In control van cyber risk? 5 stappen

Kijk verder dan cyberverzekering en de IT-afdeling: vijf tips voor een goed werkende 'human firewall'.

Een serie over cybersecurity.

Door Bouko de Groot.

Bijna elke week komt er weer een grote hack in het nieuws. Toch denkt twee derde van het MKB geen doelwit te zijn, wordt de risicoanalyse bij een zelfde aantal overgelaten aan de medewerkers zelf en maakt slechts een derde gebruik van  software voor data- en informatiebeveiliging. De cyberveiligheid bij veel organisaties is dus vooral afhankelijk van de medewerkers zelf, de zogenaamde 'human firewall'. Alex Poel van consultancybureau Charco & Dique heeft vijf praktische tips om die goed te laten werken binnen iedere organisatie.

1. Beter bewustzijn

Binnen de meeste organisaties werken geen specialisten op het gebied van cyber security, en dat hoeft ook niet. Wel is het van belang om in grote lijnen te weten welke bedreigingen er bestaan en hoe deze voorkomen kunnen worden. "Het verhogen van bewustzijn is via trainingen te organiseren," zegt Poel. "Ook is het mogelijk om een gespecialiseerd bedrijf te vragen een nep-phishing mail naar uw medewerkers rond te sturen."

Van belang is dat bepaalde veiligheidsmaatregelen onderdeel van een gedragsautomatisme worden. Denk aan het ‘locken’ van de computer bij het tijdelijk verlaten van de werkplek, of het gebruik van opslagmedia anders dan bijvoorbeeld de persoonlijke USB-sticks. Poel: "Bij een aanpak voor verbetering van de informatiebeveiliging binnen een organisatie, zou awareness een integraal onderdeel moeten zijn."

2. Heb argwaan

"Train medewerkers om ieder inkomend bericht of telefoontje met argusogen te bekijken," adviseert Poel. Een phishingbericht kan bijvoorbeeld op meerdere manieren worden herkend. Eén van de manieren is, om kritisch naar het bericht en de afzender te kijken.

Een phishingbericht wil de ontvanger naar een malafide website doorsturen, dus zal er waarschijnlijk een link in vermeld worden. "Check daarom eerst – zonder te klikken! –  waar het bericht vandaan komt." Let hierbij specifiek op het deel achter het @-teken. Daar zitten meestal de aanwijzingen, dat het gaat om een malafide bericht.

3. Echt unieke wachtwoorden

Hoewel niet verstandig, is het verleidelijk om voor meerdere websites hetzelfde wachtwoord te gebruiken. "Gelukkig zijn er verschillende apps die wachtwoorden op een veilige manier voor u bewaren en bijhouden, zoals LastPass, 1Password of Dashlane." Ook het gebruik van vinger- of gezichtsherkenning is een gemakkelijke en veilige oplossing.


Voor bedrijfsapplicaties is het daarnaast aan te bevelen om een sterke twee-factor authenticatie te implementeren. Mocht een wachtwoord toch gestolen worden, dan kan de dief daar niets mee zonder telefoon, token, vingerafdruk of een combinatie hiervan.

4. Vermijd openbare wifi

Telefoons en laptops zijn slimme apparaten, die het de gebruiker graag zo makkelijk mogelijk maken. Daarom onthouden zij - afhankelijk van de instellingen - de naam van een eerder gebruikt wifinetwerk, en maken ze hier later automatisch opnieuw verbinding mee. "Hackers weten dit helaas ook, en zetten op openbare plekken wifi-netwerken op," vertelt Poel. "Daar waar de telefoon denkt in de Starbucks te zijn, kan er in werkelijkheid verbinding worden gemaakt met het wifi-netwerk van een hacker."

Om dit te voorkomen, kan de eigen telefoon gebruikt worden als hotspot. Nog veiliger een betaalde VPN-service. Hiermee wordt het dataverkeer via encryptie afgeschermd.

5. Alles altijd up2date

"Zorg er altijd voor dat de meest recente versie van applicaties geïnstalleerd zijn. Elk moment van de dag worden er nieuwe virussen en malware uitgevonden die inspelen op foutjes in veelgebruikte software." Een phishing bericht maakt hier maar al te graag gebruik van. Leveranciers van software brengen vaak updates uit om dergelijke gaten in de beveiliging zo snel mogelijk te dichten, maar dat werkt alleen als ze ook daadwerkelijk worden geïnstalleerd.

"Veel bedrijven hebben hun IT en kantoorautomatisering uitbesteed," zegt Poel. "Het is belangrijk om hierover afspraken te maken met uw leverancier. Wat staat er precies in uw Service Level Agreement?"

Lees ook: Plan de posthack

De artikelen in deze serie: