Informatiebeveiligingsgids voor nieuwe werknemers

Om het aantal cyberincidenten tot een minimum te beperken, moet u een basisgids over informatiebeveiliging uitgeven en deze verplicht stellen bij het in dienst nemen van werknemers.

Een informatiebeveiligingsgids kan helpen om de kans op fouten zo klein mogelijk te maken, maar het is een hele uitdaging om er een vanaf nul op te stellen. Daarom bieden wij een algemeen plan aan, een basisgids waaraan u punten kunt toevoegen die specifiek zijn voor uw bedrijf en de bijbehorende regels en voorschriften. Naar onze mening is dit een standaard met de belangrijkste benodigdheden en kunt u deze verder personaliseren. Zodra u hem naar wenst hebt aangepast, moet u hem niet simpelweg archiveren: Laat hem aan alle nieuwe werknemers zien en breng hem ook onder de aandacht van het gevestigde personeel.

Toegang tot zakelijke systemen en diensten

  1. Gebruik sterke wachtwoorden voor alle accounts van minimaal 12 tekens lang, zonder woorden die in het woordenboek staan en inclusief speciale tekens en cijfers. Kwaadwillenden kunnen wachtwoorden eenvoudig kraken met een brute-force-aanval.
  2. Stel een uniek wachtwoord in voor elk account. Als u wachtwoorden hergebruikt, dan kan een lek in één dienst alle andere wachtwoorden compromitteren.
  3. Houd wachtwoorden geheim, zonder uitzonderingen. Schrijf ze niet op, sla ze niet op in een bestand en deel ze niet met collega’s. Een toevallige kantoorbezoeker of een ontslagen collega zou uw wachtwoord kunnen gebruiken om het bedrijf schade te berokkenen, wat een duidelijk voorbeeld is, maar de mogelijkheden voor schade zijn praktisch onbeperkt.
  4. Schakel tweestapsverificatie in voor elke dienst waar dit mogelijk is. Het gebruik van tweestapsverificatie voorkomt dat een aanvaller toegang tot de dienst krijgt, zelfs als het wachtwoord gelekt is.

Persoonlijke gegevens

  1. Versnipper documenten voordat u ze weggooit. Persoonlijk identificeerbare informatie in een vuilnisbak staat garant voor aandacht van regelgevers en fikse boetes.
  2. Gebruik beveiligde kanalen om bestanden met persoonlijke gegevens uit te wisselen (deel bijvoorbeeld Google Doc-documenten met specifieke collega’s, en niet via de optie “iedereen met de link”). Google indexeert bijvoorbeeld documenten die iedereen op het internet kan bekijken, wat betekent dat ze in de zoekresultaten kunnen verschijnen.
  3. Deel persoonlijke gegevens van klanten alleen met collega’s als dit echt noodzakelijk is. Het delen van gegevens leidt niet alleen tot problemen met de regelgevende instanties, maar verhoogt ook het risico op het lekken van gegevens.

Veel voorkomende cyberdreigingen

  1. Controleer links in e-mails zorgvuldig voordat u erop klikt, en onthoud dat een overtuigende afzendernaam geen garantie is dat het bericht authentiek is. Een van de vele trucs van cybercriminelen om mensen op phishing-links te laten klikken, is dat ze berichten specifiek op uw bedrijf afstemmen of zelfs het gekaapte account van een collega gebruiken.
  2. Voor budgetmanagers: Maak nooit geld over naar onbekende rekeningen, puur op basis van een e-mail of rechtstreeks bericht. Neem in plaats daarvan rechtstreeks contact op met de persoon die zogenaamd toestemming heeft gegeven voor de overschrijving om dit te bevestigen.
  3. Laat onbekende flash drives voor wat ze zijn en verbind gevonden media niet met een computer. Aanvallen via geïnfecteerde flash drives zijn niet alleen iets uit de science fiction, want cybercriminelen kunnen schadelijke apparaten in het openbaar en in kantoren plaatsen en dit is dan ook al gebeurd.
  4. Controleer voordat u een bestand open of het een uitvoerbaar bestand is (aanvallers vermommen schadelijke bestanden vaak als office-documenten). Open geen uitvoerbare bestanden van niet-vertrouwde bronnen.

Noodcontacten

  1. Met wie contact moet worden opgenomen (naam en telefoonnummer) in het geval van verdachte e-mails, vreemd computergedrag, een ransomware-bericht of andere twijfelachtige zaken. Dat kan een beveiligingsmedewerker zijn, een systeembeheerder, of zelfs de bedrijfseigenaar.

Dit zijn de basics en zaken waarvan iedereen binnen het bedrijf op de hoogte moet zijn. Voor nog beter bewustzijn op het gebied van moderne cyberdreigingen raden we echter speciale training aan.

Tips