Tegenwoordig is veel van ons werk gedigitaliseerd. Organisaties passen hun bedrijfsstrategie en -processen aan naar een aanpak die meer data gedreven is. Dit heeft veel voordelen, maar brengt ook een risico met zich mee, omdat veel van deze processen persoonlijk identificeerbare of gevoelige informatie bevatten. Dit betekent op zijn beurt een hoger risico op datalekken en kan mogelijk zelfs leiden tot reputatieschade.

 

Specifiek voor advocatenkantoren heeft digitalisering een grote impact. Advocatenkantoren verwerken heel wat persoonsgegevens, niet alleen over klanten, maar ook over managers, leidinggevenden, … Het is een groeiende trend om gevoelige klantinformatie te verkrijgen, waardoor een advocatenkantoor een redelijk doelwit is voor cyberaanvallers. Enkele van de meest prestigieuze, maar ook kleinere bedrijven hebben al te maken gehad met hackers. Dit geldt natuurlijk ook voor elk bedrijf dat persoonsgegevens verwerkt. Dus, waarom en hoe is informatiebeveiliging op dit moment een van uw prioriteiten?

 

Reputatie is alles!

Datalekken of de verstoring van uw bedrijfsvoering kunnen financiële verliezen en schade aan de reputatie van uw organisatie veroorzaken. Dit soort reputatieschade kan ook een negatieve invloed hebben op uw concurrentievoordeel. Het implementeren van goede maatregelen geeft een signaal van de betrouwbaarheid van uw organisatie aan klanten, derden, belanghebbenden en zakenpartners. Het helpt u ook een sterkere reputatie op te bouwen én het vertrouwen in uw organisatiepraktijken te vergroten.

Dit bevordert het potentiële voordeel van het zijn van een drijvende kracht achter de inspanningen van een organisatie op het gebied van kwaliteitsborging.

Waar wordt al uw informatie opgeslagen?

Veel organisaties worstelen met het in kaart brengen van hun informatiestructuren (waar is de informatie, waar komt deze vandaan, waarom wordt deze verzameld, hoe wordt deze verwerkt, wat is het verwerkingsdoel etc.) Voor persoonsgegevens zijn organisaties door GDPR wettelijk verplicht om te weten welke persoonsgegevens er worden verwerkt. U moet het bijhouden in uw register van verwerkingsactiviteiten (RoPA, Records of Processing Activities in het Engels). Niet-persoonlijke gegevens kunnen ook aan dit document worden toegevoegd, om ervoor te zorgen dat u al uw gegevensverwerkingsactiviteiten in een groot gegevensregister hebt.

Wie wil uw gegevens stelen?

U vraagt zich misschien af wie in hemelsnaam de gegevens van uw organisatie zou willen stelen. Vooral kleinere organisaties hebben vaak moeite met het belang van databeveiliging. Toch zijn er genoeg criminelen die mogelijk geïnteresseerd zijn in uw gegevens:

• • De hacktivist: Dit is iemand die hackt voor sociale of politieke doeleinden. Ze worden vooral getriggerd door wat zij als “oneerlijk” beschouwen.
  • Georganiseerde misdaad: Ze zijn een groep hackers die hun kennis en middelen combineren om grote misdaden te plegen. Denk hierbij aan mogelijke ransomware om losgeld te verkrijgen.
  • Concurrenten: Ze kunnen profiteren van het verkrijgen van uw informatie. Ze zouden deze informatie kunnen gebruiken om rechtszaken te winnen.
  • Natiestaten zijn ook belangrijke hackers. Ze vallen een andere natiestaat aan om de nationale soevereiniteit te verdedigen en nationale macht te projecteren.
  • Insiders. Denk aan ongelukkige werknemers. Ze kunnen de informatie verkopen of gewoon stelen en de reputatie van uw bedrijf beschadigen.

Hoe zouden ze proberen uw informatie te stelen?

De hierboven genoemde personen kunnen op verschillende manieren data stelen of continuïteitsproblemen veroorzaken binnen uw organisatie. De meest populaire manieren zijn social engineering zoals phishing, malware en ransomware.

• • Social engineering omvat het manipuleren van mensen om bepaalde acties uit te voeren of informatie openbaar te maken.
  • Phishing is een vorm van social engineering. De hacker stuurt een frauduleus bericht met als doel zijn doelwit te misleiden om gevoelige informatie te onthullen.
  • Malware is software met als doel een systeem te verstoren of onbevoegde toegang tot een systeem te verkrijgen.
  • Ransomware is op dit moment de meest voorkomende en bekende hackmethode. Het blokkeert de toegang tot een systeem totdat u een bepaald bedrag betaald heeft.

Al deze aanvallen hebben invloed op de vertrouwelijkheid, integriteit of beschikbaarheid van de gegevens van uw organisatie. Vaak denken mensen dat een datalek of incident gewoon het lekken van data is. Dit is echter alleen het geval wanneer we het hebben over een schending van de vertrouwelijkheid of ongeoorloofde toegang. Een inbreuk op de integriteit betekent dat de gegevens op de een of andere manier beschadigd zijn en niet kunnen worden vertrouwd. Een inbreuk op de beschikbaarheid treedt op wanneer u geen toegang hebt tot de informatie en de continuïteit van uw bedrijf wordt verstoord.

Alle informatiebeveiligingsmaatregelen die u neemt, verminderen de kans op een schending van de vertrouwelijkheid, integriteit of beschikbaarheid van informatie.

Hoe kunt u belangrijke informatie beschermen?

De IT-manager is niet de enige die verantwoordelijk is voor informatiebeveiliging. Elke werknemer binnen een bedrijf kan maatregelen nemen om risico’s te verminderen. Het begint met gezond verstand. Goede praktijken, zoals het verwijderen van documenten wanneer ze niet langer nodig zijn en ze veilig opslaan, zijn goede eerste stappen. In de praktijk betekent dit het opzetten en uitvoeren van een goed afgerond bewaarbeleid en -strategie, het vernietigen van documenten en ze niet onbeheerd op bureaus achterlaten. Digitaal is het het beste om documenten veilig en, indien mogelijk, versleuteld op te slaan.

Andere voorbeelden zijn:

• • Laat je niet misleiden door social engineering, denk twee keer na voordat je bepaalde informatie geeft of voordat je op een link klikt.
  • Gebruik sterke wachtwoorden en gebruik een wachtwoordmanager (bijvoorbeeld LastPass).
  • Als je bezoek verwacht, begeleid ze dan altijd en laat ze nooit uit het zicht.
  • Werk met een bezoekerspas.

Congrats! Je hebt net een Risicobeoordeling uitgevoerd!

Als uw organisatie gezamenlijk de bovengenoemde good practices in gedachten houdt, betekent dit dat u voor een risicogebaseerde aanpak kiest.

Niet elke organisatie is hetzelfde en daarom is niet elke informatiebeveiligingsaanpak hetzelfde. Elke organisatie heeft verschillende risico’s, afhankelijk van de aard van de organisatie, het type data dat men verwerkt, core business, grootte, etc. Daarom is het belangrijk om een risicogebaseerde aanpak te volgen. Als je al nadenkt over alles wat we hierboven hebben besproken, dan ben je dat al aan het doen! Als u uw informatiebeveiliging beter wilt beheren of dit volgens bepaalde normen wilt doen, zijn er ook kaders en standaarden die kunnen helpen. Zo krijg je een duurzaam en werkbaar Information Security Management Systeem (ISMS).

ISO 27001

De bekendste norm voor informatiebeveiliging is de ISO 27001-norm. Dit risicogebaseerde raamwerk legt op verschillende niveaus uit wat uw organisatie in uw ISMS moet implementeren op basis van het risico dat u als organisatie heeft. Elk ISMS bevat beleidslijnen en procedures voor organisatorische of technische maatregelen. De ISO 27001 verdeelde deze organisatorische en technische maatregelen in vier onderwerpen:

1. Organisatorische controles,
2. People controls (HR gerelateerd),
3. Fysieke controles
4. Technische controles.

Wanneer u als organisatie deze controles implementeert, kunt u een certificering verkrijgen. Omdat de ontwikkeling van informatiebeveiliging niet stilstaat en er altijd nieuwe bedreigingen zijn, moet ook uw ISMS up-to-date worden gehouden door middel van de plan-do-check-act cyclus. Dit betekent dat je nadenkt over wat er moet gebeuren (acteren), wat er wordt geïmplementeerd (doen), de controles die je hebt geïmplementeerd (check) en verbetert en handelt naar ontwikkelingen en updates (act).

Overweegt u het ISO27001 certificaat te behalen? Of wilt u inzicht krijgen in wat het voor uw organisatie zou betekenen? CRANIUM heeft al verschillende succesvolle ISO27001-certificeringsprojecten afgerond. Wij ondersteunen u graag verder op het gebied van informatiebeveiliging en/of ISO 27001! Contacteer ons en we bekijken wat we voor u kunnen betekenen.

In samenwerking met Annick Montulet, Lina Stroobants, Marloes De Bruin and Vanessa Knez.