Blog #2: Cybersecurity begint met veilig inrichten

Blog #2 in een serie blogs over cybersecurity en digitale beveiliging

In ons vorige blog legden we uit dat je op een andere manier naar digitale beveiliging moet kijken wil je de controle over de IT security herpakken. Maar wat is daar voor nodig? Hoe richt je de IT-omgeving veilig in?

Spoiler: Als de techniek faalt, is de mens de laatste verdedigingslinie!

Beleid en praktijk

Begin met een goed informatiebeveiligingsbeleid. Denk bijvoorbeeld na over het wachtwoordbeleid, hoe je omgaat met toegang voor leveranciers, hoe je data beveiligt, waar je data opslaat en hoe je back-ups regelt. Heb je het informatiebeveiligingsbeleid opgesteld, dan ben je er natuurlijk nog niet. Nu is het zaak dit beleid met een serie praktische maatregelen in de praktijk te brengen, te beheren en te bewaken.

We noemen twee van die maatregelen. Allereerst verkleinen Role Based Access Control (RBAC) en PAM (Privileged Access Management) het risico op accounts met (te) veel rechten voor gebruikers die dat niet nodig hebben. In plaats van toegangsrechten blindelings uit te geven zorgen deze oplossingen ervoor dat toegangsrechten aansluiten op de functie die iemand vervult. In zorgorganisaties met enkele duizenden medewerkers komt het namelijk dagelijks voor dat mensen (tijdelijk) van functie wisselen. Dan is het zaak die rechten aan te passen zodra de situatie verandert. Niet te vroeg, waardoor iemand zijn werk niet meer kan doen, maar zeker niet te laat.

Mensen opleiden op het gebied van cybersecurity is een tweede belangrijke maatregel. Waarom kunnen medewerkers een mailtje van hun baas niet altijd vertrouwen? Hoe kunnen ze dreigingen, zoals phishing mails, herkennen? En wat moeten ze daar vervolgens mee doen? Op een laptop gaat dat nog redelijk eenvoudig, maar op een smartphone wordt dat al een stuk lastiger. Bij cybersecurity veilig inrichten moeten we overal aan denken.

Zoek balans tussen een veilige én werkbare omgeving

Al deze maatregelen mogen ook weer niet ten koste gaan van de medewerkers die ‘gewoon’ hun werk willen doen op wisselende tijden, locaties en apparaten. Het uiteindelijke doel van cybersecuritymaatregelen in de zorg is dat zorgmedewerkers en organisaties ongehinderd zorg kunnen blijven verlenen. Dus enerzijds beleid voeren en daarop continu blijven toetsen en bijsturen, want de organisatie is ook continu in ontwikkeling. Anderzijds denken vanuit de gebruiker: hoe kan IT helpen zijn werk goed te doen? Kortom, we moeten de balans bewaren tussen een werkbare en tegelijk veilige digitale omgeving.

De mens als zwakste schakel?

Juist bij cybersecurity wordt de mens vaak weggezet als de zwakste schakel. Dit soort shaming werkt in onze ogen averechts. Zo is er bijvoorbeeld niets mis met een interne phishingtest. Voorwaarden zijn dan wel dat je dat een positieve insteek geeft, mensen uitlegt hoe ze dergelijke mails in de toekomst beter kunnen herkennen en welke actie ze in zo’n geval moeten nemen. Maar als de techniek faalt, is uiteindelijk de mens je laatste hoop! Mensen zijn de laatste verdedigingslinie. Zij trekken aan de bel als niets anders dat nog doet.

Veilig inrichten is niet genoeg

Zoals gezegd, veilig inrichten is de eerste stap richting cybersecurity. Maar die is helaas niet voldoende. Het is immers niet langer de vraag óf, maar wanneer het een keer mis gaat. Dan is 24/7 monitoring minstens net zo hard nodig. Daarover meer in ons volgende blog.

Managed Detection & Response en Microsoft Defender XDR

Hoe bescherm je de moderne werkplek tegen digitale aanvallen? Met RAM-IT Managed Detection & Response (MDR) monitoren wij uw IT-omgeving 24 uur per dag, 7 dagen per week, 365 dagen per jaar. En bij dreigingen ondernemen we proactief actie vanuit het Nederlandse Security Operations Center (SOC).

Meer weten hoe wij met MDR en Microsoft Defender XDR uw security op peil brengen en houden? Maak een afspraak voor het complete verhaal.