Voor de gemeente-CISO's: 9 vragen om te checken hoe effectief je bent!


Voor de gemeente-CISO's: 9 vragen om te checken hoe effectief je bent!

Werk je als CISO bij een gemeente, dan is je leven als dat van een keeper: scoort je team, dan sta je alleen in je doel, terwijl aan de andere kant van het veld het feestje gaande is. Laat je een bal door, dan zijn alle ogen op jou gericht.

Vorig jaar kwam 22% van de gemelde datalekken uit de publieke sector. Een gemeente, waar gevoelige data constant heen en weer wordt gestuurd tussen verschillende instanties en burgers zelf, is een goudmijn voor hackers. Een datalek heeft hier dan ook grote gevolgen voor heel veel mensen. Toch blijkt uit onze peiling dat het merendeel van de mensen vindt dat de CISO uiteindelijk verantwoordelijk is. Fijn, dat je collega's het belang van je baan pas inzien als je per ongeluk een keer een bal doorlaat.


Ben jij een goede keeper? Je kan het moeilijk aan je collega's vragen, aangezien ze je werk pas écht begrijpen als het écht te laat is. Vandaar dat we een eenvoudige checklist voor je hebben opgesteld, zodat je kan kijken hoe het staat met de (online) verdediging binnen je organisatie.


De checklist werkt erg simpel: hieronder stellen we je 9 vragen. De meest effectieve CISO is degene die op alle vragen volmondig 'ja' kan antwoorden!

 

1. Ben je proactief op zoek naar mogelijke cyberaanvallen?

Om van een hacker te winnen, moet je als een hacker denken! Hackers hebben een duidelijk doel en hoeven in je systeem slechts één kwetsbaarheid te vinden om dit doel te bereiken.

Met bijvoorbeeld pentesting, simulaties en het monitoren van het dataverkeer kan je kwetsbaarheden opsporen en aanpakken voordat een hacker dit doet.

 

2. Ken je de gevaren van reguliere e-mail?

Oude, vertrouwede e-mailsystemen zijn goedkoper en bovendien is men er al aan gewend. Dit is een valkuil waar de zogenaamde "security Scrooge" vaak inloopt: een e-mailsysteem dat vandaag volstaat, kan morgen achterhaald zijn. Zorg daarom dat je altijd op de hoogte bent van nieuwe spelers op de markt, en met welke ontwikkelingen je rekening moet houden.

Investeren in een nieuw e-mailsysteem kan geld kosten, maar wist je dat datalekken steeds duurder worden? Door op de hoogte te zijn van de gevaren van reguliere e-mail en hierop in te spelen, ben je altijd goedkoper uit.

 

3. Is encryptie je prioriteit?

Je gaat ongetwijfeld niet van huis zonder je voordeur op slot te doen. Waarom zou je dezelfde veiligheid niet toepassen op gevoelige e-mails?

Sommige CISO’s maken het hackers te makkelijk door binnen hun organisatie encryptie geen prioriteit te maken. Dit terwijl je zonder encryptie geen persoonsgegevens kan versleutelen en je niet zeker weet dat deze bij de goede ontvanger terechtkomt. Voorkom dat je de CISO bent die dit aan zich voorbij laat gaan.

 

4. Zet je online veiligheid op de kaart binnen je organisatie?

Als keeper van je team is het aan jou als CISO om het belang van cyberveiligheid bij al je collega's op de kaart te zetten.

Maak daarom het bestuur bewust van de gevaren van dagelijks internetgebruik. Als zij betrokken zijn, is de kans veel groter dat zij databeveiliging voor iedereen in je organisatie een prioriteit maken. Datalekken voorkomen is tenslotte, net als voetbal, teamwerk.

 

5. Voldoe je aan wet- en regelgeving zoals NTA 7516 en Wvggz?

Dit is eigenlijk een no-brainer: deze richtlijnen zijn er om de gevoelige data van jouw organisatie en klanten te beschermen. Door ze als CISO te negeren is vragen om problemen.

Door NTA 7516 en Wvggz in je beleid mee te nemen voorkom je niet alleen onnodige boetes, je maakt het hackers ook een stuk moeilijker om je data te stelen.

(Wil je weten hoe je jouw organisatie zo snel en eenvoudig mogelijk NTA 7516 gecertificeerd maakt: bekijk dan deze checklist!)

 

6. Hou je rekening met de menselijke factor?

Menselijke fouten zijn in 66% van de gevallen de oorzaak van een datalek. Denk bijvoorbeeld aan het versturen van de verkeerde bestanden en het niet controleren van ontvangers.

Geen mens kan natuurlijk de volledige dag bezig zijn met veiligheid. Ga daarom bij jezelf na of de beveiliging die je hebt wel rekening houdt met de menselijke factor, bijvoorbeeld door middel van notificaties, controles en authenticaties aan de werkprocessen toe te voegen.

 

7. Is je oplossing gebruiksvriendelijk?

Datalekken voorkom je alleen met een IT-oplossing die voor iedereen eenvoudig te gebruiken is. Denk aan je eigen huis: je kan het meest veilige beveiligingssysteem aanschaffen die je meteen waarschuwt voor een inbraak, maar als deze komt met een oneindige gebruiksaanwijzing, verandert je motivatie en enthousiasme al snel in teleurstelling en frustratie.

Het zou zonde zijn als er een datalek ontstaat omdat het systeem door velen niet goed begrepen wordt. Kies daarom voor systemen die naadloos integreren in je huidige e-mailclient zoals Outlook of Gmail. Dit maakt het voor de eindgebruiker een stuk eenvoudiger en maakt het maken van fouten een stuk onwaarschijnlijker. Gebruiksvriendelijkheid is veiligheid!

 

8. Zorg je ervoor dat je leven niet bestaat uit het geven van trainingen?

Hoe groter je organisatie, hoe meer mensen op de hoogte moeten zijn van het gevaar van datalekken. We zien dan ook dat veel CISO's onnodig veel tijd steken in het afdraaien van presentaties en trainingen. Het lijkt misschien een nuttige tijdbesteding, maar in de praktijk blijkt het weinig effect te hebben. De CISO die veel tijd kwijt is aan lesgeven, wordt dan ook wel 'train wreck' genoemd.

Veel effectiever is om de bewustwording te integreren met de daadwerkelijke werkzaamheden van je collega's. Dus in plaats van een zoveelste powerpoint over het belang van twee-factorauthenticatie, kies je een e-mailoplossing die mensen op de juiste momenten herinnert een bericht met de juiste beveiliging uit te sturen. Een proactief, gebruiksvriendelijk systeem dat het nooit laat afweten heeft veel meer effect dan een eindeloze reeks trainingen. Zeker in deze tijd van thuiswerken, waarin veel meer mensen vanaf hun eigen apparaten werken, is het belangrijk om het effect van je laatste training niet te overschatten.

 

9. Vraag je wel eens om hulp?

Niemand kan in zijn eentje een hele organisatie veranderen, ook jij waarschijnlijk niet. Probeer dan ook niet in je eentje databeveiliging voor elkaar te krijgen. Betrek de hele IT-afdeling, het bestuur en zelfs de eindgebruiker hierbij. Als iedereen het belang van veilig e-mailen inziet, maakt dit niet alleen jouw werk makkelijker, maar ook de organisatie veiliger.




En? Kon je alle vragen met 'ja' beantwoorden, of is er nog werk aan de winkel? We hopen dat deze eenvoudige checklist je in ieder geval kan helpen de juiste prioriteiten te stellen, gezien de grote hoeveelheid taken die elke dag op je bord belanden.

Behoefte aan manieren om het je nog wat makkelijker te maken, terwijl je tegelijkertijd een nog betere CISO wordt? Klik dan op de link hieronder voor een gratis demo in het eenvoudig en effectief voorkomen van datalekken!

 

Probeer nu vrijblijvend

Similar posts