(Cyber)security

Organisaties worden steeds vaker slachtoffer van cybercrime. Cybercrime komt voor in verschillende varianten, zoals virussen, malware, phishing of ransomware. Vaak ligt menselijk handelen ten grondslag aan succesvolle webcriminaliteit. Absolute veiligheid is er niet. Bewustwording bij bestuurders en medewerkers is dan ook het belangrijkste wapen in de strijd tegen cybercrime. Onze specialisten kunnen je adviseren over het verbeteren van de inrichting van je informatiebeveiliging en zorgen voor het verhogen van de awareness in je organisatie.

(Cyber)security

Cybercrime komt steeds vaker voor bij mkb-organisaties. Bedrijven hebben steeds meer moeite om zich daartegen te wapenen. Van het bedrijfsleven en (overheids)instanties wordt verwacht dat zij alles doen om op een veilige en respectvolle wijze om te gaan met data en persoonsgegevens. Volgens de Algemene Verordening Gegevensbescherming (AVG)  is een adequaat informatiebeveiligingsbeleid en security awareness een vereiste. Een(cyber)security beleid is een must. Dit beleid beschrijft welke maatregelen genomen zijn en/of moeten worden om computers, servers, mobiele apparaten, elektronische systemen, netwerken en gegevens te beschermen tegen schadelijke aanvallen.

Vormen van cybercrime

Er zijn verschillende vormen van cybercrime. Hierbij kun je onder andere denken aan:

• Een virus: dit is een klein programma dat gegevens op een computer kan beschadigen of verwijderen. Veel virussen worden (via bijlagen) per mail verspreid.
• Malware: dit betreft alle software met een opzettelijk kwaadaardige werking, ook wel malicious software genoemd.
• Phishing: dit is het per mail (of telefoon) onderscheppen van informatie om hiermee inloggegevens, creditcardgegevens, pincodes of andere persoonlijke informatie te ontfutselen.
• Ransomware: dit is een computervirus dat een computer kaapt door documenten te blokkeren waardoor ze niet meer toegankelijk zijn. Het virus laat geld betalen om van de blokkade af te komen. Betalen geeft echter geen garantie op een werkende oplossing en criminelen worden beloond voor hun acties.
• Cryptojacking: dit is het besmetten van netwerken met malware om cryptogeld in handen te krijgen.
• DDoS-aanvallen: dit zijn aanvallen om een website of internetdienst onbruikbaar te maken door middel van overbelasting van de server. DDoS staat voor Distributed Denial of Service.
• Botnet: dit zijn netwerken van computers die besmet zijn met een virus en worden gebruikt voor het versturen van spam en uitvoeren van cyberaanvallen.
• Identiteitsfraude: in dit geval maakt iemand misbruik van persoonlijke gegevens van iemand anders, waardoor nietsvermoedend betalingen worden gedaan, uitkeringen worden ontvangen of producten worden besteld.

Risico’s missen (cyber)security beleid

Risico’s liggen op de loer. Veelal zijn risico’s te herleiden tot het ontbreken van bewustwording of verkeerd menselijk handelen. Ten aanzien van het inschatten van (cyber)security risico’s kunnen zich de volgende situaties binnen een organisatie voordoen:

• De relevante dreigingen worden niet onderkend. Daardoor is het onduidelijk aan welke risico’s de organisatie wordt blootgesteld en welke maatregelen moeten worden genomen.
• Een aanvaller heeft toegang gekregen tot de organisatie, bijvoorbeeld doordat medewerkers op phishing mails hebben geklikt. Is endpoint protection niet goed ingeregeld en is het netwerk niet goed gesegmenteerd, dan bestaat het risico dat malware het systeem infecteert en verspreid wordt naar andere werkstations en servers.
• Incidenten worden niet tijdig opgemerkt. Hierdoor kan niet adequaat worden opgetreden en blijven incidenten bestaan. De (cumulatieve) impact kan steeds groter worden.
• Er wordt verkeerd gereageerd. Inadequate reactie leidt ertoe dat de impact van cyber incidenten groter is dan noodzakelijk.
• Herstel vindt verkeerd plaats. Inadequaat herstel leidt er eveneens toe dat de impact van cyber incidenten groter is dan noodzakelijk.

Onze werkwijze

Wij maken gebruik van een Cyber Security Healthcheck, die je helpt om je (cyber)security risico’s in beeld te brengen en te mitigeren. aaff heeft gekwalificeerde accountants en IT-auditors die je kunnen adviseren over het verbeteren van de inrichting van je informatiebeveiliging en kunnen zorgen voor het verhogen van de bewustwording in je organisatie. Aan de hand van een nulmeting van je omgeving kunnen wij snel tot een kwalitatief en passend voorstel komen voor verbetering. Daarnaast kunnen wij bestuurders en medewerkers van je organisatie meenemen in de wereld van (cyber)security aan de hand van op maat gemaakte trainingen en bewustwording sessies. Dit doen wij met behulp van ons (cyber)security trainingsprogramma.

De Cyber Security Healthcheck helpt om de digitale weerbaarheid, het vermogen om te kunnen incasseren en snel te kunnen reageren, te verhogen. Wij gaan graag het gesprek met je aan over onderwerpen als identificatie, bescherming, detectie, reactie en herstel.

Meer informatie over (cyber) security?

aaff is graag overal van betekenis. Voor meer informatie over (cyber) security of over de dienstverlening van IT-audit kun je contact opnemen met de specialisten van ons IT-audit team.