datacenter beveiligd

Op de vraag of het netwerk en datacenter al compliant zijn met de Wet Meldplicht Datalekken en de nieuwe Europese Privacy wetgeving, antwoordt 69 procent van de Nederlandse IT-professionals: “Ja”. Dezelfde respondenten geven echter aan dat zij dataverkeer tussen datacenters niet versleutelen (30%), of niet weten dat dit gebeurt (26%). Om aan de nationale wetgeving en de AVG te voldoen, is het versleutelen van data door middel van encryptie noodzakelijk. Data wordt zo onleesbaar en onbruikbaar voor niet-geautoriseerde gebruikers.

Tom Engels, Networking Consultant bij Telindus: “Het is zorgwekkend dat veel bedrijven nog niet compliant zijn met de Wet Meldplicht Datalekken. Nog zorgwekkender vind ik het feit dat er nog steeds veel onduidelijkheid bestaat over wanneer men nu daadwerkelijk compliant is. Zo is men naast het melden van datalekken ook verplicht om te melden wanneer data een bepaalde periode onbeschikbaar is geweest, door bijvoorbeeld een technische storing of calamiteit. Op 25 mei 2018 wordt de nieuwe Europese wet ingevoerd en kan een overtreding bedrijven een boete opleveren van maar liefst 20 miljoen euro of 4 procent van de jaaromzet. De reputatieschade die een bedrijf daarbij oploopt is wellicht nog erger. Een datalek kan zo het einde van een onderneming betekenen. Om de bedrijfscontinuïteit te garanderen, te voldoen aan wet- en regelgeving en de reputatie te beschermen, zijn optimalisatie en beveiliging van de optische laag cruciaal.”

Dataverkeer versleutelen met encryptie-technologie

Voor veel IT-professionals is het nog onbekend dat glasvezelverbindingen eenvoudig kunnen worden afgetapt, waardoor data ontvreemd wordt. Meer dan de helft (56%) geeft aan dat het dataverkeer niet versleuteld is of heeft hier geen idee van. 44 procent van de IT-professionals heeft het dataverkeer al wel voorzien van een encryptie-technologie, waarvan 12 procent het fiber channel verkeer niet heeft beveiligd. Slechts 13 procent maakt daadwerkelijk gebruik van Dense Wavelength Division Multiplexing (DWDM) met encryptie op de optische laag. Encrypted DWDM is een technologie dat al het dataverkeer dat het pand verlaat versleutelt door middel van één oplossing.

Tom Engels: “Onze ervaring leert dat de DWDM-technologie met encryptie op de optische laag een goede manier is om klanten een veilige en kostenefficiënte WAN-verbinding te bieden, die voldoet aan de huidige en nieuwe wet- en regelgeving. Naast een verlaging van de operationele kosten implementeren organisaties met encrypted DWDM dus ook privacy en security by design en compliancy.”

Bron: Telindus

 

Meer vaardigheden nodig om menselijke fouten in IT-beveiliging te voorkomen

Security
Reacties uitgeschakeld voor Meer vaardigheden nodig om menselijke fouten in IT-beveiliging te voorkomen

SANS Institute |

Uit het door SANS Institute gepubliceerde 2015 Security Awareness Report, blijkt dat bewustzijnsprogramma’s voor betere IT-beveiliging moeilijk te implementeren zijn door een gebrek aan vaardigheden. Dat zegt directeur Lance Spitzner.

Samenwerkingsvaardigheden
Ruim 75% van alle bewustzijnsprogramma’s worden geleid door mensen met diepgaande technische kennis, zoals IT-administrators en beveiligingsanalisten. Zij hebben echter vaak weinig ervaring met belangrijke samenwerkingsvaardigheden, zoals communicatie, veranderingsmanagement en hoe mensen leren en zich gedragen. Daardoor kunnen zij beveiliging teveel vanuit het technische perspectief bekijken.

2015 Security Awareness Report
SANS Institute heeft vorig jaar oktober een onderzoek uitgevoerd onder 225 deelnemers, tijdens de National Cyber Security Awareness Month. De resultaten daarvan zijn geanalyseerd door Bob Rudis van het Verizon DBIR-team en gevalideerd door experts van onder andere Charles Schwab, Cisco Systems en Cyber Risk Aware. De twee grootste uitdagingen die daarin staan voor managers van security awareness programma’s, zijn het creëren van medewerkersbetrokkenheid en gebrekkige steun vanuit het senior management.

Aanbevelingen en training
Het 2015 Security Awareness Report bevat verschillende aanbevelingen om het bewustzijn voor een betere IT-beveiliging te vergroten. Onder andere dat organisaties met meer dan 10.000 medewerkers één persoon fulltime verantwoordelijk moeten maken voor bewustzijnsprogramma’s op het gebied van IT-beveiliging. Spitzner verzorgt tijdens Secure Europe 2015 in Amsterdam in mei zelf de tweedaagse MGT433-training: Securing the Human: How to Build, Maintain & Measure a High-Impact Awareness Program.

Menselijke fouten voorkomen
“Binnen veel bedrijven leiden de verkeerde mensen bewustzijnsprogramma’s, om de IT-beveiliging te verbeteren”, zegt Spitzner. “De meerderheid van hen heeft namelijk een diepgaande technische achtergrond, maar te weinig vaardigheden op het gebied van communicatie en menselijk gedrag. Als de leider van zo’n programma teveel verantwoordelijkheden krijgt, belemmert dat begrijpelijkerwijs zijn of haar focus.” Spitzner baseert dit op menselijke fouten, die consistent in de top 3 van inbraakoorzaken staan, zoals geïdentificeerd door het Data Breach Investigation Report (DBIR), op basis van 100.000 onderzochte beveiligingsincidenten.

In bijlage treft u het 2015 Security Awareness Report aan.
Meer informatie over SANS Secure Europe is te vinden op: http://www.sans.org/event/secure-europe–2015

Over SANS Institute
SANS Institute is een coöperatieve organisatie voor onderzoek en opleiding, opgericht in 1989. Het is verreweg de grootste en meest vertrouwde opleider voor informatiebeveiliging en certificering ter wereld. De SANS-instructeurs verzorgen meer dan 50 verschillende opleidingen en 200 online live cyber security trainingen. GIAC, een partner van SANS Institute, verzorgt ook nog 27 technische certificeringen voor IT-security en het onafhankelijke SANS Technology Institute master degree opleidingen in cyber security. Als aanvulling op de opleidingen heeft SANS een groot aanbod van gratis resources, zoals projectbeschrijvingen, onderzoeksrapporten, nieuwsbrieven en onderhoudt het een waarschuwingssysteem voor online aanvallen, genaamd het Internet Storm Center. De kern van SANS bestaat uit een groot aantal beveiligingsexperts bij overheden, bedrijven en universiteiten in de wereld, die samenwerken om hun collega informatiebeveiligers te helpen (www.sans.org)

Voor meer informatie kunt u contact opnemen met:
Peter Gloudemans
AddIT-Benelux
Tel: +31 653471777
Email: peter.gloudemans@addit-benelux.nl

 
Reageer op dit bericht
Heeft u een vraag over dit bericht, de besproken oplossing of het behandelde onderwerp? Stel deze dan hier rechtstreeks aan de bron.

 
[contact-form-7 404 "Not Found"]