5. Is de cyberhygiëne op orde?
Een organisatie die cyberweerbaarder wil worden, raden we aan om te beginnen met het uitvoeren van een risicoanalyse. Een tweede grote sprong maakt een organisatie wanneer het basispraktijken op het gebied van cyberhygiëne implementeert. Het opleiden van werknemers zodat zij de basispraktijken volgen, is eveneens heel belangrijk voor de weerbaarheid van een organisatie.
Beleid of basispraktijken voor cyberhygiëne
Voordat je invulling in de vorm van beleid kan geven aan de basispraktijken op het gebied van cyberhygiëne, is het van belang om het te definiëren. Met cyberhygiëne gaat het over dat een organisatie de basisprincipes (DTC) of de basismaatregelen (NCSC) in acht neemt. Het opnemen van deze basispraktijken in het cybersecuritybeleid van jouw organisatie, zorgt ervoor dat de afspraken voor iedere werknemer gelden.
Opleiding voor werknemers
Cyberbewuste medewerkers zijn belangrijk voor je organisatie. Veel cyberincidenten starten bij een verkeerde handeling van een medewerker. Er zijn diverse manieren om medewerkers bewust te maken van cyberveiligheidsaspecten. Je kunt er een bewustmakingsprogramma voor opzetten, een onboardingscursus of e-learnings voor (laten) ontwikkelen.
Maak een programma dat elke medewerker bewust maakt van de cyberrisico's en dat handelingsperspectief biedt voor veilig gedrag. Denk ook aan trainingen die praktisch en effectief bepaalde thema's behandelen zoals:
- Duidelijk bureau- en schermbeleid;
- Gebruik van sterke wachtwoorden en MFA;
- Veilig e-mailgebruik;
- Anti-phishing;
- Back-uppraktijken;
- Het doen van updates.
Deze thema’s kunnen binnen jouw organisatie vervangen of aangevuld worden als dat door de risico’s of het beleid wordt bepaald.
Bewust van de basisafspraken
Medewerkers moeten zich bewust zijn van de basisafspraken op het gebied van cyberhygiëne. Om dit te bereiken moet er continu aandacht zijn voor bewustwordingsprogramma's met trainingen.
Zorg er ook voor dat alle medewerkers weten waar en hoe (mogelijke) incidenten gemeld moeten worden, welke contactpersonen zij kunnen benaderen en waar ze extra informatie kunnen vinden.
NIS2-zorgplicht
In de Europese NIS2-richtlijn worden gevraagd naar basispraktijken op het gebied van cyberhygiëne en opleiding van werknemers over cyberbeveiliging. Dit staat in artikel 21 lid 2 sub g.
Bereid je voor op de NIS2
Voor de voorbereiding op de Cyberbeveiligingswet die voortkomt uit de NIS2-richtlijn, vind je hier suggesties, handvatten en aandachtspunten. Omdat de zorgplichtmaatregelen nog niet zijn uitgewerkt in de regelgeving, baseren we de suggesties, tips en handreikingen op wat er gangbaar is in de cybersecuritypraktijk. Het uitvoeren of volgen ervan vergroot de cyberweerbaarheid van je organisatie, maar het is geen garantie dat je organisatie al voldoet aan komende wetgeving.
De productie van een poliovaccin in Bilthoven komt bijna tot stilstand na cyberaanval
“Waarschijnlijk hebben de hackers via social engineering of phishing een achterdeurtje weten te forceren. De menselijke factor blijft de zwakste schakel in je bedrijf. Daar moet je je bewust van zijn. Dus investeer daarin”, vertelt Peter Lakenman van Bilthoven Biologicals.
Effectiviteit en herziening
Het beleid op basispraktijken op het gebied van cyberhygiëne wordt periodiek getoetst en herzien. Daarbij wordt rekening gehouden met veranderingen in de organisatie, met het huidige dreigingslandschap en de risico's waarmee je organisatie wordt geconfronteerd. Daarnaast dienen de testresultaten te worden opgenomen in de herziene versie van het beleid van basispraktijken cyberhygiëne.
Heeft jouw organisatie de basis op orde?
Basisscan Cyberweerbaarheid
Je hebt al flink wat maatregelen genomen om je bedrijf te beschermen tegen cyberincidenten. Heb je alle basismaatregelen doorgevoerd in je organisatie? Doe de Basisscan Cyberweerbaarheid in 5 - 10 minuten en lees in het rapport hoe je bedrijf scoort op de 5 basisprincipes van veilig digitaal ondernemen.
CyberVeilig Check voor zzp en mkb
Starten met de cyberveiligheid van je bedrijf? Weet binnen 5 minuten wat je vandaag zelf kunt doen om een begin te maken. Download je eigen actielijst en ga aan de slag met praktische instructies en tips.
De NIS2-Quickscan
De NIS2-Quickscan is een tool voor organisaties die willen weten hoe zij zich kunnen voorbereiden. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.
Veel bedrijven en organisaties gebruiken netwerk- en informatiesystemen voor hun primaire bedrijfsprocessen. Dat maakt organisaties afhankelijk van deze systemen. Beleid en procedures over hoe er wordt omgegaan met de systemen, zorgen voor inzicht in de risico’s.
"De keten is zo sterk als de zwakste schakel." Een bekende metafoor die zeker in cybersecurity opgaat. Bedrijven zijn vaak afhankelijk van de (deel)producten of diensten van toeleveranciers. Als bedrijven digitaal met elkaar verbonden zijn, krijgt de afhankelijkheid nog een andere dimensie.
Cryptografie is de techniek van het coderen of decoderen van gegevens zodat alleen bevoegden de gegevens kunnen lezen. Het vormt de basis om de vertrouwelijkheid en integriteit van je gegevens te beschermen. Met encryptie versleutel je gegevens op basis van een cryptografisch algoritme.