4. Beheer toegang tot data en diensten
Toegang tot informatie, systemen en locaties is nodig om je werk te kunnen doen. Om de kans op ongelukken en misbruik zo klein mogelijk te maken, is het van belang dat medewerkers binnen en partners buiten je organisatie alleen de toegang hebben die past bij de werkzaamheden en de periode waarvoor de toegang nodig is. Geef je mensen dus alleen toegang tot informatie, systemen en locaties die nodig zijn voor de uitvoering van hun taken.
Waarom dit basisprincipe?
Het beheer van toegang moet goed geregeld zijn. Dit verkleint de kans op fouten door gebruikers. Het zorgt er ook voor dat kwaadwillenden minder kunnen doen als ze binnenkomen. Zij kunnen dan alleen bij wat past bij de rol waarmee ze zijn binnengekomen. Ook de toegang van service-accounts, machine-accounts en functionele accounts moet beperkt blijven tot wat nodig is.
Wat kun je doen?
1. Gebruik veilige, sterke en verschillende wachtwoorden
Met een wachtwoord bescherm je de vaste en mobiele apparaten van je bedrijf. Maar ook je bedrijfsgegevens in de cloud, draadloze netwerken, e-mailaccounts en sociale media-accounts. De meeste wachtwoorden bestaan uit een combinatie van letters en cijfers, maar er zijn ook andere opties zoals het gebruik van een pincode, Touch ID of beveiligingspatroon. Je kunt ook overwegen om gebruik te maken van passkeys.
2. Stel extra beveiliging in
Vaak is een wachtwoord alleen niet voldoende. Toegang tot bankzaken, bedrijfsgegevens in de cloud of de admin-omgeving van het bedrijfsnetwerk, vragen om extra beveiliging. Controleer of extra beveiliging mogelijk is en stel deze in. Denk hierbij aan multifactorauthenticatie (MFA) of tweefactorauthenticatie (2FA) en het inloggen met een token.
3. Bepaal toegang en gebruik een rechtenmatrix
Definieer per medewerker tot welke systemen en data zij toegang zouden moeten hebben om hun werk te kunnen doen. Het gebruik van een rechtenmatrix is hierbij handig.
4. Pas toegangsrechten aan en hou ze actueel
Zorg dat de toegangsrechten worden aangepast als iemand (van binnen en/of van buiten) een nieuwe functie krijgt of bij de onderneming vertrekt. In het geval van een plotseling (niet vrijwillig) vertrek van een systeembeheerder is dit extra belangrijk. Dit geldt ook indien er wordt gewerkt met bijvoorbeeld een nieuwe leverancier of boekhouder. Gebruik dit handige template voor in- en uitdiensttreders.
5. Maak een proces voor in- en uitdiensttreding van medewerkers
Zorg dat je processen hebt voor de indiensttreding, uitdiensttreding en interne doorstroming van medewerkers. Geef nieuwe medewerkers alleen toegang tot de middelen die ze nodig hebben. Dat geldt ook voor fysieke ruimtes zoals serverruimtes, of ruimtes waar gevoelige informatie ligt opgeslagen. Verwijder ongebruikte accounts. Deactiveer serviceaccounts en activeer deze alleen wanneer onderhoud plaatsvindt.
6. Gebruik persoonsgebonden accounts
Zorg dat toegang tot data en diensten persoonsgebonden is waarbij elke medewerker een eigen gebruikersaccount heeft. Vermijd generieke accounts, die gedeeld worden tussen bijvoorbeeld meerdere medewerkers, of meerdere medewerkers van een leverancier.
7. Vergrendel werkplekken en belangrijke systemen
Zorg dat systemen automatisch na een aantal minuten vergrendelen zodat deze niet toegankelijk zijn voor onbevoegden. Maak ook afspraken met medewerkers dat zij hun systeem zelf vergrendelen wanneer zij even van hun werkplek weglopen.
Basisprincipe 4 voor cybervolwassen organisaties
Bekijk welke verdiepende hulpmiddelen onze fusiepartner NCSC voor cybervolwassen organisaties heeft.
Doe de CyberVeilig Check
Starten met de cyberveiligheid van je bedrijf? Doe de gratis CyberVeilig Check voor zzp en mkb en weet binnen 5 minuten wat je vandaag zelf kunt doen om een begin te maken. Download je eigen actielijst en ga aan de slag met praktische instructies en tips.
Aan de slag met de 5 basisprincipes
Elke organisatie is anders. Een zelfstandig ondernemer hoeft minder cybermaatregelen te nemen dan een beursgenoteerde multinational bedrijf. Voor elke organisatie bieden de 5 basisprincipes houvast bij het nemen van passende maatregelen.
Niet alle incidenten kunnen voorkomen worden, ga er dus vanuit dat er een incident plaats gaat vinden (assume breach). Om weerbaar te zijn tegen digitale incidenten is het belangrijk om te weten hoe je op incidenten moet reageren (respond). Als het misgaat, wil je ook weten hoe je de schade weer kunt herstellen (recover).
De 5 basisprincipes van veilig digitaal ondernemen zijn opgesteld om ondernemers te helpen de basisbeveiliging in te laten stellen. Ondernemers die de 5 basisprincipes opvolgen, vergroten hun weerbaarheid tegen cyberrisico's die de bedrijfsvoering kunnen verstoren. Wacht dus niet langer en ga direct aan de slag.
Door je afhankelijkheden en belangen in kaart te brengen weet je welke dreigingen voor de organisatie relevant zijn, wat de kroonjuwelen of te beschermen belangen van de organisatie zijn, welke risico’s zich voordoen en hoe deze te adresseren. Wie is verantwoordelijk, wat is de mate van risico-acceptatie en hoe worden risico’s geborgd?