Ik ben vandaag aan het studeren. Misschien vind je dat opmerkelijk voor iemand die de 50 is gepasseerd en meerdere universitaire opleidingen heeft afgerond. Misschien vind je dat niet opmerkelijk. Voor ‘onze’ beroepsgroep is het zeer vanzelfsprekend. Sterker, wil je ‘bij onze beroepsgroep’ blijven horen, zul je aan de minimale verplichtingen van de ‘permanente educatie’ moeten voldoen. Welke beroepsgroep is dat dan? Ik heb het over de beroepsgroep van de ‘Register IT-auditors’, de NOREA. Voluit de Nederlandse Orde van EDP-auditors. Aangezien veel ondernemers deze beroepsgroep niet kennen, maar haar leden van betekenis voor hen kunnen zijn, geef ik een korte introductie.

De NOREA bestaat al een tijdje, sinds de jaren 70 van de vorige eeuw. Haar leden zijn ‘Register IT-auditors’ (RE’s) en wij proberen de digitale wereld een beetje beter te maken. Dat doen we doordat we bijvoorbeeld ‘zekerheid’ geven over IT-risico’s. Dit mag je ook lezen als; we kunnen je vertellen waar jij het risico loopt om bijvoorbeeld gehackt te worden, maar ook helpen we je met de vraag welk stukje software je bedrijfsproces het beste kan ondersteunen. We zijn dus actief binnen een heel scala aan ‘IT-dingen’. Dat vraagt nogal wat van je. Je wordt dan ook niet zomaar een ‘RE’. Voor velen is dat een behoorlijk proces. Eerst de juiste universitaire of hbo-opleiding, dan een ‘executive master’ op een van de door de NOREA geaccrediteerde universiteiten en vervolgens minimaal drie jaar relevante werkervaring met voldoende spreiding en diepgang. Pas dan word je na akkoord van de commissie van toelating ingeschreven in het register en mag je ‘RE’ achter je naam zetten. Dan zijn er vervolgens allerlei ‘waarborgen’ om te zorgen dat onze leden hoogwaardige diensten kunnen leveren. Zo zijn er regels voor het accepteren van klanten en opdrachten, het afgeven van een ‘verklaring’ en word je ook periodiek gecontroleerd om vast te stellen dat je alles naar behoren hebt uitgevoerd. Ook zijn er dus regels om te zorgen dat we onze opgedane kennis en ervaring op pijl houden. Zo ben ik nu aan het studeren voor de verplichte kennistoets over de aangepaste Gedragscode waar wij ons allemaal aan dienen te houden.

Ok?, leuk zul je zeggen, maar wat heb ik daaraan? Nou, dat zou best wel eens veel kunnen zijn. We zijn met z’n 1.700 leden gespecialiseerd om je te helpen en je te beschermen tegen allerlei cyber security risico’s, maar ook om het optimale uit jouw investering in IT te halen. Hierbij zijn wij gehouden aan gedrags- en beroepsregels die voor jou waarborgen dat iemand er geen potje van zou maken. Mocht dat dan toch gebeuren, kun je deze persoon tuchtrechtelijk aanspreken en zo jouw verhaal halen.

Meer en meer van deze RE’s zijn ook actief in de MKB-sector nu ook daar de digitalisering eigenlijk al jaren een vanzelfsprekend onderdeel is van de bedrijfsvoering. Grote kans dat ook bij jou in de buurt een RE te vinden is. Deze beroepsgroep is uniek in de wereld. Geen enkel ander land heeft een dergelijke beroepsorganisatie en voor vele (grotere) organisaties als De Nederlandsche Bank en Philips is het inzetten van externe en interne RE’s vanzelfsprekend. Nu ook jij je wellicht meer en meer realiseert wat de kracht maar ook de bedreiging van digitalisering kan zijn nodig ik je van harte uit een kennis te maken met een RE bij jou in de buurt!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

“Veel Nederlandse organisaties kunnen niet eens de meest basale digitale aanvallen afweren, omdat ze hun beveiliging niet op orde hebben” een stevige uitspraak van de Nederlandse Cyber Security Raad die waarschuwing van de AP ondersteund. Voor zover je het luiden van de noodklok nog als waarschuwing kan zien. Sterker nog de AIVD en de NCTV waarschuwen al jaren voor de gevaren van slecht beveiligde Nederlandse organisaties. De verzameling waarschuwingen uit officiële kanalen, specialistische kanalen, journalistieke kanalen en beroepsgroepen raken nu echt een hoogtepunt.

Een reeks ramkraken en inbraken bij fietsenwinkels zorgde ervoor dat vele fietsenwinkels opschrokken. Inzinkbare palen, rampalen, driepuntsloten, rookmachines, rolluiken, beveiligingspersoneel, GPS trackers in fietsen tot het slapen in de winkel zelf werden halsoverkop getroffen als maatregelen door de eigenaren van deze fietsenwinkels. Want als criminelen je producten en je bedrijfscontinuïteit bedreigen neem je maatregelen gelijkende de bescherming van kastelen en burchten vroeger. Zo bescherm je jezelf en je klanten tegen criminelen die hun voordeel willen doen met jouw eigendom of dat van je klanten.

Een fietsenwinkel handelt in fietsen maar veel organisaties handelen in diensten. Die diensten worden dan nagenoeg altijd mogelijk gemaakt door IT-diensten. Bij deze diensten hoort bijna altijd het opslaan van gegevens, immers zonder die gegevens is de dienst vaak onmogelijk uit te voeren. Daardoor begint het tastbare te verdwijnen en begint een abstracte wereld vol met abstracte middelen die ook te stelen zijn. Het tegengaan van diefstal is in dit geval minder tastbaar dan wanneer je fietsendieven buiten houdt. Dieven stelen nu abstracte middelen stelen zoals data, admin rechten of kostbare inzichten in diensten van bedrijven.

Het lijkt toch dat concrete voorbeelden beter tot de verbeelding spreken. Want daar waar banale en minder banale beveiligingsmaatregelen voor fietsenwinkels direct worden getroffen is de urgentie voor onze digitale “winkels” vaak nog niet genoeg aanleiding om de juiste expertise in huis te nemen of maatregelen te treffen.

Twee, onderaan toegevoegde, artikelen wijdde de NOS daarom aan cyber security. De noodkreten van onder andere de Cyber Security Raad, Autoriteit Persoonsgegevens, Algemene Inlichtingen- en Veiligheidsdienst, Politie en het OM worden hierin vertaald. Waarbij opmerkelijke voorbeelden zich opstapelen. Zo ook de verslaglegging van een zelfverklaarde “hobbyist” die door het gebruik van publiek toegankelijke zoekmachines datalekken opspoort en naar eigen zeggen met gemak gevoelige informatie bij elkaar sprokkelt. Hierbij worden de aloude vergeten “vinkjes” aangehaald die ervoor zorgen dat de hobbyist paspoorten en andere gevoelige informatie in grote getallen met flinke regelmaat kan binnenhalen. Investeren in een adequate security is urgenter dan ooit! Adequaat betekent hierbij beter beveiligd te zijn dan de buurman, want zoals de Bart Jacobs, hoogleraar en lid van de Cyber Security Raad zegt “Het is zaak om niet achter te blijven, benadrukt hij. “Criminelen zoeken altijd de zwakste schakel. Je hoeft niet harder te kunnen rennen dan een beer, maar je moet wel harder kunnen rennen dan je vrienden.”

Door nu nogmaals een analogie te gebruiken hoop ik het abstracte nogmaals tastbaar te maken. Als je in de wildernis van Alaska gaat kamperen zorg je ervoor dat je kennis hebt over die beren en zorg je ervoor dat je in goede conditie bent. Die kennis en conditie doe je niet op goed geluk op, het gaat hier immers over een risico met grote kans en hoge impact. Die kennis doe je op samen met professionals die weten waar de beren zijn en hoe ze reageren. Daarnaast trainen die professionals je zodat je hard en efficiënt in de juiste richting kan rennen. NewDay is zo’n professional die u helpt deze kennis op te doen en u traint om weg te rennen. NewDay heeft al vele bedrijven mogen begeleiden in het ontdekken van hun volwassenheid met betrekking tot cyber security, privacy en informatiebeveiliging. Daarnaast heeft NewDay ook die bedrijven geholpen om van hun huidige volwassenheidsniveau naar het gewenste volwassenheidsniveau te klimmen. Zo kunt u ook harder rennen dan uw vrienden om die beer te vermijden die volgens experts met gemak kan tegenkomen in een omgeving waar de beren het volgens de Nederlandse instanties voor het kiezen hebben.

Lees verder over onze dienstverlening en ons brede aanbod van Cybersecurity & Informatiebeveiliging, Privacy & Datalekken, IT-advies en IT audits op onze site. Vraag vrijblijvend telefonisch meer informatie op via +316 15 94 61 42 of mail naar info@newdayriskservices.nl.

– Tippen Goossens

https://nos.nl/artikel/2375631-veel-mis-in-nederlandse-ict-beveiliging-zelfs-geen-verweer-tegen-simpele-hacks.html

https://nos.nl/artikel/2375676-digitale-deuren-staan-soms-wagenwijd-open-situatie-is-alarmerend.html

Waar criminelen vroeger op zoek waren naar een open raam of een handtas op je passagiersstoel zijn ze tegenwoordig op zoek naar toegang tot je persoonsgegevens. Het is welbekend dat persoonsgegevens door cyber criminelen, maar ook door minder vaardige criminelen, gebruikt kunnen worden om identiteitsfraude te plegen.

Dit kan leiden tot diefstal in indirecte vorm door bijvoorbeeld goederen op jouw naam te bestellen maar ook in directe vorm door inloggegevens te bemachtigen die rechtstreeks toegang geven tot jouw middelen. Tot overmaat van ramp weet je als slachtoffer vaak niet dat iemand toegang heeft tot jouw gegevens. Pas als hoge rekeningen of onverwacht lage banksaldo opduiken blijkt dat er kwaad is geschied. Maar organisaties zijn vaak ook niet op de hoogte van de activiteit van cyber criminelen in hun netwerk.

De autoriteit persoonsgegevens of AP heeft vastgesteld dat er een explosieve toename van hacks en data diefstal heeft plaatsgevonden in 2020. Deze toename bestaat uit 30% meer meldingen dan in 2019. Persoonsgegevens vormen een belangrijke schat aan informatie voor de criminelen maar zijn vaak ook de spil van dienstverlening voor de organisatie die ze opslaat. De AP geeft aan dat de criminelen vaak organisaties in het vizier hebben die veel persoonsgegevens verwerken. Belangrijk detail daarbij is dat bij het stelen van de persoonsgegevens de aanvallers vaak lange tijd aanwezig zijn in het netwerk om te proberen om bijvoorbeeld speciale rechten te bemachtigen om volledige toegang te krijgen tot de persoonsgegevens. Dat wil zeggen dat de toegang tot het netwerk in veel gevallen vaak niet eens wordt opgemerkt tot het te laat is.

Organisaties hebben de verplichting van de AVG en de belofte aan de eigenaar van de persoonsgegevens om ze goed te beveiligen. Veel organisaties hebben hiertoe cyber security maatregelen ingericht die technisch afdekken waar zij denken dat hun grootste zwakheden zich bevinden. Organisaties realiseren zich echter niet vaak genoeg dat de cyber criminelen hierop berekend zijn. De cyber criminelen hebben dus een positie waarin zij reageren op de actieve maatregelen. Kortom de cyber criminelen reageren op de maatregelen van de organisatie maar reageert de organisatie ook op de cyber criminelen en doen zij dit afdoende? Het zou kunnen dat, gezien het aantal meldingen van 2020, cyber criminelen zich gesterkt voelen in hun eigen kunnen. Naast technische maatregelen moeten organisaties ook rekening houden met de kennis van medewerkers ten opzichte van informatiebeveiliging. Passwords opgeschreven op blaadjes of medewerkers die passwords verkopen zijn serieuze mogelijkheden voor cyber criminelen.

Newday

Een van NewDay’s kernkwaliteiten is organisaties begeleiden met het bereiken van een passende cyber security. NewDay weet dat cyber security van veel meer afhankelijk is dan het inzetten van technische maatregelen en heeft veel organisaties geholpen hun waardevolle informatie goed te beveiligen.

NewDay heeft ruime ervaring met de implementatie van cyber security en privacy maatregelen voor organisaties. Het is uiteraard voor elke organisatie maatwerk. De noodzaak van maatregelen verschilt per type dienstverlening en organisatie. Welke (persoons)gegevens worden er verwerkt en met welk doel? In welke mate bestaan er technische maatregelen en in welke mate is het personeel zich bewust van de risico’s? De antwoorden op voorgaande vragen vormen onderdeel van het volwassenheidsniveau van een organisatie. NewDay is gespecialiseerd in security assessments die samen met onze technische pentests en vulnerability scans het volwassenheidsniveau kunnen bepalen. Met dit volwassenheidsniveau krijgt u actueel in zicht in waar voor u de risico’s zitten én kan vervolgens een verbeterplan wordt opgesteld. Met het inzicht en de ervaring van NewDay kan dit plan passend en adequaat worden gemaakt op de situatie voor uw organisatie.

Voor verschillende klanten heeft NewDay met deze werkwijze successen behaald. Zo hebben wij voor Xelvin alle stappen doorlopen van het maken van een scan, het opstellen van een verbeterplan tot het begeleiden van de implementatie daarvan. Uniek daarbij is dat wij indien gewenst een team kunnen samenstellen met niet alleen technische- en organisatorische cybersecurity specialisten, maar bijvoorbeeld ook juristen en ethical hackers kunnen inschakelen.

Vraagt u zich ook af of u wel goed bent voorbereid op een cyber security attack? Lees dan verder over onze dienstverlening en ons brede aanbod van IT audits, Cybersecurity & Informatiebeveiliging, Privacy & Datalekken en IT advies op onze site. Vraag vrijblijvend telefonisch meer informatie op via +316 15 94 61 42 of mail naar info@newdayriskservices.nl.

Steeds meer organisaties worden geconfronteerd met security incidenten die ook nog eens een datalek kunnen worden. Sommige van deze datalekken worden calamiteiten. Hoe ga je daar nou mee om? Hoe weet je een beetje wat je kunt verwachten zonder dat je door schade en schande wijzer bent geworden? Een van de manieren om je hierop voor te bereiden is een datalek simulatie. Wij mochten samen met Otherside at Work een datalek simulatie uitvoeren.  Heeft de simulatie nu de kracht om de werkelijkheid te benaderen waardoor er echt geleerd kan worden?

Waarom een datalek simulatie?

Het hebben van een procedure datalekken is inmiddels voor veel organisaties – gelukkig – niks bijzonders. Belangrijke vraag is dan natuurlijk nog wel of op het ‘moment suprême’ in de korte tijdspanne en druk, door alle mensen de mooie procedure niet over het hoofd wordt gezien.  Het echte antwoord op deze vraag kan natuurlijk alleen maar worden gegeven na opgedane ervaring met de nodige ‘leermomenten’. Deze leermomenten betekenen in de praktijk simpelweg dat er een fout is gemaakt. Van fouten kan men leren, dus niets aan de hand. Maar fouten maken wanneer zich binnen een organisatie een (groot) datalek heeft voltrokken kan erg grote ongewenste consequenties hebben. Durft u het aan? Zorgvuldige voorbereiding van de security officer, privacy officer en allerlei andere professionals binnen uw organisatie. Vervolgens één ondoordacht moment, door één wat te impulsieve reactie kan het imago van de organisatie kan in één klap teniet worden gedaan.

Voor organisaties waarbij een datalek een reëel risico is kan het daarom verstandig zijn niet te wachten op een daadwerkelijk lek van de omvang ‘calamiteit’. Het is mogelijk de werkelijkheid te benaderen door het spelen van een spel. Een serieus spel. In een dergelijk spel worden de spelers uitgedaagd hun (functie)rol te nemen en kunnen ze met elkaar ervaren hoe zij zonder consequenties fouten maken om te leren. Zodat, wanneer het er echt op aan komt, wellicht al wat belangrijke leermomenten zijn doorstaan.

Wanneer heb je een goede datalek simulatie gehad?

Dit is natuurlijk helemaal afhankelijk van wat je hoopt of verwacht te leren. Maar persoonlijk denk ik dat een spel je enerzijds de ruimte geven om eigen keuzes te maken. Juist daar liggen vaak de leermomenten. Tegelijkertijd moet het spel ook wel voldoende kaders geven om te zorgen dat de spelers nog wel met elkaar naar iets toe aan het werken zijn. Tenslotte wil je natuurlijk ook weten of je procedure werkt en of mensen daar ook op een goede manier mee om kunnen gaan.

Onze ervaringen met onze eerste datalek simulatie

Samen met Otherside at Work hebben wij recent een datalek simulatie mogen uitvoeren. Het is vooral ook erg leuk om samen met elkaar zo’n simulatie te doen. In een andere dan gebruikelijke setting worden mensen in een stresssituatie gezet en wordt de druk steeds verder opgevoerd. Je kunt zien wat het gedrag is van mensen en je kunt dus ook zien of de volgtijdelijkheid van de stapjes en vragen is zoals van tevoren was beoogd. Soms is dat zo, soms ook niet. Het gebruik van acteurs die van buiten het spel onderdeel waren van het spel, hadden een belangrijke meerwaarde. Hiermee kwam de ervaren druk ook echt van ‘buiten’.

Ook Otherside at Work heeft aangegeven de datalek simulatie als zeer waardevol te hebben ervaren. De CEO van Otherside at Work plaatste zelfs een enthousiaste opmerking over de datalek simulatie op LinkedIn:

“Een datalek-simulatie gedaan met Alexander Klaassen en ons MT en journalisten van diverse media (wat gelukkig acteurs waren….). Enorm veel van geleerd met echte stress-ervaringen en ‘disruptieve’ momenten i.p.v. alleen maar papieren en technische draaiboeken en acties.
PS. Een aanrader voor alle organisaties die eens echt willen ervaren hoe zij omgaan met crisissituaties op het gebied van informatiebeveiliging!”

Een datalek simulatie traint een team dus om adequaat gebruik te maken van de zorgvuldig opgestelde procedures binnen een organisatie. Bent u ook nieuwsgierig naar een datalek simulatie en wilt u meer informatie? Het team van NewDay staat klaar om antwoord te geven op je vraag.