NIS2 (Network and Information Security) is een Europese richtlijn die organisaties verplicht om striktere regels te volgen op het gebied van cyberbeveiliging, met als doel om cyberweerbaarheid te vergroten. Volledig compliant worden, vraagt om investeringen in tijd en geld. Maar met deze 7 quick wins komt u al een heel eind. De volgende basisbeveiligingsmaatregelen zijn eenvoudig te implementeren en bovendien betaalbaar.
1. Antivirussoftware
Met een antiviruspakket voorkomt u dat computervirussen en andere malware uw systemen binnendringen. Vroeger ging het meestal om signature-based antivirussoftware: zulke programma's hielden lijsten bij met unieke codes die in verschillende virussen te vinden waren. Alle binnenkomende bestanden werden dan gescand op die codes om de virussen te herkennen. Het nadeel? Dat werkt alleen voor bekende virussen.
Tegenwoordig zijn de meeste antivirusprogramma’s gelukkig behavior-based: ze monitoren en analyseren het gedrag van alle software op uw systemen continu. Bij afwijkend gedrag beschouwen ze de software als potentieel kwaadaardig. Dit type antivirussoftware kan ook onbekende virussen ontdekken, omdat die opvallen door de manier waarop ze zich gedragen. Antivirussoftware is betaalbaar, snel te implementeren en vormt een sterke eerste verdedigingslinie tegen cyberbedreigingen.
2. Encryptie
Wanneer een laptop zonder encryptie gestolen wordt of verloren raakt, loopt uw organisatie aanzienlijke risico’s. Gevoelige bedrijfsinformatie en persoonsgegevens kunnen zo in de verkeerde handen vallen. Zowel de NIS2- als de GDPR-regelgeving (General Data Protection Regulation) verplichten daarom het gebruik van encryptie.
Gelukkig is encryptie van laptops eenvoudig in te stellen. Als u centraal de Windows-laptops van uw werknemers beheert, dan kunt u simpelweg de ingebouwde BitLocker-encryptie van Windows inschakelen. De laptops worden dan direct versleuteld, zonder dat de gebruikers hier iets van merken. Mocht er daarna een laptop verloren raken, loopt u geen risico meer op gegevenslekken.
3. Security-awarenesscampagnes
Het grootste beveiligingsrisico binnen een organisatie zijn eindgebruikers die zich onvoldoende bewust zijn van de risico's van hun handelingen. Doorlopende security-awarenesscampagnes, ondersteund met op maat gemaakte leermiddelen zoals video's en quizzen, maken medewerkers bewust van de gevaren. Zo vormen ze niet langer de zwakste schakel, maar net een sterke verdedigingslinie.
Bovendien kunt u met phishingsimulaties inzicht krijgen in welke medewerkers het meest gevoelig zijn voor deze risico’s. Zo’n campagne is eenvoudig centraal uit te rollen en te beheren, relatief goedkoop en heeft snel een grote impact.
4. Verantwoordelijke voor informatiebeveiliging
Informatiebeveiliging wordt vaak vooral aan de IT-afdeling toevertrouwd. Maar een van de kernprincipes van NIS2 is net dat informatiebeveiliging de verantwoordelijkheid van iedereen is. Gebruikers die hun computer niet vergrendelen wanneer ze hun bureau verlaten voor een koffie of gevoelige papieren documenten op de printer laten liggen, het zijn allemaal risico’s.
Een effectieve maatregel om zulke zaken tegen te gaan, is om iemand van de business aan te wijzen als eindverantwoordelijke voor de opvolging van de informatiebeveiliging in uw organisatie. Die persoon heeft de taak om anderen op risicovol gedrag aan te spreken en het beveiligingsbewustzijn binnen de organisatie te versterken en te verspreiden.
5. Centraal monitoren en updaten van software
Plaats op elke computer monitoringsoftware, die bijhoudt welke software erop draait en in welke versies. Zo heeft u altijd een centraal overzicht van de geïnstalleerde software en verliest u geen risico’s uit het oog.
Zorg ook dat u op afstand alle software kunt bijwerken. Zo zijn de computers altijd voorzien van de nieuwste updates en zijn niet kwetsbaar voor bekende beveiligingsfouten.
6. Privileged Access Management
Zorg dat gebruikers geen onbeperkte toegang hebben om willekeurige software te installeren, want dan verliest u het zicht op de bijbehorende risico's. Toch is elke installatie verbieden evenmin een oplossing. Dan zult u ook vaak de vraag krijgen om bijkomende software te installeren, wat voor u extra werk betekent en voor de gebruikers een drempel vormt, wat tot frustratie kan leiden.
Met Privileged Access Management kunt u specifieke gebruikers(groepen) toestaan om software uit een specifieke lijst te installeren. Zo geeft u iedereen de vrijheid om - binnen de grenzen van de policy - extra software te installeren, waardoor de risico’s overzichtelijk en beheersbaar blijven.
7. Webbeveiliging
Er bestaan lijsten van risicovolle websites die bijvoorbeeld virussen of andere kwaadaardige software bevatten. Door die lijsten in de firewall van uw bedrijfsnetwerk op te nemen, kunnen uw medewerkers deze websites niet meer bezoeken. Die maatregel is eenvoudig te implementeren en beschermt uw medewerkers tegen veel risico’s.
Deze zeven maatregelen zijn alvast echte quick wins waarmee u snel en goedkoop de cyberweerbaarheid van uw bedrijf verhoogt. Daarnaast zijn er uiteraard nog andere basisbeveiligingsmaatregelen, zoals multifactorauthenticatie, back-ups en netwerksegmentatie. Maar die vragen vaak grotere investeringen.
Hebt u vragen rond deze maatregelen of hulp nodig bij de implementatie ervan? Bij Cheops staan we voor u klaar met onze expertise.