Nieuws & blogs

De 10 grootste misverstanden in informatiebeveiliging

Dennie Spreeuwenberg (LinkedIn), security awareness expert en CEO van Awaretrain, gaf een korte deepdive in de wereld van informatiebeveiliging. Hij besprak de meest voorkomende misvattingen over informatiebeveiliging die hij regelmatig tegenkomt binnen organisaties. Bekijk de masterclass nu terug! 

 

02 dec Grootste misverstanden in informatiebeveiliging

Wat kan je verwachten?

  • Inzicht in verborgen dreigingen: ontdek dreigingen waar het bestuur van jouw organisatie mogelijk nog niet van op de hoogte is.
  • Het bestuur overtuigen: praktische tips om jouw directie te overtuigen van het belang van informatiebeveiliging.
  • Concrete actiepunten: handvatten om direct aan de slag te gaan met de beveiliging van jouw organisatie.

Misverstand 1: Informatiebeveiliging draait om de vertrouwelijkheid van informatie

Vaak wordt gedacht dat informatiebeveiliging enkel gaat over de vertrouwelijkheid van informatie. Maar het is veel breder dan dat. Het zogenoemde BIV-principe benadrukt drie pijlers: beschikbaarheid, integriteit en vertrouwelijkheid.

  • Beschikbaarheid: Dit draait om de toegankelijkheid van de gegevens. Zijn de gegevens beschikbaar wanneer ze nodig zijn? Hoe goed zijn je systemen bestand tegen uitval?
  • Integriteit: Dit heeft betrekking op de betrouwbaarheid van informatie. Klopt de data, is het volledig en juist? Het is belangrijk om de integriteit goed te waarborgen zodat je gegevens overeenkomen met de werkelijkheid.
  • Vertrouwelijkheid: Dit gaat over wie toegang heeft tot bepaalde informatie. Denk aan hoe gegevens worden beschermd tegen ongeautoriseerde toegang of wijziging.

Criminelen richten zich steeds vaker op de integriteit en beschikbaarheid van gegevens, bijvoorbeeld via gijzelsoftware. Daarom moet je informatiebeveiliging op al deze elementen goed geregeld zijn.

Misverstand 2: Informatiebeveiliging is de verantwoordelijkheid van de IT-afdeling

Veel medewerkers denken dat informatiebeveiliging de verantwoordelijkheid is van de IT-afdeling, maar eigenlijk is iedereen binnen de organisatie medeverantwoordelijk. Van de manier waarop ze met wachtwoorden omgaan tot het herkennen van phishingmails, iedere handeling kan een groot verschil maken. Om ervoor te zorgen dat iedereen weet wat er van hen wordt verwacht, wordt in een gedragscode voor medewerkers vastgelegd welke verantwoordelijkheden zij hebben op het gebied van informatiebeveiliging.

Sommige bedrijven besteden hun IT uit aan leveranciers. Dit betekent echter niet dat je als organisatie je verantwoordelijkheid richting informatiebeveiliging blindelings kunt afschuiven. Het komt regelmatig voor dat organisaties geen goede afspraken met hun eigen IT-leveranciers over informatiebeveiliging hebben. Zo oordeelde de rechter in 2023 dat de gemeente Hof van Twente zelf schuldig was aan een hack en niet hun IT-dienstverlener. Het blijft essentieel om goed leveranciersmanagement te voeren en te beseffen dat je informatiebeveiliging nooit 100% kunt uitbesteden.

Misverstand 3: Onze organisatie is niet belangrijk of groot genoeg om het doelwit te zijn van een cyberaanval

Dit misverstand speelt vooral veel onder kleine organisaties. Ze denken vaak dat ze niet interessant of groot genoeg zijn voor cybercriminelen. Maar juist omdat kleinere bedrijven vaak minder doen aan cybersecurity, zien criminelen hen als laaghangend fruit. Dit kan zeker voor een klein bedrijf grote gevolgen hebben, bijvoorbeeld bij een hack met gijzelsoftware.

Misverstand 4: Informatiebeveiliging is een eenmalige investering

Informatiebeveiliging is geen eenmalige actie die je eenvoudig van je to-do list kunt afvinken. Het vereist doorlopende aandacht, actuele technische maatregelen, een sterk beleid en bewuste medewerkers om dreigingen structureel tegen te gaan. Het PDCA-cyclusmodel (Plan, Do, Check, Act) is een goed hulpmiddel waarmee je stap voor stap aan een betere beveiliging kan werken.

Misverstand 5: We hebben een beveiligingsbeleid en technische maatregelen, dus mijn organisatie is beschermd

Een goed beveiligingsbeleid en technische maatregelen zoals firewalls en netwerkbeveiliging zijn belangrijke stappen, maar voor een goede informatiebeveiliging mist het nog een belangrijke factor: de mens. Je medewerkers zijn de ruggengraat van je organisatie. Dit is niet alleen zo in de dagelijkse gang van zaken, maar ook met betrekking tot informatiebeveiliging. Train je medewerkers daarom regelmatig en houd ze alert.

Informatiebeveiliging vereist een fijne balans tussen techniek, beleid en menselijk gedrag. Alleen wanneer deze drie elementen intensief met elkaar samenwerken, werk je aan een goede beveiliging van je data en gegevens.

Misverstand 6: Cybercrime is de grootste dreiging op het gebied van informatiebeveiliging

Hoewel cybercrime vaak het nieuws haalt, is slechts 5% van alle datalekken direct gerelateerd aan cybercriminaliteit (Autoriteit Persoonsgegevens). Datalekken kunnen ook ontstaan door menselijke fouten, zoals per ongeluk gepubliceerde persoonsgegevens. Cybercrime is belangrijk, maar andere dreigingen mogen we niet uit het oog verliezen.

Misverstand 7: Meer beveiliging heeft weinig zin - als ze echt willen komen ze toch wel binnen

Helaas bestaat er niet zoiets als 100% beveiligd zijn. Maar door goede beveiligingsmaatregelen te nemen, kun je wel 80% van de risico's afdekken met 20% van de middelen, ook wel bekend als de 80/20-regel Informatiebeveiliging draait om het creëren van een goed fundament die de meeste dreigingen tegenhoudt. Zoals Dennie in de masterclass zegt: ‘Wanneer je van huis gaat, sluit je natuurlijk alle ramen en deuren, ook al weet je dat een inbreker simpelweg een steen door de ruit kan gooien om binnen te komen.’

Misverstand 8: Privacy betreft alleen gevoelige gegevens

Privacy gaat over het beschermen van alle persoonsgegevens, niet alleen de gevoelige. Hoewel sommige gegevens extra bescherming nodig hebben, is het belangrijk dat alle persoonsgegevens op de juiste manier worden verwerkt en beschermd.

Misverstand 9: Het afdwingen van wachtwoordeisen voorkomt risico’s omtrent wachtwoorden

Wachtwoordeisen zijn een goed begin, maar voorkomen niet alle risico's. Zorg ervoor dat je wachtwoordeisen volledig zijn. Wijs op het gebruik van MFA (multi-factor authenticatie) en het vermijden van herhaling in je wachtwoorden. Zelfs met sterke wachtwoorden kunnen geavanceerde phishingaanvallen nog steeds schade aanrichten. Daarom is bewustwording onder medewerkers cruciaal, want zij vormen vaak de laatste verdedigingslinie.

Misverstand 10: Wij hebben de beste anti-phishing oplossing die er is en zijn hiermee niet kwetsbaar voor phishing

Hoe goed je technische oplossingen ook zijn, 100% bescherming bestaat niet. De mens blijft een belangrijke rol spelen in het herkennen van phishing-aanvallen. Zorg dat je medewerkers goed geïnformeerd blijven en geef hen de tools om phishing te herkennen en te rapporteren.

Heb je vragen naar aanleiding van deze masterclass? Neem dan contact met ons op via ons contactformulier.

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Volg ons!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Collega's weerbaar maken tegen informatiebeveiligingsrisico's 05 dec
Van zwakste schakel naar sterkste schakel in informatiebeveiliging: zo maak je je collega’s weerbaar Lees meer
Black Friday kortingen oplichting 27 nov
Te goed om waar te zijn? 7 tips om oplichting rondom Black Friday kortingen te vermijden Lees meer
Security Spotlight: Leveranciers onder de loep – houd grip op je data 14 nov
Security Spotlight: Leveranciers onder de loep – houd grip op je data Lees meer
Bekijk alle blogs