Inventariseer welke technische maatregelen je hebt getroffen om ervoor te zorgen dat verwerkte en geproduceerde data goed beveiligd is en blijft. Je kunt dan denken aan installeren van antivirussoftware, instellen van firewalls, encryptie van e-mails, direct installeren van updates, regelmatig wachtwoorden veranderen etc. Het Digital Trust Center heeft een checklist opgesteld met maatregelen die elke organisatie zou moeten treffen om cyberaanvallen tegen te gaan.  

Wat zegt de AFM hierover?

• De AFM moedigt aan om internationale technologiestandaarden (zoals ISO27001 , COBIT, CPMI-IOSCO en NIST) te gebruiken om informatiebeveiliging in te bedden in het ontwerp van de IT-architectuur en systemen.
• Ook wijst de toezichthouder erop dat het belangrijk is om je ervan bewust te zijn dat het gebruik van nieuwe en/of verouderde technologie risico’s met zich meebrengt en dat je maatregelen hebt getroffen om deze risico’s te beperken.

Aan de slag

• Digital Trust Center heeft een Risicoklassenindeling voor digitale veiligheid ontwikkeld waarmee je binnen enkele minuten een inschatting krijgt van hoe groot het risico op een cyberincident binnen jouw onderneming is. Op basis van de uitkomst krijg je advies welke beveiligingsmaatregelen passend zijn voor jouw risicoprofiel. Zo kun je bepalen welke maatregelen er genomen moeten worden om je digitale veiligheid op orde te krijgen.
• Digital Trust Center heeft een uitgebreid portaal met meer informatie over deze maatregelen en diverse praktische hulpmiddelen.

Zeer bepalend voor een goede beheersing van informatiebeveiligingsrisico’s is de menselijke factor. Wees je daar goed bewust van en tref maatregelen om de kans te verkleinen dat zich een informatiebeveiligingsincident voordoet als gevolg van (onbewust of onverantwoord) menselijk handelen. Daarom is het belangrijk dat je een cultuur creëert en ondersteunt waarin medewerkers:

• zich bewust zijn van het risico op informatiebeveiligingsincidenten,
• hun rol hierin kennen, en
• hierover open communiceren.

Wat zegt de AFM hierover?

• Draag het belang van informatiebeveiliging uit en maakt medewerkers bewust van de bestaande dreigingen.
• Richt processen zo in dat mensen effectief kunnen bijdragen aan adequate informatiebeveiliging, bijvoorbeeld door bewustwordingsprogramma’s en trainingen.
• Zorg ervoor dat meldingen over incidenten door medewerkers naar behoren worden behandeld.

Aan de slag

• Het Digital Trust Center heeft een lijst samengesteld met concrete zaken die je kunt bespreken met je medewerkers.

Bedrijfsprocessen moeten zo zijn ingericht dat de beschikbaarheid, integriteit en vertrouwelijkheid van systemen in geval van een informatiebeveiligingsincident gewaarborgd blijft.

Wat zegt de AFM hierover?

• De AFM moedigt aan om internationale geaccepteerde raamwerken (zoals MITRE ATT&CK) voor informatiebeveiliging te gebruiken.
• Implementeer processen om informatiebeveiligingsrisico’s te identificeren en in lijn te brengen met het informatiebeveiligingsbeleid.
• Implementeer processen om dreigingen te monitoren, incidenten te detecteren en hierop adequaat te reageren.

Aan de slag

• Het Digital Trust Center deelt informatie over cyberdreigingen met het bedrijfsleven. Je kunt je gratis op die services abonneren.
• In ons kennisportaal Privacy vind je een modelprocedure en -register voor Datalekken.

Je bedrijfsprocessen, technische maatregelen en aandacht voor de menselijke factor kan nog zo goed geregeld zijn, als de fysieke beveiliging van gebouwen en apparatuur niet op orde is, loop je nog steeds grote risico’s. Dat betekent dat je de beveiliging ervan moet afstemmen op de realistische dreigingen en dat de combinatie en zwaarte van de maatregelen zijn afgestemd op de hoogte van de risico’s en de mate waarin die beheerst moeten worden.

Wat zegt de AFM hierover?

• Bepaal op basis van een analyse van de risico’s van externe factoren (zoals de kans op natuurrampen), menselijke factoren (zoals ongeautoriseerde toegang) en crisissituaties (als gevolg van bijvoorbeeld de uitval van elektriciteit)welke fysieke maatregelen getroffen moeten worden ter bescherming van faciliteiten en apparatuur.

Aan de slag

• Het Instituut van Internal Auditors heeft een handreiking Fysieke beveiliging opgesteld waarmee je de doelmatigheid en doeltreffendheid van de fysieke beveiliging kan toetsen.