Cyberhygiëne
Deze NIS2 maatregel gaat om cyberveiligheid, dit wordt ook wel gezien als “cyberhygiëne”. Dit houdt in dat je de belangrijkste maatregelen neemt om je organisatie veilig te houden. Het is daarnaast ook heel belangrijk om je medewerkers te trainen, zodat iedereen weet wat deze basisregels zijn en hoe ze die in de praktijk moeten brengen.
Basisprincipes voor cyberhygiëne
Voordat je invulling in de vorm van beleid kan geven aan de basispraktijken op het gebied van cyberhygiëne, is het van belang om het eerst te definiëren.
Bij cyberhygiëne gaat het erom dat een organisatie de volgende vijf basisprincipes in acht neemt:
Training voor medewerkers: bewustwording van Cyberveiligheid
Het is heel belangrijk dat alle medewerkers in je organisatie bewust zijn van cyberveiligheid. Veel problemen op het gebied van cybersecurity ontstaan doordat iemand per ongeluk iets verkeerd doet, zoals op een verkeerde link klikken of een zwak wachtwoord gebruiken.
Neem een medewerker die per ongeluk op een link in een phishing-mail klikt die afkomstig leek van een specifieke leverancier die onderdelen levert als grondstof. In plaats van in te loggen op de website van de leverancier, deelt de medewerker nu zijn inloggegevens met de hackers. Dit kan de deur openen voor hackers die toegang willen tot bijvoorbeeld bedrijfsgevoelige informatie over productiecapaciteit. Met goede training leren medewerkers deze valkuilen te herkennen, zodat dit soort fouten minder vaak voorkomt.
Er zijn verschillende manieren om dit te doen, denk daarbij aan praktische en nuttige trainingen over onderwerpen, zoals:
Je kunt deze thema’s aanpassen aan de specifieke risico’s en regels binnen jouw organisatie.
Basisregels voor Cyberveiligheid
Het is belangrijk dat iedereen op de werkvloer de basisregels van online veiligheid kent en zich eraan houdt. Daarom is het slim om continu aandacht te besteden aan trainingen en bewustwordingsprogramma’s.
Zorg er ook voor dat medewerkers precies weten waar ze naartoe kunnen als ze iets verdachts zien. Dit betekent dat ze moeten weten hoe ze cyberincidenten kunnen melden, wie de juiste contactpersonen zijn, en waar ze meer informatie kunnen vinden over wat ze moeten doen. Bij een bedrijf dat industriële machines via digitale netwerken aanstuurt, is het bijvoorbeeld belangrijk dat medewerkers precies weten bij wie ze aan de bel kunnen trekken als er iets vreemds gebeurt met de machinegegevens.
Voor medewerkers bij een bedrijf dat veel met internationale klanten communiceert via e-mail, moet gezorgd worden dat medewerkers direct weten hoe ze een verdachte e-mail of phishing-poging moeten melden. Als een medewerker bijvoorbeeld een e-mail ontvangt die lijkt te komen van een vaste klant, maar om ongebruikelijke betalingsgegevens vraagt, moet hij of zij snel kunnen schakelen met de IT-afdeling om dit te onderzoeken. Dit helpt om de gevolgen – denk aan datalekken of het verwijderen van data door hackers – zoveel mogelijk te beperken.