In de vorige blog eindigde ik met het voorbeeld dat medewerkers niet weten hoe ze hun telefoon moeten beveiligen. Linke soep als je het mij vraagt en zeker een onderbelicht probleem. Telefoons hebben vaak toegang tot de contactlijsten van medewerkers en bevatten e-mails die privacygevoelige informatie kunnen bevatten. Informatiebeveiliging is dus onmisbaar.
Verantwoordelijkheid informatiebeveiliging medewerkers
Ik ben van mening dat de verantwoordelijkheid van informatiebeveiliging voor een deel bij de medewerkers ligt. Maar het is aan ons, als informatiemanager, om samen met de ICT-afdeling de medewerkers te helpen met het waarom, hoe en wat ze moeten beveiligen. Het is ons werk om op de hoogte te zijn van de eisen omtrent informatiebeveiliging. Voor iedereen in een organisatie is het handig om te weten hoe ze hun informatie moeten beveiligen, maar voor de meesten is het niet hun dagelijkse werk. Mogen we er dan vanuit gaan dat ze zich verdiepen in hoe ze hun informatie moeten beveiligen?
Nee. Ik ben van mening dat we daar niet vanuit mogen gaan. Daarom geef ik hieronder vijf voorbeelden waarvan ik bij de provincie heb gemerkt dat ze daar niet genoeg van op de hoogte waren. Daarbij komt dat ik heb gemerkt dat het erg dankbaar werk is om medewerkers dit soort tips te geven.
Tip 1: Ga zorgvuldig om met je e-mails
E-mail is een populaire manier voor hackers om waardevolle informatie te verkrijgen. Iemand krijgt een betrouwbaar ogende e-mail en opent nietsvermoedend de bijlage, daarmee wordt een deur geïnstalleerd om waardevolle informatie in te zien.
Door bewust en voorzichtig om te gaan met e-mails, kun je aanvallen voorkomen. Controleer bij twijfel altijd de identiteit van de afzender. Let bijvoorbeeld op afwijkingen in webadressen, taalfouten en de afzenders. Een afzender als [email protected] is natuurlijk helemaal fout, maar toch werken dit soort emailadressen echt om mensen voor de gek te houden.
Tip 2: Ga voorzichtig om met privacygevoelige informatie
Bij de provincie was het verplicht om elke drie maanden een nieuw wachtwoord in te voeren. Dat leverde iedere keer weer frustratie op; moet ik wéér een nieuw wachtwoord onthouden. Dit soort frustraties kunnen deels worden weggenomen door het doel achter de periodieke wachtwoord wijziging uit te leggen: het beveiligen van informatie.
Helaas is met alleen de periodieke wachtwoord wijziging niet alles opgelost. Informatiebeveiliging gaat natuurlijk veel verder dan dat. Een groot deel van de datalekken wordt niet veroorzaakt door gestolen wachtwoorden, maar door onoplettendheid van mensen. Gevoelige informatie valt bijvoorbeeld in de verkeerde handen, doordat een e-mail naar het verkeerde adres wordt gestuurd.
Datalekken
Veel datalekken zijn te voorkomen door voorzichtig en secuur met informatie om te gaan. Om te voorkomen dat gevoelige informatie in verkeerde handen terecht komt, is het verstandig om voor het versturen altijd te controleren aan wie je de e-mail verstuurt en of de inhoud van die mail ook daadwerkelijk bedoeld is voor de geadresseerde.
Tip 3: Wees alert als het gaat om het gebruik van mobiele apparaten
Is de pincode van jouw simkaart ook nog steeds 0000? Dan beveel ik van harte aan om deze te wijzigen naar een andere cijferreeks. Die pincode is namelijk ook een veiligheidsmaatregel om ervoor te zorgen dat onbevoegden niet zomaar, op jouw kosten, jouw toestel kunnen bedienen.
Als je de mogelijkheid hebt om thuis te werken, wordt je telefoon vaak gebruikt om de beveiligingscode te ontvangen. Als je pincode 0000 is, kan een onbevoegde gemakkelijk bij deze beveiligingscode, waardoor deze ook sneller bij de privacygevoelige informatie komt.
Default wachtwoorden zoals 0000 kun je het beste allemaal wijzigen naar persoonlijke wachtwoorden. Zo is het bijvoorbeeld ook wenselijk om het wachtwoord van je wifi-router thuis te veranderen.
Tip 4: Up to date houden devices
Bij de provincie hadden ze ‘Bring your own device’. Dit kan veel voordelen hebben, maar het is hierbij wel belangrijk om je bewust te zijn van de beveiligingsrisico’s. Tegenwoordig maakt iedereen gebruik van een of meerdere mobiele apparaten zoals laptops, smartphones en tablets. In veel gevallen zullen deze apparaten zowel privé als zakelijk gebruikt worden. Om beveiligingsrisico’s zo laag mogelijk te houden is het van groot belang om alle updates, zeker die van het besturingssysteem, te installeren. Die updates kunnen namelijk nodig zijn om bekende lekken te dichten waardoor de kans verkleind wordt dat hackers misbruik kunnen maken van zo’n lek. Informatiebeveiliging wordt op deze manier voor je gedaan.
Tip 5: Openbare wifi-hotspots
Waarschijnlijk weet je dat McDonalds openbare wifi-hotspots heeft. En dat al deze wifi-hotspots dezelfde naam hebben. Een kwaadwillende kan met zijn telefoon ook een openbare wifi-hotspot maken die dezelfde naam heeft als die van McDonalds. Als je via deze foute openbare wifi-hotspot privacygevoelige informatie verstuurt, kan deze persoon die informatie onderscheppen.
Mijn advies is dan ook om zolang je er niet zeker van bent of een hotspot veilig is, er geen gebruik van te maken. Maak niet automatisch verbinding met wifi-hotspots. Dit is een instelling op je telefoon en tablet die in principe niet aanstaat, tenzij je die instelling zelf hebt veranderd.
Virtual Private Network
Wil je toch gebruik maken van openbare wifi-hotspots? Maak dan gebruik van Virtual Private Network (VPN). Een van de veiligste manieren om te surfen via een openbare wifi-hotspot. Het beveiligt je tegen hackers en oplichters. Zorg er ook voor dat je het delen van bestanden en printers uitgeschakeld hebt. Via instellingen kun je dit heel gemakkelijk aan- of uitzetten. Wanneer je delen aan laat staan maak je het de kwaadwillende eenvoudig om in te breken op je laptop, telefoon of tablet.
Wil je meer weten? In deze blog lees je de basis over het beveiligen van informatie!
