Hoe maak je beleid op de veiligheid van data?

De voorbeelden van falende scholen en andere organisaties op het gebied van cybersecurity worden in de media breed uitgelicht. Het laat zien dat de maatschappij het belangrijk vindt om data op een veilige manier af te schermen. Om die reden is er volgens de AVG ook een meldplicht als er iets misgaat.  Maar hoe maak je beleid op de veiligheid van data?

Tegenwoordig werken we steeds meer online en nemen we in toenemende mate online services af. Parallel daaraan neemt cybercriminaliteit hand over hand toe. Scholen zijn dan ook verplicht beleid te maken op het gebied van cybersecurity. Zo moet je als organisatie aan kunnen tonen dat je maatregelen neemt om je data te beveiligen en hoe je omgaat met bedreigingen.

Als het bijvoorbeeld gaat om het uitvallen van online services, wil je weten hoe ernstig het is om een uur of een dag uit de lucht te zijn. Met andere woorden het is een afweging. Wat is het risico? Wat zijn de gevolgen als het risico zich voordoet? En wat kost het om het risico te voorkomen? Voor de kruidenier om de hoek is het wellicht minder ernstig dan voor een school in examentijd. De kruidenier zal dan ook minder bereid zijn om hoge kosten te maken als z’n mailserver er een paar uur uitligt.

Voor een deel bestaat het opstellen van een veiligheidsbeleid uit het verstrekken van eenvoudige richtlijnen. Als basisprincipes hanteren wij de volgende vijf richtlijnen:

1. Inventariseer de kwetsbaarheden van je IT-omgeving (welke risico loop je?)
2. Maak instellingen voor automatische back-ups
3. Installeer beveiligingsupdates zodra ze beschikbaar zijn
4. Beperk de toegang tot data door volgens rollen in te loggen
5. Zorg er door training voor dat medewerkers malware herkennen

Wij kunnen uiteraard helpen bij het implementeren van technische oplossingen. Wij helpen echter ook graag bij het opstellen van het veiligheidsbeleid. Want uiteindelijk begint veiligheid met het opstellen van beleid!

Dennis Dirks