Security: een introductie in informatiebeveiliging
Deze blog heeft tot doel bij te dragen aan een stukje bewustwording bij bedrijven en hun medewerkers, die computers en daarmee de Informatie Technologie (IT) vooral als hulpmiddel zien voor het efficiënt kunnen uitvoeren van hun werk. Zij kunnen doorgaans onvoldoende duiden welke risico’s er gepaard gaan met het gebruik van computers en netwerken in relatie tot de opgeslagen informatie. Daarnaast worden op hoofdlijnen de voornaamste beveiligingsmaatregelen uiteengezet.
Persoonsgegevens
Er is steeds meer te doen over het beveiligen van informatie. In de afgelopen 2 jaar is vanuit de overheid nadrukkelijk de focus gelegd op de bescherming van persoonsgegevens. Welke informatie mag je als bedrijf wel of niet bewaren en zo ja, voor hoelang? Alles is erop gericht dat er geen misbruik gemaakt wordt van persoonlijke informatie, denk hierbij bijvoorbeeld aan Identiteitsfraude.
Regels
Met deze reden zijn er regels opgesteld voor bedrijven en overheidsinstanties, hoe ze met deze informatie moeten omgaan. Hierbij worden burgers beschermd en kunnen zij aan de bel trekken wanneer zij vermoeden dat hun persoonsgegevens tegen de regels in bewaard, gebruikt of aan derden beschikbaar gesteld worden.
Toegang
Persoonsgegevens worden doorgaans digitaal opgeslagen en bewaard, net als eigenlijk alle gegevens die binnen een bedrijf of overheidsinstantie aanwezig zijn. De digitale gegevens moeten daarbij beschermd worden zodat deze niet in te zien zijn door hiertoe niet gemachtigde personen. Dit kunnen medewerkers zijn, maar natuurlijk ook mensen van buitenaf die proberen deze gegevens te benaderen en in te zien, vaak met kwaadwillende redenen. Cyber criminaliteit noemen we dat.
"Hoe volwassen is het informatiebeveiligingsbewustzijn binnen uw organisatie?"
Informatieverspreiding
Informatie wordt opgeslagen op een zogenaamd medium. Vaak een harde schijf of een usb-stick. Bedrijven hebben hun informatie centraal op het bedrijfsnetwerk staan. Medewerkers hebben toegang tot dat bedrijfsnetwerk via een computer. Steeds vaker is dit een laptop, zodat de medewerkers ook vanuit huis kunnen werken. Wanneer internet niet voorhanden is, kan de medewerker toch doorwerken omdat de informatie ook op de laptop staat en op een later tijdstip weer gesynchroniseerd wordt met het bedrijfsnetwerk. Daarnaast is iedere mailbox ook een bron van informatie die meestal op meerdere apparaten geïnstalleerd wordt.
Het mag op basis van bovenstaande duidelijk zijn dat bedrijfsinformatie zeer verspreid is opgeslagen waardoor de beveiliging op al die plaatsen geregeld moet worden. Het betreft naast de apparaten ook de wegen van en naar de apparaten die beveiligd moeten worden.
Gebruikers en onvoorziene risico's
Het moderne plaats- en tijdonafhankelijke werken brengt dus ook risico’s met zich mee. Risico’s die niet voor iedereen te begrijpen zijn, vaak zeker niet voor de gemiddelde computergebruiker die zijn computer ziet als een middel om z’n werk te doen. Zij zijn zich niet bewust van allerlei, vanuit hun perspectief, onzichtbare risico’s die de digitalisering met zich meebrengt. Een zekere mate van bewustzijn is echter wel gewenst, omdat niet alle risico’s zijn op te lossen met het nemen van technische maatregelen.
Meest voorkomende bedreigingen
Maar waarom moet je een computer(netwerk) beveiligen? Daar is toch geen geld te halen? Niet direct nee, maar dus wel heel veel informatie die een bepaalde waarde heeft voor een persoon of een bedrijf. En dat is geld waard. En waar geld is, is criminaliteit. Iedereen die een computer en een internetaansluiting heeft krijgt vroeg of laat te maken met de onderstaande bedreigingen.
Bedreiging | Betekenis in begrijpbare taal |
Malware | Malware is letterlijk malafide software oftewel software die je niet kunt vertrouwen. Deze software wordt geïnstalleerd op het moment dat je zelf ergens op klikt. Dit kan zijn vanuit een Phishing mail maar ook bijvoorbeeld vanuit een internetsite. In beide gevallen worden valse beloftes gedaan terwijl er in de achtergrond schadelijke software wordt geïnstalleerd op je systeem. Via deze software heeft de hacker toegang tot je systeem en zal hij proberen achter je digitale identiteit (account- en inloggegevens) te komen. |
Ransomware | Ransomware is een specifieke vorm van malware. Wanneer de schadelijke software is geplaatst, heeft de hacker middelen om jouw bestanden (documenten, foto’s etc.) te versleutelen zodat je er zelf niet meer bij kan. Tegen betaling van losgeld (ransom) ontvang je een code waarmee je weer bij je gegevens kunt. Vaak wordt betaald maar blijft de code achterwege. |
Phishing | Phishing is letterlijk vertaald het vissen naar informatie. Er wordt aas gestrooid in de hoop dat de vis toehapt. In de praktijk worden zogenaamde phishing mails verstuurd waarin vaak gevraagd wordt om in te loggen met je eigen inloggegevens, vaak met waarschuwende teksten dat er iets mis is met je account en dat je mogelijk binnenkort niet meer bij je account kan. Feitelijk is dit het aas dat gestrooid wordt en als je toehapt beschikt de hacker over je account. En daarmee ook over jouw persoonlijke of zakelijke informatie. Alle phishing mails worden verstuurd alsof ze afkomstig zijn van een door jou vertrouwde organisatie of persoon (de bank of een collega). |
Vulnerabilities | Vulnerabilities zijn kwetsbaarheden en dus onvolkomenheden in software waardoor ongeautoriseerde personen zichzelf toegang kunnen verschaffen tot een systeem. Vanuit deze toegang kunnen ze beschikken over de informatie op het systeem. Daarnaast kunnen ze Malware of Ransomware achterlaten of op zoek gaan naar account- en inloggegevens van personen. |
Bovenstaande bedreigingen zijn het meest bekend en worden vaak gecombineerd toegepast. Voor al deze vormen van criminaliteit geldt dat men simpelweg uit is op geld. En dat is dus de reden dat computers en netwerken technische beveiligd moeten worden en dat medewerkers zich bewust moeten zijn van de bedreigingen. En bij dat laatste begint de informatiebeveiliging.
In alle genoemde voorbeelden heb je namelijk zelf ergens op geklikt, omdat je dacht dat het te vertrouwen was. Als je vooraf had kunnen herkennen dat er iets niet in de haak was, had je waarschijnlijk niet geklikt. Bewustwording en training zijn hier essentieel
Naast bewustwording zijn er technische maatregelen te treffen die bijvoorbeeld phishing mails kunnen afvangen. Of maatregelen die ervoor zorgen dat je systeem geen malafide software installeert. In onze volgende security blog ‘Technische beveiligingsmaatregelen’ vertellen we je hier graag meer over.
Meer weten? Gebruik de chat of neem contact op via de mail of telefoon om verder te praten met één van de security specialisten van VX Company.
Wilt u direct ontdekken hoe het is gesteld met het informatiebeveiligingsbewustzijn van uw organisatie? Doe dan de gratis Security Awareness Scan en ontvang direct de resultaten.