Deze blog items komen op de frontpage te staan.

Een beroepsgroep specifiek voor IT-risico’s, onze column in het Noord Limburg Business Magazine

Ik ben vandaag aan het studeren. Misschien vind je dat opmerkelijk voor iemand die de 50 is gepasseerd en meerdere universitaire opleidingen heeft afgerond. Misschien vind je dat niet opmerkelijk. Voor ‘onze’ beroepsgroep is het zeer vanzelfsprekend. Sterker, wil je ‘bij onze beroepsgroep’ blijven horen, zul je aan de minimale verplichtingen van de ‘permanente educatie’ moeten voldoen. Welke beroepsgroep is dat dan? Ik heb het over de beroepsgroep van de ‘Register IT-auditors’, de NOREA. Voluit de Nederlandse Orde van EDP-auditors. Aangezien veel ondernemers deze beroepsgroep niet kennen, maar haar leden van betekenis voor hen kunnen zijn, geef ik een korte introductie.

De NOREA bestaat al een tijdje, sinds de jaren 70 van de vorige eeuw. Haar leden zijn ‘Register IT-auditors’ (RE’s) en wij proberen de digitale wereld een beetje beter te maken. Dat doen we doordat we bijvoorbeeld ‘zekerheid’ geven over IT-risico’s. Dit mag je ook lezen als; we kunnen je vertellen waar jij het risico loopt om bijvoorbeeld gehackt te worden, maar ook helpen we je met de vraag welk stukje software je bedrijfsproces het beste kan ondersteunen. We zijn dus actief binnen een heel scala aan ‘IT-dingen’. Dat vraagt nogal wat van je. Je wordt dan ook niet zomaar een ‘RE’. Voor velen is dat een behoorlijk proces. Eerst de juiste universitaire of hbo-opleiding, dan een ‘executive master’ op een van de door de NOREA geaccrediteerde universiteiten en vervolgens minimaal drie jaar relevante werkervaring met voldoende spreiding en diepgang. Pas dan word je na akkoord van de commissie van toelating ingeschreven in het register en mag je ‘RE’ achter je naam zetten. Dan zijn er vervolgens allerlei ‘waarborgen’ om te zorgen dat onze leden hoogwaardige diensten kunnen leveren. Zo zijn er regels voor het accepteren van klanten en opdrachten, het afgeven van een ‘verklaring’ en word je ook periodiek gecontroleerd om vast te stellen dat je alles naar behoren hebt uitgevoerd. Ook zijn er dus regels om te zorgen dat we onze opgedane kennis en ervaring op pijl houden. Zo ben ik nu aan het studeren voor de verplichte kennistoets over de aangepaste Gedragscode waar wij ons allemaal aan dienen te houden.

Ok?, leuk zul je zeggen, maar wat heb ik daaraan? Nou, dat zou best wel eens veel kunnen zijn. We zijn met z’n 1.700 leden gespecialiseerd om je te helpen en je te beschermen tegen allerlei cyber security risico’s, maar ook om het optimale uit jouw investering in IT te halen. Hierbij zijn wij gehouden aan gedrags- en beroepsregels die voor jou waarborgen dat iemand er geen potje van zou maken. Mocht dat dan toch gebeuren, kun je deze persoon tuchtrechtelijk aanspreken en zo jouw verhaal halen.

Meer en meer van deze RE’s zijn ook actief in de MKB-sector nu ook daar de digitalisering eigenlijk al jaren een vanzelfsprekend onderdeel is van de bedrijfsvoering. Grote kans dat ook bij jou in de buurt een RE te vinden is. Deze beroepsgroep is uniek in de wereld. Geen enkel ander land heeft een dergelijke beroepsorganisatie en voor vele (grotere) organisaties als De Nederlandsche Bank en Philips is het inzetten van externe en interne RE’s vanzelfsprekend. Nu ook jij je wellicht meer en meer realiseert wat de kracht maar ook de bedreiging van digitalisering kan zijn nodig ik je van harte uit een kennis te maken met een RE bij jou in de buurt!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

informatiebeveiliging cybersecurity New Day

Is een melding onbelangrijk of is het ransomware?

De meldingen vliegen om je oren, maar hoe bepaal je nu welke meldingen belangrijk zijn en welke niet? Weet jij bij elk knipperend lampje op je dashboard wat je moet doen? Of bij elke melding van je wasmachine, tablets of televisie? Sommige meldingen gaan over onbelangrijke zaken. Dramatische meldingen die verwarring zaaien over het verschonen van een filter of een melding over milieuvriendelijker rijden in de vijfde versnelling ondanks je matige snelheid. Maar andere zijn belangrijker, die meldingen gaan vaak over het waarborgen van de continuïteit van je apparaat of auto; denk aan motormeldingen. Of ze gaan over de integriteit van wat ze behandelen. Een enkele keer zal je telefoon misschien aangeven dat je multi factor authenticatie moet inschakelen om je familiefoto’s zo vertrouwelijk te houden en pottenkijkers te weren.

Interpretatie

Het lezen van die meldingen zou vaak helderheid moeten brengen. Maar dan komt het aan op jouw interpretatie van het bericht. Niet iedereen is in staat om een juiste inschatting te maken, wat meer dan begrijpelijk is. Niet iedereen is bedreven in mechanica of digitale oplossingen. Zelfs al ben je daar bedreven in kan een specialist je vaak een tegendeel bewijzen. Zo rijden sommige mensen door met meldingen op het dashboard tot ze naast de A2 staan en tegen de ANWB-monteur moeten zeggen dat ze niet hadden gedacht dat het zo’n vaart zo zou lopen. Ik kan mij voorstellen dat de motorschade inclusief een licht verwijtende ANWB- monteur je dag een stuk minder aangenaam maken. Nog erger is het als je brandende lampje betekent dat je in een vangrail rijdt of je vaatwasser vlam vat. Dan ga je van een baaldag naar een baalmaand of jaar.

Informatiebeveiliging

De vangrail en het vlam vatten zijn uiteraard uiterste, maar in de eerste alinea zit al een boodschap om een gradatie aan te merken in meldingen. Cyber security hanteert een belangrijke indeling die afgekort is tot B.I.V. Dit staat voor beschikbaarheid, integriteit en vertrouwelijkheid. Daarbij is resilience nog toegevoegd maar die laten we in deze blog even links liggen. De beeldspraak in de eerste alinea legt uit waarom motormeldingen een beveiligende functie hebben. Maar die beveiliging geldt ook voor uw IT-systemen, de integriteit van informatie kan namelijk beschermd worden door uw IT-systemen. Zo kan bijvoorbeeld multi factor authenticatie de vertrouwelijkheid van uw familiefoto’s op uw telefoon waarborgen, precies zoals een goed authenticatiebeheer in uw organisatie kan zorgen dat informatie uit uw IT-systemen niet op straat komt te liggen. Bij al die facetten eindigt en begint het met uw IT-systemen of IT-organisatie. Dat is uw wasmachine of auto, en die kan u vaak zelf waarschuwen maar niet garanderen dat u de meldingen goed kan interpreteren. Hierbij laten we situaties nog even links liggen waarbij het systeem niet in staat is om meldingen te versturen.

De drie classificaties, of vier zijn van onschatbare waarde voor elk informatiesysteem zoals ook bij u in uw onderneming. Informatiebeveiliging draait namelijk niet alleen om het binnendringen door criminelen. Het implementeren van maatregelen voor informatiebeveiliging helpt u de risico’s te managen die nodig zijn om beschikbaarheid, integriteit en vertrouwelijkheid na te kunnen leven.

NewDay en cyber security

NewDay is een organisatie die voor u berichten kan interpreteren met haar jarenlange ervaring in onder andere cyber security. Zo komt u niet voor onverwachte situaties te staan die u daarvoor nog niet voor mogelijk had gehouden. Wij kunnen u helpen onderscheid te maken in stilstaan op de A2 of voor een kleine reparatie even langs de garage te rijden. Zo heeft u dus kans om een baaldag te voorkomen of buiten de beeldspraak een ransomware aanval of hack aanval. Wij helpen u te onderscheiden welke meldingen in welke mate uw beschikbaarheid, integriteit en vertrouwelijkheid van informatie bedreigen en daarmee de processen die belangrijk zijn voor u en uw klanten.

Onze interpretatie

Met onze interpretatie van meldingen van uw systeem heeft u de oplossing in handen om uw informatiebeveiliging optimaal in te richten voor uw specifieke situatie. Als u ook een oplossing wil hebben van NewDay dan nodigen wij u uit om contact met ons op te nemen en de mogelijkheden van onze dienstverlening en ons brede aanbod van Cybersecurity & Informatiebeveiliging, Privacy & Datalekken, IT-advies en IT-audits te bespreken. Op die manier kunnen we bepalen hoe wij ook ú kunnen helpen met uw informatiebeveiliging.

Zo hebben wij een cyber security check die u binnen één dag meer inzicht geeft in uw cyber security. Wil je meer weten over onze cyber security check, neem contact met ons op via +316 15 94 61 42 of mail naar info@newdayriskservices.nl.

informatiebeveiliging cybersecurity New Day

Nederlandse Security autoriteiten waarschuwen Nederlandse organisaties

“Veel Nederlandse organisaties kunnen niet eens de meest basale digitale aanvallen afweren, omdat ze hun beveiliging niet op orde hebben” een stevige uitspraak van de Nederlandse Cyber Security Raad die waarschuwing van de AP ondersteund. Voor zover je het luiden van de noodklok nog als waarschuwing kan zien. Sterker nog de AIVD en de NCTV waarschuwen al jaren voor de gevaren van slecht beveiligde Nederlandse organisaties. De verzameling waarschuwingen uit officiële kanalen, specialistische kanalen, journalistieke kanalen en beroepsgroepen raken nu echt een hoogtepunt.

Een reeks ramkraken en inbraken bij fietsenwinkels zorgde ervoor dat vele fietsenwinkels opschrokken. Inzinkbare palen, rampalen, driepuntsloten, rookmachines, rolluiken, beveiligingspersoneel, GPS trackers in fietsen tot het slapen in de winkel zelf werden halsoverkop getroffen als maatregelen door de eigenaren van deze fietsenwinkels. Want als criminelen jeinformatiebeveiliging cybersecurity New Day producten en je bedrijfscontinuïteit bedreigen neem je maatregelen gelijkende de bescherming van kastelen en burchten vroeger. Zo bescherm je jezelf en je klanten tegen criminelen die hun voordeel willen doen met jouw eigendom of dat van je klanten.

Een fietsenwinkel handelt in fietsen maar veel organisaties handelen in diensten. Die diensten worden dan nagenoeg altijd mogelijk gemaakt door IT-diensten. Bij deze diensten hoort bijna altijd het opslaan van gegevens, immers zonder die gegevens is de dienst vaak onmogelijk uit te voeren. Daardoor begint het tastbare te verdwijnen en begint een abstracte wereld vol met abstracte middelen die ook te stelen zijn. Het tegengaan van diefstal is in dit geval minder tastbaar dan wanneer je fietsendieven buiten houdt. Dieven stelen nu abstracte middelen stelen zoals data, admin rechten of kostbare inzichten in diensten van bedrijven.

Het lijkt toch dat concrete voorbeelden beter tot de verbeelding spreken. Want daar waar banale en minder banale beveiligingsmaatregelen voor fietsenwinkels direct worden getroffen is de urgentie voor onze digitale “winkels” vaak nog niet genoeg aanleiding om de juiste expertise in huis te nemen of maatregelen te treffen.

Twee, onderaan toegevoegde, artikelen wijdde de NOS daarom aan cyber security. De noodkreten van onder andere de Cyber Security Raad, Autoriteit Persoonsgegevens, Algemene Inlichtingen- en Veiligheidsdienst, Politie en het OM worden hierin vertaald. Waarbij opmerkelijke voorbeelden zich opstapelen. Zo ook de verslaglegging van een zelfverklaarde “hobbyist” die door het gebruik van publiek toegankelijke zoekmachines datalekken opspoort en naar eigen zeggen met gemak gevoelige informatie bij elkaar sprokkelt. Hierbij worden de aloude vergeten “vinkjes” aangehaald die ervoor zorgen dat de hobbyist paspoorten en andere gevoelige informatie in grote getallen met flinke regelmaat kan binnenhalen. Investeren in een adequate security is urgenter dan ooit! Adequaat betekent hierbij beter beveiligd te zijn dan de buurman, want zoals de Bart Jacobs, hoogleraar en lid van de Cyber Security Raad zegt “Het is zaak om niet achter te blijven, benadrukt hij. “Criminelen zoeken altijd de zwakste schakel. Je hoeft niet harder te kunnen rennen dan een beer, maar je moet wel harder kunnen rennen dan je vrienden.”

Door nu nogmaals een analogie te gebruiken hoop ik het abstracte nogmaals tastbaar te maken. Als je in de wildernis van Alaska gaat kamperen zorg je ervoor dat je kennis hebt over die beren en zorg je ervoor dat je in goede conditie bent. Die kennis en conditie doe je niet op goed geluk op, het gaat hier immers over een risico met grote kans en hoge impact. Die kennis doe je op samen met professionals die weten waar de beren zijn en hoe ze reageren. Daarnaast trainen die professionals je zodat je hard en efficiënt in de juiste richting kan rennen. NewDay is zo’n professional die u helpt deze kennis op te doen en u traint om weg te rennen. NewDay heeft al vele bedrijven mogen begeleiden in het ontdekken van hun volwassenheid met betrekking tot cyber security, privacy en informatiebeveiliging. Daarnaast heeft NewDay ook die bedrijven geholpen om van hun huidige volwassenheidsniveau naar het gewenste volwassenheidsniveau te klimmen. Zo kunt u ook harder rennen dan uw vrienden om die beer te vermijden die volgens experts met gemak kan tegenkomen in een omgeving waar de beren het volgens de Nederlandse instanties voor het kiezen hebben.

Lees verder over onze dienstverlening en ons brede aanbod van Cybersecurity & Informatiebeveiliging, Privacy & Datalekken, IT-advies en IT audits op onze site. Vraag vrijblijvend telefonisch meer informatie op via +316 15 94 61 42 of mail naar info@newdayriskservices.nl.

 Tippen Goossens

https://nos.nl/artikel/2375631-veel-mis-in-nederlandse-ict-beveiliging-zelfs-geen-verweer-tegen-simpele-hacks.html

https://nos.nl/artikel/2375676-digitale-deuren-staan-soms-wagenwijd-open-situatie-is-alarmerend.html

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

informatiebeveiliging cybersecurity New Day

Volwassenheidsmetingen; “A crazy huge hack”

Het voorkomen van een “crazy huge hack” staat hoog op het lijstje van elke organisatie of onderneming. Het is immers niet de vraag óf uw organisatie het doel wordt van een dergelijke aanval maar wanneer. De AP luidde de noodklok nog recent omtrent een toename van hacks en datadiefstal en het onderwerp patching is hier onlosmakelijk mee verbonden.

Je probeert op tijd in een vergadering in te loggen maar wordt gehinderd door het welbekende updatescherm. Of je wil snel nog even je mail controleren of je laptop dichtklappen om je kinderen van school te halen maar er moet eerst een update worden uitgevoerd. Het updaten van software gebeurt vaak op het verkeerde moment en leidt tot grote frustraties. Kunnen ze die niet op een ander moment plannen?

Naast de dagelijkse ongemakken van updates zijn updates natuurlijk bedoeld om grotere ongemakken te voorkomen. Zonder dagelijkse ongemakken of updates worden die grotere ongemakken namelijk al gauw problemen. En problemen kunnen uitmonden in hacks die serieuze schade met zich mee kunnen brengen. Zeker als om updates gaat voor servers.

Voor servers zijn updates net zo ongemakkelijk. De server moet bijvoorbeeld even uitgeschakeld worden en kan niet gebruikt worden. Uw klanten kunnen niet bij hun applicaties of de vernieuwde software produceert een conflict of een nieuw probleem. Maar het is een noodzakelijk kwaad omdat patches functionaliteit of veiligheid kunnen borgen. Een belangrijk actueel voorbeeld is de laatste microsoft exchange email service patch. Een voor niet IT’ers ogenschijnlijk alledaagse patch. Maar deze patch brengt de oplossing voor een serieus datalek. Kortom zoals Christopher Krebs, voormalig directeur van de CISA, al tweette “This is a crazy huge hack”.

De strijd tegen crazy huge hacks
Het voorkomen van “crazy huge hacks” door bijvoorbeeld gebruik te maken van patching of andere technische mogelijkheden valt onder cyber security. NewDay heeft een ruime ervaring in de cyber security opgebouwd door onder andere het uitvoeren van DiGiD audits, cyber security assessments en ISO27001 audits. Daarbij is NewDay in staat geweest deze ervaring uit te breiden door technisch ervaren medewerkers op te nemen in de organisatie. Door het samenvoegen van deze expertise heeft NewDay een uniek framework kunnen ontwikkelen waardoor zij binnen korte tijd efficiënt en adequaat de volwassenheid van organisaties in kaart kunnen brengen. Dit biedt voor uw onderneming de mogelijkheid om efficiënt en concreet een externe volwassenheidsmeting te kunnen verrichten van uw IT-omgeving.

Volwassenheidsmeting NewDay
Een volwassenheidsmeting is een tool die u helpt uw huidige situatie te schalen. Met deze kennis weet u waar u staat, en waar u wilt zijn. U kunt vanuit die situatie bepalen waar uw focus hoort te liggen en waar niet. Dit levert vanuit de volgende visie altijd het nodige kostbate verschil op.

Het is evident dat de inrichting van beleid en procedures binnen organisaties net zo belangrijk is als het invoeren van technische maatregelen. Alle mogelijke technische maatregelen kunnen niet voorkomen dat een medewerker een ongewenste handeling uitvoert met grote gevolgen. Het beleid en procedures vormen daarom uw grip op uw, vaak kostbare, technische maatregelen. Dit betekent dat een nieuw verworven inzicht en overzicht van uw IT-omgeving door een volwassenheidsmeting u de mogelijkheid geeft om in controle te blijven van uw beleid en daarmee uw kostbare technische middelen. Zo kunt u uw middelen inzetten daar waar zij het grootste verschil maken. Samen met NewDay kunt u dit verschil maken.

Casus
Het missen van die ene belangrijke patch kan betekenen dat onopgemerkt hackers in uw systeem hebben ingebroken. Zij gebruiken vervolgens die tijd om speciale rechten toe te eigenen én gevoelige informatie of persoonsgegevens uit uw systemen te halen. De monitoring van logging zou hier een oplossing kunnen bieden. Maar juist die monitoring moet dan beleidsmatig en procedureel goed geleid zijn zodat u kunt de vinger aan de pols van uw IT-landschap heeft. Daarbij zou een goed patch management moeten lijden tot het een adequaat patching beleid waardoor de hackers wellicht nooit hun weg zouden vinden naar uw IT-omgeving en uw kostbare informatie. Actuele voorbeelden van de verwerkelijking van de voorgaande casus zijn met enig google werk eenvoudig terug te vinden.

NewDay helpt u graag om weg te blijven van een dergelijke casus en heeft daarom graag contact met u. Daarom kunt u vrijblijvend telefonisch meer informatie opvragen via +316 15 94 61 42 of via een mail naar info@newdayriskservices.nl om te zien wanneer NewDay ook bij u een volwassenheidsmeting kan uitvoeren.

informatiebeveiliging cybersecurity New Day

AP luidt noodklok: explosieve toename hacks en datadiefstal

Waar criminelen vroeger op zoek waren naar een open raam of een handtas op je passagiersstoel zijn ze tegenwoordig op zoek naar toegang tot je persoonsgegevens. Het is welbekend dat persoonsgegevens door cyber criminelen, maar ook door minder vaardige criminelen, gebruikt kunnen worden om identiteitsfraude te plegen.

Dit kan leiden tot diefstal in indirecte vorm door bijvoorbeeld goederen op jouw naam te bestellen maar ook in directe vorm door inloggegevens te bemachtigen die rechtstreeks toegang geven tot jouw middelen. Tot overmaat van ramp weet je als slachtoffer vaak niet dat iemand toegang heeft tot jouw gegevens. Pas als hoge rekeningen of onverwacht lage banksaldo opduiken blijkt dat er kwaad is geschied. Maar organisaties zijn vaak ook niet op de hoogte van de activiteit van cyber criminelen in hun netwerk.

De autoriteit persoonsgegevens of AP heeft vastgesteld dat er een explosieve toename van hacks en data diefstal heeft plaatsgevonden in 2020. Deze toename bestaat uit 30% meer mePrivacy New Dayldingen dan in 2019. Persoonsgegevens vormen een belangrijke schat aan informatie voor de criminelen maar zijn vaak ook de spil van dienstverlening voor de organisatie die ze opslaat. De AP geeft aan dat de criminelen vaak organisaties in het vizier hebben die veel persoonsgegevens verwerken. Belangrijk detail daarbij is dat bij het stelen van de persoonsgegevens de aanvallers vaak lange tijd aanwezig zijn in het netwerk om te proberen om bijvoorbeeld speciale rechten te bemachtigen om volledige toegang te krijgen tot de persoonsgegevens. Dat wil zeggen dat de toegang tot het netwerk in veel gevallen vaak niet eens wordt opgemerkt tot het te laat is.

Organisaties hebben de verplichting van de AVG en de belofte aan de eigenaar van de persoonsgegevens om ze goed te beveiligen. Veel organisaties hebben hiertoe cyber security maatregelen ingericht die technisch afdekken waar zij denken dat hun grootste zwakheden zich bevinden. Organisaties realiseren zich echter niet vaak genoeg dat de cyber criminelen hierop berekend zijn. De cyber criminelen hebben dus een positie waarin zij reageren op de actieve maatregelen. Kortom de cyber criminelen reageren op de maatregelen van de organisatie maar reageert de organisatie ook op de cyber criminelen en doen zij dit afdoende? Het zou kunnen dat, gezien het aantal meldingen van 2020, cyber criminelen zich gesterkt voelen in hun eigen kunnen. Naast technische maatregelen moeten organisaties ook rekening houden met de kennis van medewerkers ten opzichte van informatiebeveiliging. Passwords opgeschreven op blaadjes of medewerkers die passwords verkopen zijn serieuze mogelijkheden voor cyber criminelen.

Newday

Een van NewDay’s kernkwaliteiten is organisaties begeleiden met het bereiken van een passende cyber security. NewDay weet dat cyber security van veel meer afhankelijk is dan het inzetten van technische maatregelen en heeft veel organisaties geholpen hun waardevolle informatie goed te beveiligen.

informatiebeveiliging cybersecurity New Day

NewDay heeft ruime ervaring met de implementatie van cyber security en privacy maatregelen voor organisaties. Het is uiteraard voor elke organisatie maatwerk. De noodzaak van maatregelen verschilt per type dienstverlening en organisatie. Welke (persoons)gegevens worden er verwerkt en met welk doel? In welke mate bestaan er technische maatregelen en in welke mate is het personeel zich bewust van de risico’s? De antwoorden op voorgaande vragen vormen onderdeel van het volwassenheidsniveau van een organisatie. NewDay is gespecialiseerd in security assessments die samen met onze technische pentests en vulnerability scans het volwassenheidsniveau kunnen bepalen. Met dit volwassenheidsniveau krijgt u actueel in zicht in waar voor u de risico’s zitten én kan vervolgens een verbeterplan wordt opgesteld. Met het inzicht en de ervaring van NewDay kan dit plan passend en adequaat worden gemaakt op de situatie voor uw organisatie.

Voor verschillende klanten heeft NewDay met deze werkwijze successen behaald. Zo hebben wij voor Xelvin alle stappen doorlopen van het maken van een scan, het opstellen van een verbeterplan tot het begeleiden van de implementatie daarvan. Uniek daarbij is dat wij indien gewenst een team kunnen samenstellen met niet alleen technische- en organisatorische cybersecurity specialisten, maar bijvoorbeeld ook juristen en ethical hackers kunnen inschakelen.

Vraagt u zich ook af of u wel goed bent voorbereid op een cyber security attack? Lees dan verder over onze dienstverlening en ons brede aanbod van IT audits, Cybersecurity & Informatiebeveiliging, Privacy & Datalekken en IT advies op onze site. Vraag vrijblijvend telefonisch meer informatie op via +316 15 94 61 42 of mail naar info@newdayriskservices.nl.

 

 

Otherside at Work en hun ISO 27001 certificaat

Bij Otherside at Work verwerken klanten vertrouwelijke persoonsgegevens in de applicatie die zij hebben ontwikkeld. Dit maakt Otherside at Work voor de AVG een “verwerker”. Het is voor hen daarom belangrijk dat ze voldoende zekerheid kunnen geven aan hun klanten dat ze hun werk op een zorgvuldige manier doen.

Met een ISO27001 certificaat zijn zij in het bezit van een onafhankelijke verklaring van een derde partij. In onze rol als functionaris gegevensbescherming mochten wij uitleggen wat de ISO 27001 is en wat hier allemaal bij komt kijken.

Privacy New Day

Datalek simulatie

Steeds meer organisaties worden geconfronteerd met security incidenten die ook nog eens een datalek kunnen worden. Sommige van deze datalekken worden calamiteiten. Hoe ga je daar nou mee om? Hoe weet je een beetje wat je kunt verwachten zonder dat je door schade en schande wijzer bent geworden? Een van de manieren om je hierop voor te bereiden is een datalek simulatie. Wij mochten samen met Otherside at Work een datalek simulatie uitvoeren.  Heeft de simulatie nu de kracht om de werkelijkheid te benaderen waardoor er echt geleerd kan worden?

Waarom een datalek simulatie?

Het hebben van een procedure datalekken is inmiddels voor veel organisaties – gelukkig – niks bijzonders. Belangrijke vraag is dan natuurlijk nog wel of op het ‘moment suprême’ in de korte tijdspanne en druk, door alle mensen de mooie procePrivacy New Daydure niet over het hoofd wordt gezien.  Het echte antwoord op deze vraag kan natuurlijk alleen maar worden gegeven na opgedane ervaring met de nodige ‘leermomenten’. Deze leermomenten betekenen in de praktijk simpelweg dat er een fout is gemaakt. Van fouten kan men leren, dus niets aan de hand. Maar fouten maken wanneer zich binnen een organisatie een (groot) datalek heeft voltrokken kan erg grote ongewenste consequenties hebben. Durft u het aan? Zorgvuldige voorbereiding van de security officer, privacy officer en allerlei andere professionals binnen uw organisatie. Vervolgens één ondoordacht moment, door één wat te impulsieve reactie kan het imago van de organisatie kan in één klap teniet worden gedaan.

Voor organisaties waarbij een datalek een reëel risico is kan het daarom verstandig zijn niet te wachten op een daadwerkelijk lek van de omvang ‘calamiteit’. Het is mogelijk de werkelijkheid te benaderen door het spelen van een spel. Een serieus spel. In een dergelijk spel worden de spelers uitgedaagd hun (functie)rol te nemen en kunnen ze met elkaar ervaren hoe zij zonder consequenties fouten maken om te leren. Zodat, wanneer het er echt op aan komt, wellicht al wat belangrijke leermomenten zijn doorstaan.

Wanneer heb je een goede datalek simulatie gehad?

Dit is natuurlijk helemaal afhankelijk van wat je hoopt of verwacht te leren. Maar persoonlijk denk ik dat een spel je enerzijds de ruimte geven om eigen keuzes te maken. Juist daar liggen vaak de leermomenten. Tegelijkertijd moet het spel ook wel voldoende kaders geven om te zorgen dat de spelers nog wel met elkaar naar iets toe aan het werken zijn. Tenslotte wil je natuurlijk ook weten of je procedure werkt en of mensen daar ook op een goede manier mee om kunnen gaan.

Onze ervaringen met onze eerste datalek simulatie

Samen met Otherside at Work hebben wij recent een datalek simulatie mogen uitvoeren. Het is vooral ook erg leuk om samen met elkaar zo’n simulatie te doen. In een andere dan gebruikelijke setting worden mensen in een stresssituatie gezet en wordt de druk steeds verder opgevoerd. Je kunt zien wat het gedrag is van mensen en je kunt dus ook zien of de volgtijdelijkheid van de stapjes en vragen is zoals van tevoren was beoogd. Soms is dat zo, soms ook niet. Het gebruik van acteurs die van buiten het spel onderdeel waren van het spel, hadden een belangrijke meerwaarde. Hiermee kwam de ervaren druk ook echt van ‘buiten’.

Ook Otherside at Work heeft aangegeven de datalek simulatie als zeer waardevol te hebben ervaren. De CEO van Otherside at Work plaatste zelfs een enthousiaste opmerking over de datalek simulatie op LinkedIn:

“Een datalek-simulatie gedaan met Alexander Klaassen en ons MT en journalisten van diverse media (wat gelukkig acteurs waren….). Enorm veel van geleerd met echte stress-ervaringen en ‘disruptieve’ momenten i.p.v. alleen maar papieren en technische draaiboeken en acties.
PS. Een aanrader voor alle organisaties die eens echt willen ervaren hoe zij omgaan met crisissituaties op het gebied van informatiebeveiliging!”

Een datalek simulatie traint een team dus om adequaat gebruik te maken van de zorgvuldig opgestelde procedures binnen een organisatie. Bent u ook nieuwsgierig naar een datalek simulatie en wilt u meer informatie? Het team van NewDay staat klaar om antwoord te geven op je vraag. 

Privacy New Day

AVG boetes Q2 2020

Het belang van maatregelen voor de AVG is u vast niet ontgaan. In het tweede kwartaal van 2020 hebben de privacy toezichthouders al minstens 46 boetes uitgedeeld. Samen komen deze boetes op ongeveer 2.9 miljoen euro. De verdeling van deze boetes onder de lidstaten staat hieronder weergegeven met gele cijfers:

 

(IT-governance, 2020)

De meest voorkomende boetes zijn:

  • 20 boetes voor artikel 5 – Beginselen inzake verwerking van persoonsgegevens
  • 23 boetes voor artikel 6 – Rechtmatigheid van verwerking
  • 9 boetes voor artikel 32 – Beveiliging van verwerking
  • 5 boetes voor artikel 13 – Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld
  • 5 boetes voor artikel  14 – Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen

Meest voorkomende boetes

De boetes voor artikel 5, 6 en 32 zijn meer vertegenwoordigd dan die voor andere overtredingen. In andere kwartaalrapportages komen deze ook vaker voor. De verwerking en beveiliging van data zit verweven in de kern van de AVG. Daarnaast is het van groot belang dat je alleen persoonsgegevens verwerkt als je een wettelijke basis hebt om dit te doen. Met deze wettelijke basis heb je de eerste stap gemaakt. Bij deze twee grondbeginselen gaat het in de praktijk dus vaak mis.

NewDay en de AVG

In de visie van NewDay is het voor veel soorten organisaties verstandig om bewust of bewuster met het privacy-risico om te gaan. Dit blijkt ook uit boetes die binnen de EU binnen één kwartaal zijn vergaard door ondernemingen. Bewust omgaan met privacy risico’s is nodig om aan te kunnen tonen dat je zorgvuldig en adequaat de geregistreerde persoonsgegevens beschermt en behandeld. Op die manier ben je in controle van de privacy risico’s die grote gevolgen kunnen hebben voor je klanten of onderneming.

NewDay heeft reeds diverse mkb organisaties mogen bijstaan met het:

 

  • Gereed maken voor de AVG
  • Leveren van Privacy Functionarissen
  • Leveren van Data Protection Officer en Functionaris Gegevensbescherming

 

Organisaties die NewDay bijvoorbeeld al heeft mogen bijstaan zijn:

 

 

 

 

 

 

 

Heeft u vragen over uw AVG privacy risico’s? Lees dan verder op onze website of neem contact op met NewDay, wij staan u graag te woord.

Privacy New Day

Cyber security en video conference software; wat is veilig en tips voor veilig gebruik.

Tijdens de coronacrisis maakt het gebruik van video conference applicaties een sterke groei door. Het doel van het gebruiken van een applicatie is echter niet alleen het vergaderen, maar vergaderen op een veilige manier. Een degelijke veiligheid, ofwel cyber security, is niet eenvoudig te ontwikkelen. Daarnaast moeten de intenties van de leveranciers aansluiten op jouw behoefte van cyber security. Welke applicaties voldoen nu echter aan de huidige technische eigenschappen en intenties?

Een voorbeeld van een applicatie die een harde strijd voert om aan te tonen dat zij de juiste intenties én een degelijke cyber security hebben is Zoom. De website Cnet houdt bij hoe dat verloopt en het levert een aantal interessante technische- en functionele beveiligingsvraagstukken op.

Adviezen

Er worden online veel vergelijkingen gemaakt, waarbij de nadruk vaak ligt op het gebruiksgemak van de applicatie en de eventueel aanvullende functionaliteiten. Doeltreffende vergelijkingen die zich uitsluitend richten op cyber security zijn lastig te vinden. Wel bestaan er artikelen die de best beveiligde en encrypted software opsommen. Als men een keuze wil maken voor een video conference applicatie is het zinvol deze na te gaan. Om dit te vergemakkelijken zijn er enkele suggesties onderaan toegevoegd.

Best practices

Naast de opsommende artikelen bestaan er ook verdere algemene software- en gebruikstips. Een simpel maar effectief voorbeeld is het grote belang alle relevante software te updaten. Daarnaast kan ook het gebruik van VPN of secure cloud storage kan in deze tijd uitkomst bieden. Als de video vergadering veilig is, hoeft dat namelijk niet zeggen dat al het gevaar geweken is. Wanneer de inbelgegevens van een veilige vergadering op straat komen te liggen kunnen ongenode gasten in sommige gevallen namelijk alsnog meeluisteren. Omdat gebruikers fouten kunnen maken, is het zinvol richtlijnen op te stellen voor de video vergaderingen. Een aantal handige richtlijnen, van specialist highfive, zijn:

  • Gebruikers die een video willen opslaan van de video conference moeten van alle deelnemers goedkeuring krijgen. Zo voorkom je onwenselijk gevoelige informatie te delen.
  • Persoonlijke mobiele gegevensdragers mogen niet gebruikt worden om vergaderingen op te nemen. Een persoonlijke gegevensdrager valt niet onder de security- en gebruiksregels waar een zakelijk apparaat wel onder valt. Deze regels kunnen waardevol zijn bij het veilig houden van informatie.
  • Gevoelige informatie moet uitsluitend besproken worden in daartoe bedoelde vergaderingen met de juiste personen. Let dus op wat je overlegt in algemene vergaderingen. Er kunnen immers personen aan deelnemen die, bijvoorbeeld vanwege functiescheiding, geen toegang mogen hebben tot de informatie.
  • Verwijder data welke op de achtergrond zichtbaar kunnen zijn. In sommige applicaties kan de camera worden ingesteld om alleen de persoon waar te nemen. Zo voorkom je gevoelige informatie te delen met personen.
  • Camera en microfoons worden uitgeschakeld wanneer ze niet in gebruik zijn. Hiermee kun je borgen dat er geen onbedoelde informatie wordt verspreid door bijvoorbeeld iemand die even binnenloopt voor een kort overleg.
  • Het op afstand bedienen van camera’s is alleen toegestaan voor gebruikers die hier expliciet goedkeuring voor hebben gekregen. Op deze manier kan niemand gebruik maken van de camera voor doeleinden die niet wenselijk zijn.

Naast de voorgaande tips is het belangrijk om zoals gebruikelijk sterke wachtwoorden te gebruiken, virusscanners te updaten en te monitoren, en phishing berichten te herkennen en uit te sluiten. Verdere uitgebreide informatie kun je onderaan deze blog vinden in de twee toegevoegde links die praktische en bruikbare informatie bieden.

T.Goossens, Associate

New Day Risk Services

 

Links:

Artikel Zoom:

https://www.cnet.com/news/zoom-every-security-issue-uncovered-in-the-video-chat-app/

Cyber security best practice:

https://highfive.com/blog/5-steps-for-secure-video-conferencing

https://vpnoverview.com/internet-safety/business/work-safely-from-home/

Encrypted conference software:

https://techbriefly.com/2020/04/01/the-best-secure-and-encrypted-video-conference-software/

https://windowsreport.com/encrypted-video-conferencing-tools/