Niet gecategoriseerd Archieven

data-currentpage="">

Voor bijna alles heb je tegenwoordig een login nodig. Of het is voor het online kopen van kleding, het boeken van een reis of je bankgegevens te checken. Wachtwoorden houd je geheim en je wilt zeker niet dat deze in de verkeerde handen terecht komen. Maar hoe goed beveiligd ben jij? Op 2 mei is het World Password Day. Deze dag staat wereldwijd in het teken van de bewustwording in het omgaan met wachtwoorden.

w@cHtW0OrD!
Ruim een derde van de Nederlanders gebruikt dezelfde wachtwoorden voor verschillende logins. Handig voor jezelf om te onthouden natuurlijk. Maar niet zo slim wanneer men bij jouw gegevens komt. Denk aan een datalek bij een organisatie waar jouw gegevens bekend zijn. De hackers kunnen met deze gegevens ook verder induiken op jouw persoonlijke gegevens. Met deze gegevens kunnen ze zo ook bij andere bedrijven inbreken onder jouw naam. En dit wil je natuurlijk voorkomen! Stel je voor, ze komen achter het wachtwoord die je ook gebruikt voor de bank of andere betaalgegevens.

Strong, Stronger, Strongest
Tijd om een veilig en sterk wachtwoord te kiezen. Veelal geven websites al vereisten waar jouw wachtwoord aan moet voldoen om uberhaupt een login te kunnen maken. Maar hebben zij dit niet, dan is het goed om hier zelf mee aan de slag te gaan. Wanneer je een nieuw wachtwoord aanmaakt, gebruik dan:

Grote en kleine letters
Cijfers
Vreemde tekens, zoals !@#$%^&*()_+<>?
Lang wachtwoord (minstens 12 tekens)
Bedenk een wachtzin: Ik ben geboren op vrijdag 31 juli 1936!. Ibgov31j1936!

Daarbij is nog een tip: gebruik niet de naam van jouw lievelingshuisdier en geboortejaar. Dit kan alsnog iets te makkelijk geraden worden.

Door het bos de bomen niet meer zien
Natuurlijk, door de vele verschillende logins zul je ook meer moeten onthouden. Het opschrijven op een papiertje is echter niet het meest handige om te doen. De browser wilt je helpen met het opslaan in de browser, maar weiger deze te allen tijde. Mocht iemand toegang hebben tot jouw device, denk bijvoorbeeld aan jouw laptop, dan hebben ze meteen ook toegang tot alle logingegevens. Allemaal omdat je dit hebt opgeslagen in je browser. De oplossing voor de vele wachtwoorden is een wachtwoord manager. Door dit systeem zijn al jouw wachtwoorden beveiligd en dankzij een ander wachtwoord heb je toegang tot dit systeem. Dat betekent inderdaad dat je minstens 1 wachtwoord toch moet onthouden. Het scheelt je een aantal keer resetten, wachtwoorden vergeten of onveilig opslaan. En een wachtwoord manager gebruikt altijd een sterk wachtwoord.

Beveiliging tot de MAX!
Naast sterke wachtwoorden heb je nog een extra middel die je kunt invoeren voor extra beveiliging: Multi Factor Authentication. Ook wel MFA of 2FA genoemd. Wanneer je wilt inloggen, zul je nog een extra actie moeten uitvoeren. Denk hierbij aan toestemming te geven via een MFA app of een verificatie code invoeren die je hebt ontvangen via de mail of telefoon. Mochten jouw inlogggevens of devices in de verkeerde handen terecht komen, dan hebben ze dankzij MFA niet direct toegang tot jouw gegevens. Daarmee kun je toch gerust adem halen wanneer je hoort over een datalek of wanneer jouw laptop gestolen is.

Het begint allemaal bij bewustwording en eigen stappen ondernemen. Dus, hoe staat het bij jou ervoor? Alles in orde of toch tijd om hier en daar een wachtwoord te veranderen?

Cyberweerbaarheid, awareness, informatiebeveilingsbewustzijn, cyberhygiene, resilience…. Zo maar een paar kreten die we tegenwoordig dagelijks meermaals in alle media tegenkomen, zowel in vak- als dagbladen, als het gaat om veiligheid & beveiliging van bedrijfsinformatie.

Ongeacht waar je als organisatie mee aan de slag gaat of bent, of je al gecertificeerd bent, of hard aan het werk om gecertificeerd te worden. Naar NIS2, ISO27001, NEN7510, BIO, CIS2 of een van de vele andere normen en frameworks.

Of als je simpelweg bezig bent om je business, klanten en medewerkers beter te beschermen….niet voor een papiertje, maar omdat je je risico’s wilt beheersen!

In alle deze situaties is herhaaldelijk aandacht vragen en houden voor veilig werken een must.

Dat kan op vele manieren, middels trainingen, hei-sessies, awareness sessies, training portals, cursussen maar ook door het aanstellen of inhuren van een Security Office(r), die al deze zaken en nog veel meer voor je organisatie regelt.

Wat je plan ook is, je kunt nu al heel snel een (eerste) actie ondernemen. Stuur ondervermelde CyberFit flyer rond in je organisatie. Een mooi voorbeeld van een goed overzicht aan eenvoudig te nemen maatregelen en gedragsvoorschriften. Het bevat een aantal elementaire tips die helpen om je medewerkers alert te houden op wat we vaak çyberhygiene noemen. Wil je daarna verder aan de slag en zoek je hulp? Neem contact met ons op. Maar verstuur eerst die flyer. Dat is sneller dan je eigen flyer maken.
Dus stel die mail met PDF op, klik op Send en stap 1 richting cyberfitheid is gezet.
Niet alle begin is moeilijk 😉

Met dank aan Z-cert, de makers van deze PDF.

PS: Vergeet niet over een aantal weken deze PDF nogmaals te sturen. En/of print ‘m uit of druk ‘m af op posterformaat uit en hang ‘m in de pantry, kantine, receptie, bij de flipperkast en TVT (tafelvoetbaltafel..) of waar dan ook. Herhaling is key…

Vragen over CyberFit, schroom niet om contact met ons op te nemen!

URl naar de CyberFit Brochure op de Z-cert site:

https://z-cert.nl/wp-content/uploads/2021/01/Z-CERT_CyberFitWeb-1.pdf

Het Belang van een Security Meldpunt: Uw Bedrijf Beschermen

In een wereld waarin cyberdreigingen en beveiligingsincidenten aan de orde van de dag zijn, is het van cruciaal belang voor bedrijven om proactieve maatregelen te nemen om hun digitale activa te beschermen. Een van de waardevolle diensten die hierbij kunnen helpen, is een security meldpunt. In deze blogpost gaan we dieper in op wat een security meldpunt is en waarom het essentieel is voor uw bedrijf.

Wat is een Security Meldpunt?

Een commercieel security meldpunt is een dienst die bedrijven helpt bij het monitoren, detecteren en reageren op beveiligingsincidenten. Het fungeert als een centraal aanspreekpunt voor het melden van verdachte activiteiten en het coördineren van reacties op cyberdreigingen. Deze meldpunten zijn meestal bemand door experts op het gebied van cybersecurity en beschikken over geavanceerde tools en technologieën om bedreigingen te identificeren en te beperken.

Voordelen van een Security Meldpunt

Snelle respons: Een security meldpunt kan onmiddellijk reageren op beveiligingsincidenten, waardoor schade wordt beperkt en herstelprocedures snel in werking worden gesteld.
Continue Monitoring: Deze dienst biedt 24/7 monitoring, zodat zelfs de meest subtiele bedreigingen worden opgemerkt, ongeacht het tijdstip.
Expertise: Meldpunten hebben toegang tot hoogopgeleide cybersecurity-experts die bedrijven kunnen helpen bij het begrijpen en aanpakken van complexe dreigingen.
Kostenbesparing: Het inhuren van een security meldpunt kan kostenbesparend zijn in vergelijking met het opzetten van een intern beveiligingsteam.
Compliance: Voor bedrijven die aan specifieke regelgeving moeten voldoen, kan een meldpunt helpen om aan de vereisten te voldoen en audits succesvol te doorstaan.

Het Juiste Meldpunt Kiezen

Bij het kiezen van een security meldpunt is het belangrijk om te kijken naar de specifieke behoeften en grootte van uw bedrijf. Niet elk meldpunt is hetzelfde, dus zorg ervoor dat u er een selecteert die past bij uw branche, budget en beveiligingsdoelstellingen.

In conclusie, in een tijdperk waarin digitale beveiliging een topprioriteit is voor bedrijven, is een security meldpunt een waardevolle partner om uw activa te beschermen. Het biedt niet alleen gemoedsrust, maar helpt ook om potentiële beveiligingsrisico's effectief te beheren. Overweeg vandaag nog de voordelen van een security meldpunt voor uw bedrijf en investeer in de bescherming van uw digitale toekomst.

Voor meer informatie over het inhuren van ons security meldpunt voor uw bedrijf, neem gerust contact met ons op. Uw beveiliging is onze prioriteit.

Ofwel, gaat NIS2 ook voor mijn organisatie gelden?

“NIS wat..?” Goed, eerst even wat achtergrond dan 😉

NIS1

NIS1 is een Europese richtlijn voor cybersecurity die in 2016 is aangenomen en in 2018 in Nederlandse wet- en regelgeving is omgezet. Doel van NIS1 was o.a. om de cyberweerbaarheid van de EU naar een hoger niveau te brengen. De reikwijdte van NIS1 beperkte zich tot 6 aangewezen categorieën van zogenaamde essentiële en vitale aanbieders. Denk hierbij aan aanbieders van nutsvoorzieningen, het bankwezen, lucht- en zeehavens, maar ook internetknooppunten en aanbieders van domeinregisters. Overigens heeft Nederland opvallend genoeg de sector gezondheidszorg niet opgenomen, terwijl deze wel in de Europese richtlijn stond. Vanwege de beperkte reikwijdte is de NIS1 richtlijn relatief onbekend gebleven bij het grote publiek.

NIS2

De opvolger van NIS1 - de nu al bekendere NIS2, u heeft vast al enkele berichten zien langskomen over dit onderwerp - is in januari dit jaar in werking getreden en moet door de EU-lidstaten uiterlijk op 17 oktober 2024 in nationale wet- en regelgeving zijn omgezet.

De meest in het oog springende verandering van versie 1 naar 2 is de sterk uitgebreide reikwijdte van de nieuwe richtlijn. Veel meer sectoren en daarmee veel meer organisaties zullen toekomstig aan deze richtlijn moeten voldoen. Daarnaast zullen partijen die zich in de toeleveringsketen van deze organisaties bevinden, waarschijnlijk ook (deels) aan deze richtlijn moeten voldoen. Vooral dat laatste zorgt ervoor dat veel organisaties met deze richtlijn te maken zullen krijgen en dus stappen moet gaan zetten op het gebied van cybersecurity. Actueel is het nog niet exact duidelijk welke organisaties wel en welke niet NIS2-plichtig zullen zijn. Consultatie voor de Nederlandse implementatie gaat in het 1^e kwartaal van 2024 van start.

Wel zijn de 18 sectoren bekend die als essentieel of belangrijk aangemerkt zullen worden. Tevens is duidelijk dat daarna de omvang van de organisatie bepalend zal zijn voor het wel of niet plichtig zijn, op basis van criteria zoals hoogte van de omzet resp. balanstotaal en/of aantal FTE.

To NIS or not to NIS

Een eerste inschatting of uw organisatie NIS2-plichtig zal zijn - “to NIS or not to NIS” - is te verkrijgen door het invullen van de zogenoemde Zelfevaluatie NIS2 op de site van de Rijksdienst Digitale Infrastructuur (RDI), zie tevens de link onderaan deze blog.

De NIS2 richtlijn gaat naast reikwijdte ook inhoudelijk veel verder dan NIS1 en omvat onder andere een strengere en gedetailleerdere beveiligingsplicht, een meldplicht en strenger toezicht en handhaving. In een volgende blog zullen wij aandacht besteden aan de inhoud van NIS2, vooral aan de beveiligingsplicht, wat organisaties moeten en kunnen doen en tevens hoe deze zich verhouden tot normen als ISO27001 en de BIO.

Hoewel NIS2 dus flink stringenter is dan NIS1 biedt het meer concrete handvaten en maatregelen dan NIS1, wat organisaties meer houvast geeft over wat te doen. En wat uiteindelijk zal leiden tot een betere cyberweerbaarheid! Wij staan klaar om u te ondersteunen, neem contact met ons op!

Links en bronnen:
Informatie over de Zelfevaluatie NIS2
Rijksoverheid informatie over NIS2
In deze blog is informatie opgenomen uit het artikel Cybersecurity in Europa

In december 2022 is de Nederlandse versie van de nieuwste ISO27001 norm gepubliceerd; versie 2022. Heeft uw organisatie reeds een ISO27001 certificaat, lees dan zeker verder!

ISO27001

De nieuwe versie, voluit “ISO/IEC 27001:2022_nl” geheten, vervangt versie 2013 (en de praktisch identieke versie uit 2017).
Het werd hoog tijd voor een nieuwe versie van de norm. ISO normen worden gemiddeld elke 5 jaar geactualiseerd middels een nieuwe versie. Voor 27001 heeft dit echter dus bijna 10 jaar geduurd, een eeuwigheid in het huidige digitale tijdperk. Sprekend voorbeeld is het gebruik van de term “Telewerken” in de 2013 versie, een term die nu associaties oproept met het geluid van krakende modems die een trage verbinding naar een terminal server opzetten, iets uit vorige decennia….

De belangrijkste wijzigingen in de nieuwe versie:

Overgang van High Level Structuur (HLS) naar Harmonized Structure (HS).
Elke nieuwe ISO norm dient vanaf 2021 opgebouwd te zijn middels deze HS, een doorontwikkeling van de HLS. Dus ook 27001 in deze nieuwe versie.

Hiermee wordt consistenter gebruik gemaakt van duidelijkere definities en termen, krijgen de belangen van stakeholders een grotere rol, is het verandermanagement gelijk gemaakt aan die in andere ISO normen en is de format eis voor gedocumenteerde informatie komen te vervallen.

Verder is er meer aandacht voor procesmatig werken en het procesmatig beheersen van ‘extern geleverde producten en diensten’ wordt belangrijker.

Nieuwe indeling van beheersmaatregelen in Annex A.

Annex A van 27001 verwijst naar de beheersmaatregelen in ISO27002. Hiervan is eerder in 2022 een nieuwe versie uitgekomen, met een nieuwe indeling naar organisatorische, mensgerichte, fysiek en technologische maatregelen. Dit zal voor de meeste organisaties betekenen dat zij de verwijzingen - die op diverse plekken in hun ISMS kunnen staan - moeten wijzigen. Denk bijvoorbeeld aan de risicoanalyse, eventueel het risicobehandelplan en de VvT.

Verandering van beheersmaatregelen.
Diverse bestaande maatregelen zijn geclusterd, 11 nieuwe maatregelen zijn geïntroduceerd en enkele zijn vervallen. In totaal zijn er nu 93 beheersmaatregelen, tegen voorheen 114.

Introductie van attributen.

Deze optioneel te gebruiken attributen kunnen groepering en selectie van maatregelen vergemakkelijken. Zo kunnen maatregelen o.a. getypeerd worden middels het label correctief of preventief en kunnen de IB-elementen B-I-V als label gebruikt worden om aan te geven op welke aspecten een maatregel invloed heeft.

Bij de tijd

Al met al is de ISO27001 norm met deze nieuwe versie weer ‘bij de tijd’. De nieuwe indeling maakt de norm leesbaarder en begrijpelijker. Tegelijkertijd zorgt deze nieuwe versie voor noodzakelijke wijzingen in uw ISMS. Zo zult u onder andere uw risicoanalyse en VvT moeten herzien en aanpassen, 11 nieuwe maatregelen dienen te beoordelen en zo nodig implementeren en – last but not least – gecertificeerd dienen te worden voor deze nieuwe norm. Een zogenaamde transitie-audit kan separaat uitgevoerd worden indien gewenst, logischer en efficiënter is het echter om dit te combineren met de eerstvolgende hercertificeringsaudit. Uiterlijk op 1 november 2025 dienen organisaties overgestapt te zijn op de nieuwe norm, dus plan deze overgang tijdig!

Pas in 2024 zullen er naar verwachting nieuwe versies verschijnen van op ISO27001 gebaseerde normen, zoals NEN7510 en de BIO. Er zal dus een periode ontstaan waarin de beheersmaatregelen niet meer 1 op 1 met elkaar overeenkomen en waardoor er gewerkt moet worden met verschillende Verklaringen van Toepassing en eventueel met tabellen kruisverwijzingen of mappings tussen de twee dan verschillende managementsystemen.

Wilt u meer weten over de nieuwe norm? En hoe hiermee om te gaan in combinatie met NEN7510 en/of de BIO?

MySecurityOffice informeert en adviseert u graag. Middels een GAP-analyse brengen wij in kaart wat de te nemen stappen zijn en maken wij samen met u een implementatieplan. Neem nu vrijblijvend contact met ons op.