Blog

Actueel

IT-ondersteuning: van stille IT’er achter de schermen tot volwaardig business IT-partner

Zeg eens eerlijk, wat heeft u het liefst: een IT-er die als een zwijgzame ‘monteur’ achter de schermen werkt of een volwaardige business IT-partner die actief over uw bedrijfsvoering meedenkt en -praat? Natuurlijk, het zijn twee uitersten. Feit is dat ook in het samenwerken met uw IT-leverancier steeds meer te kiezen is. Weet u wat zoal uw opties zijn op het gebied van IT-ondersteuning? En weet u welk soort samenwerking (waarschijnlijk) het best bij uw bedrijf past? Voorafgaand aan vrijwel elk gesprek over dit onderwerp met klanten vraag ik wie intern verantwoordelijk is over het IT-beleid. Is dat primair de CTO of toch vooral de IT-manager en zijn team? En worden hun IT-beslissingen ook gedragen door de business? Ik ben niet voor niets vooral benieuwd naar de kernprocessen en mensen. Pas als je die in beeld hebt, is het mogelijk om de best passende IT-oplossing te ontwerpen. IT regisseren IT-ondersteuning is een strategisch vraagstuk geworden, waarbij het voornamelijk draait om risico’s mitigeren en garanties geven omtrent continuïteit, performance en beveiliging. De IT manager en het team worden steeds meer een IT-regieorganisatie die altijd met een scherp oog naar de business kijkt. Ze zijn minder gericht op de uitvoering van operationele taken en zetten zich met name in op tactisch en strategisch vlak. Set it and forget it Als het om externe IT-ondersteuning gaat, maak ik doorgaans onderscheid tussen drie vormen: 1. Managed services. Dit is het klassieke ‘overhevelen’ van IT-processen naar een externe IT-leverancier. Daarbij verzorgt de leverancier bepaalde diensten in een specifieke periode zoals vastgelegd in een contract. Daar wijkt hij niet of nauwelijks van af. Set it and forget it is voor deze vorm een veelgebruikte kreet. Managed services zijn nu nog de populairste vorm van IT-ondersteuning. Reden is dat ‘blind’ uitbesteden het minst complex is. De keerzijde is dat leveranciers steeds meer moeite hebben om zich te onderscheiden en de kwaliteit van hun dienstverlening hoog te houden. Bijvoorbeeld in het behalen van certificeringen en het aantrekken en behouden van goed opgeleide, communicatief vaardige IT-experts. 2. Performance optimization services. Hierbij hebben klant en IT-partner een constante dialoog over hun samenwerking en het resultaat daarvan. De partner stemt zijn IT-diensten steeds nauwkeurig af op de veranderende wensen en business eisen van de klant. Die heeft de beschikking over een eigen klantenteam en houdt via KPI’s zicht op en controle over de resultaten. Alleen het behalen van groene KPI’s is in dit model niet voldoende; het gaat om de beleving van de klant. Verder speelt het meedenken over time-to-market van een nieuwe oplossing en de veranderende IT business-voorwaarden mee. De partner weet altijd welke impact een verstoring heeft op het kernproces van de klant. 3. Business model innovation services. Hierbij zet de IT-partner continu nieuwe technologieën in om samen met de klant het businessmodel te verbeteren. Zo is de IT niet alleen ondersteunend van waarde, maar voegt die zelfs op strategisch niveau waarde toe in de volledige keten. De IT-partner is een volwaardig stakeholder en wordt afgerekend op het algehele succes van de klant. Werken met klantenteams De logische vraag – “Welke optie past het best bij mij?” – is niet zomaar beantwoord. Dat hangt onder meer af van snelheid van het leveren van service, investeringsbereidheid, IT-volwassenheid en de mate van verandering in de concurrentiepositie. De keuze voor business model innovation services lijkt vanzelfsprekend de beste, maar vergt wel een absolute ‘match’ tussen u als klant en uw IT-partner, onder meer qua bedrijfscultuur. U moet ook bereid zijn om een lange relatie aan te gaan en uw leverancier moet geloven in uw bedrijfsconcept. Als u mijn advies wilt volgen, kies dan altijd voor een IT-partner die met gespecialiseerde (Nederlands sprekende) klantenteams werkt. Zulke klantenteams spreken de taal van uw sector, hebben alle benodigde IT-kennis in huis en begrijpen uw business. Vertrouw altijd op uw ‘gut feeling’: staat uw leverancier er ook wanneer u echt problemen hebt? Bijvoorbeeld op het moment dat uw klanten en collega’s geen beschikking meer hebben over hun programma? Dat is wel het minste dat u van uw partner mag verwachten. Meer weten over hoe Intermax uw bedrijf kan ondersteunen? Neem contact op met ons! Deze blog werd geschreven door Tjitse Kooistra, Business Development bij Intermax.

Lees meer
De vier belangrijkste gevaren van Shadow IT

Jaren geleden betekende het outsourcen van IT nog dat je de hele IT-afdeling de deur uitdeed, voornamelijk naar grote bedrijven. Megaprojecten van vele - soms wel honderden - miljoenen, waardoor alleen multinationals in de positie waren hun IT te outsourcen. Dit veranderde met de komst van online opslagruimte: het is nu voor iedereen mogelijk om binnen een paar minuten een virtuele server te bestellen bij bijvoorbeeld Amazon. Mede daarom verdween ook de afhankelijkheid van een IT-afdeling en was Shadow IT geboren. Shadow IT staat voor alle IT die niet officieel is goedgekeurd door de organisatie zelf en buiten de IT-afdeling valt. Denk aan laptops die van huis worden meegenomen en aan het netwerk worden gekoppeld, of afdelingen die op eigen initiatief IT-producten en -diensten afnemen. De opkomst van Shadow IT op de werkvloer is een logische ontwikkeling. Sommige systemen en procedures zijn zo omslachtig dat medewerkers de voorkeur geven aan snelle en gebruiksvriendelijke oplossingen via eigen laptops of via de cloud. Toch spreekt het voor zich dat ICT-managers hier geen fan van zijn. De veiligheid komt in gevaar en het levert ook risico’s op. We zetten de belangrijkste gevaren op een rij. 1. Non-compliancy Regels binnen het bedrijf en wet- en regelgeving in het algemeen verbieden in sommige gevallen het hosten van applicaties (en met name persoonsgegevens) buiten Nederland. Als medewerkers op eigen computers of systemen in de cloud werken, verliest u een deel van de controle hierover en weet u dus niet of u aan deze regels voldoet. 2. Geen toezicht op adequate beveiliging Een standaard cloudserver die niet door de IT-afdeling wordt beheerd, krijgt geen of weinig beveiligingsmaatregelen mee en loopt soms tientallen patches achter. Er zijn meerdere gevallen bekend van grote databestanden die zonder adequate beveiliging, (tijdelijk) op Amazon S3 zijn geplaatst en vervolgens zijn vergeten. Een klassiek voorbeeld van een potentieel datalek. 3. Geen grip op de kosten Het bestellen en gebruiken van virtuele servers is gemakkelijk, maar deze uitzetten blijkt lastiger. Ook het voorspellen van de exacte factuur is lastig, onder andere omdat er per databasetransactie wordt afgerekend. Onverwachte extra kosten zorgen soms voor vervelende verrassingen. 4. Onvoorspelbare performance Door verkeerde keuzes of een onzorgvuldig samengestelde architectuur kunnen applicaties en platformen soms niet de verwachte performance en beschikbaarheid leveren. Juist omdat niet elk platform ‘cloud ready’ is, houdt IT graag de controle over wat er wordt aangesloten. Dit betekent echter niet dat u alle Shadow IT dan maar moet verbieden. Er zijn twee dingen waar uw organisatie goed op moet letten. Ten eerste moeten activiteiten buiten de goedgekeurde IT geen vertrouwelijke data omvatten. Wanneer de verwerking van persoonlijke gegevens buiten de goedgekeurde omgeving plaatsvindt, is de kans op datalekken groter, met alle gevolgen van dien. Door data te scheiden en veilig te verwerken, waarborgt u de persoonsgegevens van klanten en is het risico op datalekken kleiner. De tweede belangrijke factor is de training van medewerkers. Door iedereen bewust te maken van de risico’s en mogelijke consequenties van Shadow IT zorgt u voor een gezamenlijke mindset. Leer uw medewerkers dus niet alleen omgaan met reguliere ICT, maar begeleid ze ook in het gebruik van Shadow IT. Hoe cloudsourcing u hierbij kan helpen leest u in onze whitepaper ‘Van managed hosting naar cloudsourcing’. Meer blogs uit onze blogserie over de AVG: Voldoen aan de AVG. Waar moet ik beginnen? Bescherming persoonsgegevens, wie is verantwoordelijk?  Moet ik een Functionaris Gegevensbescherming aanstellen? Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG Hoe zorg ik dat ik een datalek op tijd herken? Meer informatie? Neem contact op met ons!

Lees meer
Uw VIPP subsidieaanvraag is gedaan. Hoe nu verder?

De zorg verandert, en de rol van de patiënt verandert mee. De wens van de patiënt voor meer controle over zijn of haar gegevens groeit. Ook de zorgsector zelf en de overheid ontplooien volop initiatieven om hier in mee te gaan. In deze context is begin 2017 het Versnellingsprogramma Informatie-uitwisseling Patiënt en Professional (VIPP) opgestart. Dit programma helpt ziekenhuizen een digitaliseringsslag te maken, met als doel de zorg nog veiliger, patiëntgerichter en doelmatiger te maken. Deelnemers van het VIPP-programma zetten zich in om patiënten binnen drie jaar versneld digitaal toegang te geven tot hun medische gegevens. Het VIPP-programma maakt gebruik van bestaande landelijke standaarden voor de uitwisseling van gegevens. Daardoor is het nu mogelijk om gegevens makkelijk met zowel de patiënt als met andere zorgverleners te delen. Zo wordt de zorg toekomstbestendig, veiliger en patiëntgerichter. Wat staat er in het VIPP-programma? Het VIPP-programma bestaat uit twee hoofdonderdelen die elk weer zijn onderverdeeld in modules. Die modules vormen de doelstellingen voor de deelnemers. Een auditor moet vaststellen of er inderdaad is voldaan aan deze doelstellingen. Hoofdonderdeel ‘Patiënt en Informatie’ bestaat uit drie modules, die samen de volgende doelen behandelen: De mogelijkheid een download van de medische gegevens van de patiënt aan te bieden. Het beschikbaar maken van een beveiligd patiëntenportaal, waarin de patiënt zijn gegevens kan raadplegen en deze (in een gestructureerd formaat) kan downloaden. Het is ook toegestaan een link naar de Persoonlijke GezondheidsOmgeving (PGO) aan te bieden. Hier kan de zorginstelling dan gestandaardiseerd medische gegevens voor de patiënt uploaden. De patiënt kan deze gegevens desgewenst doorzetten naar een andere zorgverlener. Het doorontwikkelen van tenminste drie van de volgende vijf subdoelstellingen: Het toevoegen van medische eHealth-interventies aan het patiëntenportaal. Implementatie van de Medmij standaard. Het daadwerkelijke gebruik van het patiëntenportaal (of de link naar een PGO). Het beschikbaar maken van een overzicht van de zorgprofessionals die het EPD van de patiënt hebben geraadpleegd. Het beschikbaar maken van een overzicht van op dat moment bekende medicatie, waarin de patiënt tevens een verzoek tot aanpassing/aanvulling kan doen. Hoofdonderdeel ‘Patiënt en Medicatie’ bestaat uit twee modules. Deze modules betreffen de volgende doelstellingen: Het ziekenhuis kan een actueel overzicht van medicatie bieden, als onderdeel van het medicatieproces in klinische en poliklinische setting. Het ziekenhuis kan voorgeschreven medicatie (volgens de geldende standaard) digitaal aanbieden als vooraankondiging en/of elektronisch recept. Ook kan het ziekenhuis een actueel medicatieoverzicht verstrekken. De meeste van deze modules en doelstellingen zijn of worden onderdeel van de EPD’s die in gebruik zijn. Normenkader VIPP-toets Alleen het voltooien van de technische en functionele implementatie van het patiëntportaal is niet voldoende om in aanmerking te komen voor de volledige VIPP-subsidie. Het programma stelt ook eisen aan het gebruik van het patiëntenportaal. In het ‘Handboek VIPP Eindtoets’ zijn daarom resultaatsverplichtingen voor de subsidie vastgelegd. Per module waar subsidie voor is aangevraagd, moet worden vastgesteld of de doelen behaald zijn. De IT-toets moet daarbij worden uitgevoerd door een Register EDP-Auditor [RE]. Twee voorbeelden van normen die te maken hebben met het gebruik van het patiëntenportaal zijn: ‘Minimaal 10% van het aantal patiënten, dat de afgelopen 30 dagen (DBC relevant) contact heeft gehad met het ziekenhuis, heeft in het patiëntenportaal ingelogd.’ ‘Het aantal geraadpleegde overzichten of complete actuele overzichten van medicatie, als onderdeel van het medicatieproces, is minimaal 25% van het aantal poliklinische patiënten dat de afgelopen 30 dagen (DBC relevant) zorgcontact heeft gehad.’ Concreet betekent dit dat zorginstellingen patiënten moeten stimuleren gebruik te maken van het patiëntenportaal. Deze taak zal in het algemeen liggen bij de afdeling marketing & communicatie. Wij merken in de praktijk dat ziekenhuizen hier vaak nog niet mee bezig zijn, terwijl het wel een belangrijk criterium is voor het ontvangen van de subsidie. Intermax adviseert en assisteert bij het samenstellen van een effectief communicatiepakket voor de patiënten om het gebruik van het portaal te optimaliseren. Meer informatie? Neem contact op met ons!

Lees meer
Hoe zorg ik dat ik een datalek op tijd herken?

U heeft alles op orde. De regels binnen de AVG staan genoteerd, u weet wat u moet doen om de persoonsgegevens binnen uw organisatie te beschermen, de valkuilen zijn bekend en een actieplan - inclusief een verdeling van verantwoordelijkheden - ligt klaar als er dan toch een datalek ontstaat. U bent al goed op weg als u deze voorbereidingen heeft getroffen. Maar hoe staat u op tijd paraat? Hoe signaleert en herkent u een datalek, zodat u op tijd een melding kunt maken? Ten eerste is het belangrijk om in beeld te hebben welke persoonsgegevens u allemaal opslaat. Welke kroonjuwelen heeft u onder uw hoede, wie heeft er toegang tot die gegevens en hoelang blijven deze bewaard? Samen met collega’s zijn er van tevoren verschillende scenario’s te bedenken waar het mis kan gaan. Schakel daarom ook met uw IT-partners, zij weten precies welke aanvallen van buitenaf mogelijk zijn, kunnen systemen voor u monitoren en weten vanuit hun ervaring met andere klanten ook waar de pijnpunten binnen een organisatie zitten. Zodra u hier een goed overzicht van hebt, weet u precies waar een datalek kan ontstaan en dus ook waar u alert op moet zijn. Bij organisaties van een redelijk formaat is het echter onvoldoende om alleen alert te zijn. Nóg belangrijker is het dat álle medewerkers die met persoonsgegevens omgaan bewust zijn van de privacygevoeligheid, dat zij volledig geïnformeerd zijn over de nieuwe regelgeving en hier samen met u alert op zijn. Ook is het belangrijk dat u een cultuur creëert waarbij medewerkers zich veilig voelen om een datalek te melden. Het is bekend dat menselijke fouten of slordigheden het merendeel van de datalekken veroorzaken. Uw IT-processen kunnen dan wel spic en span zijn, maar vergeet niet dat een verkeerd geadresseerd mailtje of het achterlaten van een usb stick ook zorgen voor een datalek. Weten uw medewerkers wat te doen bij een datalek? Het opstellen van strakke richtlijnen binnen een organisatie is een belangrijke eerste stap. Bewustwording speelt hierin een centrale rol; zorg ervoor dat medewerkers zich bewust zijn van hun gedrag wanneer ze omgaan met persoonsgegevens. Een niet-versleutelde PC kan onbewust een kwaadwillend persoon toegang verschaffen tot persoonsgegevens. Medewerkers die in de fout gaan moeten ook weten bij wie ze zich kunnen melden. Hoe langer zij wachten met melden, hoe groter de gevolgen voor alle betrokken partijen. Eventueel volgt ook nog een boete als het datalek niet binnen 72 uur gemeld is bij de Autoriteit Persoonsgegevens. Gelukkig zijn er allerlei hulpmiddelen om de bewustwording van medewerkers te vergroten. In Microsoft Exchange vindt u bijvoorbeeld opties die alarm slaan wanneer mensen per ongeluk documenten met woorden als ‘vertrouwelijk’ of ‘intern’ versturen. Moderne firewalls hebben ‘data leakage prevention’, wat het lekken van data tegen gaat. Het is ook aan te raden uw netwerk te (laten) monitoren op afwijkend gedrag. U krijgt dan direct een seintje wanneer er bijvoorbeeld sprake is van een enorme toename van dataverkeer van binnen naar buiten. Verder zijn er diverse (goedkope) tools – waaronder de Canary - die waarschuwen wanneer er een hacker in uw netwerk zit. Denk niet alleen digitaal Tegenwoordig gebeurt bijna alles online. Ook persoonsgegevens worden inmiddels bijna alleen nog maar online verwerkt. Toch zijn er ook zat voorbeelden van papieren datalekken. Denk bijvoorbeeld aan een verkeerd bezorgde brief met gevoelige patiëntinformatie of een map met persoonsgegevens die uit een auto gestolen wordt. Ook hier gaat het om datalekken. Maak goede afspraken met bewerkers Misschien maakt u gebruik van externe partijen die namens u persoonsgegevens verwerken. Die partijen moeten passende beveiligingsmaatregelen treffen en u in het geval van een datalek tijdig informeren. Zorg dus voor duidelijke afspraken met deze partijen, en dat zij bijvoorbeeld weten aan wie zij een eventueel datalek moeten melden. Leeft de AVG al binnen uw organisatie? Heeft u de beveiliging op orde? In onze whitepaper ‘Praktische handreiking voor de AVG’ stippelen we voor u uit hoe u de nieuwe wetgeving met een gerust hart te lijf kunt gaan. Meer blogs uit onze blogserie over de AVG: Voldoen aan de AVG. Waar moet ik beginnen? Bescherming persoonsgegevens, wie is verantwoordelijk?  Moet ik een Functionaris Gegevensbescherming aanstellen? Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG De vier belangrijkste gevaren van Shadow IT

Lees meer
Zo helpt Intermax u te voldoen aan DigiD 2.0

Intermax bezit een DigiD TPM verklaring. Deze verklaring biedt partijen die DigiD inzetten op hun websites de zekerheid dat deze veilig door ons gehost worden. Daarnaast hoeven deze bedrijven niet constant zelf een aparte security scan uit te laten voeren voor het hostinggedeelte van hun website. Hierdoor worden de auditkosten beperkt tot het applicatiedeel. Dat kan tot wel 50% van de totale kosten schelen. Sinds 1 juli 2017 geldt er een nieuw normenkader voor de DigiD audit, DigiD 2.0. In dit artikel vertellen we u meer over deze nieuwe norm, en over hoe Intermax u hierbij kan helpen. Waarom een nieuw DigiD normenkader? Het Ministerie van Binnenlandse Zaken heeft een aantal overwegingen gegeven voor het uitbrengen van de DigiD 2.0 norm: Het Nationaal Cyber Security Centrum (NCSC) heeft nieuwe beveiligingsrichtlijnen voor webapplicaties uitgebracht. Het nieuwe normenkader is aangepast aan deze nieuwe richtlijnen. De initiële opdracht die het Ministerie heeft om het DigiD normenkader gedurende de tijd te verzwaren of uit te breiden. Dit vergroot de effectiviteit en veiligheid van het DigiD stelsel. De wens van het Ministerie om de auditlast van de DigiD assessment te verminderen. Richtlijnen uit de eerste versie van het DigiD normenkader zijn samengevoegd met richtlijnen uit versie 2.0. Bepaalde richtlijnen zijn op deze manier uitgebreid, terwijl er ook een aantal richtlijnen zijn vervallen en toegevoegd. Zo worden nieuwe risico’s afgedekt, en wordt het normenkader effectiever en actueler. Op punten waar het normenkader de afgelopen jaren bewezen effect heeft gehad, wordt de audit bovendien verlicht. De focus van het nieuwe normenkader ligt op de volgende onderwerpen: Logging en monitoring: de beveiliging van zowel informatie als de onderliggende infrastructuur is belangrijk voor de beschikbaarheid van applicaties en voor de vertrouwelijkheid van netwerkverkeer en data. Veilig programmeren: er dient te worden gewaarborgd dat beveiliging goed wordt ingebouwd in applicaties. Dit sluit ook mooi aan bij de ‘security by design’ instructies die we in de AVG terugvinden. Incidentdetectie en –opvolging. Doordat versie 2.0 inhoudelijk niet bijzonder veel afwijkt van versie 1.0, hoeven partijen die binnen versie 1.0 hebben geïnvesteerd in verbeteringen niet bang te zijn dat deze verloren gaan. Er dient slechts een omnummering plaats te vinden. Daarnaast moet het controledossier op bepaalde onderdelen herschikt worden. Hiervoor is een omnummertabel beschikbaar. Welke DigiD versie is verplicht? Wordt de aansluiting na 1 november 2017 geactiveerd, dan moet verplicht worden voldaan aan het nieuwe normenkader. Indien de DigiD aansluiting van uw organisatie is geactiveerd tussen 1 juli en 1 november 2017, kunt u kiezen welk normenkader u wilt hanteren. Intermax helpt u te voldoen aan DigiD 2.0 Om uw organisatie te helpen voldoen aan DigiD 2.0 werkt Intermax met Guardian360: het online security platform dat continu scant op meer dan 80.000 kwetsbaarheden. De ingebouwde compliancy module van Guardian360 geeft direct inzicht in welke onderdelen wel of niet voldoen aan de DigiD 2.0 normen. Zo weet u dus altijd of er technische afwijkingen zijn. Is dit het geval, dan kan er snel actie worden ondernomen om de ontstane issue te verhelpen. Hiermee toont u aan dat u compliant en in control bent. De historie van opgeloste kwetsbaarheden is bovendien uitstekend bewijsmateriaal voor de auditor bij een audit. Guardian360 gaat bovendien verder dan het nieuwe normenkader voorschrijft. U kunt bijvoorbeeld aantoonbaar maken dat u opvolging heeft gegeven aan eerdere incidenten. Tot 1 januari 2018 maakt het Guardian360 platform afwijkingen in zowel het oude als het nieuwe normenkader inzichtelijk. Daarna zijn alleen nog afwijkingen van de nieuwe norm zichtbaar. Historische gegevens zijn dan nog wel op te vragen. Buiten het checken van de security met Guardian360 is het belangrijk een veilig platform af te nemen, dat is voorzien van de juiste hardening en maatregelen tegen nog onbekende dreigingen. Ook dient er volgens de nieuwe norm voldoende logging en alarmering plaats te vinden op afwijkingen. Al deze zaken die horen bij een correcte DigiD 2.0 implementatie, zijn bij Intermax standaard onderdeel van de dienstverlening.  

Lees meer
Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG

Waar moet u zeker op letten bij de bescherming van persoonsgegevens binnen uw organisatie? Per 25 mei 2018 hebben we te maken met de Algemene Verordening Gegevensbescherming (AVG). In deze blog lichten we vier valkuilen toe waar u mee te maken kan krijgen zodra de AVG van kracht wordt. Valkuil 1: Er valt binnen de AVG meer onder persoonsgegevens dan u misschien denkt Onder persoonsgegevens vallen niet alleen gegevens die iemand direct identificeren, maar ook gegevens die gebruikt worden om mensen te individualiseren binnen een groep. Denk hierbij aan een patiëntgroep binnen een ziekenhuis of gegevens die iets zeggen over een device, zoals een IP-adres. Het is dus van belang dat u als bedrijf zicht heeft op alle gegevens die verzameld worden en dat u zich goed laat informeren over welke gegevens allemaal onder persoonsgegevens vallen. Meer hierover kunt u nalezen in onze eerste blog over de AVG. Valkuil 2: Een privacy statement dat alleen u/de organisatie begrijpt Het is inmiddels gebruikelijk om in een privacy statement aan te geven wat u als bedrijf doet met persoonsgegevens. Helaas zijn deze statements uitgegroeid tot lange juridische boeken die moeilijk te begrijpen zijn. Veel mensen slaan het lezen van een privacy statement per definitie over. De AVG schrijft voor dat ‘Informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk moeten zijn. Er moet duidelijke en eenvoudige taal worden gebruikt.’ Als u eens kritisch naar uw eigen privacy statement kijkt, hoe begrijpelijk is die tekst dan? Wat uitkomst kan bieden, en ook de voorkeur heeft van de toezichthouders, is een gelaagd privacy statement. Hierin wordt eerst op hoofdlijnen en dan steeds gedetailleerder uitgelegd hoe een bedrijf omgaat met gegevens. Belangrijk is ook dat het taalgebruik moet aansluiten bij de gemiddelde doelgroep. Afhankelijk van uw doelgroep, kan deze regel dus om een herziening van uw privacy statement vragen. Valkuil 3: Enkel registreren van datalekken met nadelige gevolgen De huidige Wet bescherming persoonsgegevens verplicht bedrijven om een administratie bij te houden van iedere inbreuk die leidt tot een aanzienlijke kans op, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. De AVG breidt de eisen aan deze administratie uit. Per 25 mei 2018 bent u verplicht om alle inbreuken in verband met persoonsgegevens te documenteren en binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. In deze administratie moeten per geval de feiten, de gevolgen en de maatregelen vastgelegd worden. Opmerkelijk is dat er sprake is van ‘alle inbreuken’, dus ook de inbreuken waarvoor geen meldingsplicht geldt. Onder de AVG bent u dus verplicht een veel omvangrijkere administratie bij te houden dan nu het geval is. Ieder incident waarbij iemand “per ongeluk” toegang krijgt tot gegevens moet u strikt genomen registreren. Voor bepaalde bedrijven is een Functionaris Gegevensbescherming dan ook noodzakelijk. Lees meer hierover in onze vorige blog over de AVG. Valkuil 4: Onvoldoende afspraken met uw IT-bedrijf De AVG bepaalt dat er afspraken gemaakt moeten worden over de melding van datalekken. Er staat niets vermeld over de inhoud van deze afspraken of de verantwoordelijkheden. Het is daarom verstandig om duidelijke afspraken met uw IT-bedrijf te maken over de informatie die nodig is om een goede en volledige administratie bij te houden. Op welke manier waarborgt uw IT-bedrijf dat de informatie die u nodig hebt bij een eventuele melding beschikbaar is? Verantwoordelijken kunnen anders met lege handen staan als de toezichthouder aanklopt en inzage vraagt in de (wettelijk verplichte) administratie. Ook belangrijk: kan uw IT-bedrijf aantonen dat u alles hebt gedaan om een lek te voorkomen? Dit laatste punt kan uw kans op een eventuele boete bij een inbreuk verkleinen. Meer blogs uit onze blogserie over de AVG: Voldoen aan de AVG. Waar moet ik beginnen? Bescherming persoonsgegevens, wie is verantwoordelijk?  Moet ik een Functionaris Gegevensbescherming aanstellen? Hoe zorg ik dat ik een datalek op tijd herken? De vier belangrijkste gevaren van Shadow IT Meer weten over de AVG en hoe u zich daar op kunt voorbereiden? Download onze whitepaper ‘Praktische handreiking voor de AVG’.

Lees meer
Moet ik een Functionaris Gegevensbescherming aanstellen?

U heeft de vraag vast al eens voorbij horen komen, of misschien zit u zelf al een tijdje met exact dezelfde vraag. De aanscherping van de Wet Bescherming Persoonsgegevens (Wbp) brengt nogal wat verplichtingen; zo ook het aanstellen van een Functionaris Gegevensbescherming (FG) voor bedrijven die persoonsgegevens verwerken. Maar voor wie geldt deze verplichting nu precies? En wat houdt zo’n aanstelling concreet in? Wij snappen heel goed dat veel organisaties nog geen antwoord hebben op deze vraag. Er zitten namelijk een aantal haken en ogen aan deze regeling, die ervoor zorgen dat de antwoorden op deze vraag per organisatie wezenlijk verschillen. Voor zorginstellingen is het bijvoorbeeld per 1 juli 2017 al verplicht om minimaal één Functionaris Gegevensbescherming aan te stellen. Buiten de zorg is het aanstellen van een FG in de meeste gevallen pas verplicht vanaf 25 mei 2018, de ingangsdatum van de Algemene Verordening Gegevensbescherming (AVG). Maar u leest het al, er staat ‘in de meeste gevallen’. Wat zijn dan precies de richtlijnen? Als organisatie bent u verplicht om schriftelijk de belangrijkste aspecten van de persoonsgegevens die u verwerkt, vast te leggen. Dit geldt niet voor organisaties met minder dan 250 medewerkers, tenzij deze organisaties: Op grote schaal en stelselmatig persoonsgegevens verwerken. De gegevensverwerking een groot risico voor de betrokkenen inhoudt. Wanneer u deze richtlijnen leest, begrijpt u waarschijnlijk al meteen waarom zorginstellingen eigenlijk gisteren al een Functionaris Gegevensbescherming  in dienst moeten hebben. Maar ook overheidsinstanties en bedrijven die het observeren van personen als (hoofd)activiteit hebben, zijn verplicht een FG aan te stellen. Overigens kan het voorkomen dat achteraf blijkt dat het aanstellen van een FG toch niet nodig was voor uw organisatie. Het is dan lastig om afscheid te nemen. Zoek daarom vooraf goed uit of het aanstellen van een FG verplicht is voor uw organisatie. Waar moet een Functionaris Gegevensbescherming aan voldoen? Stel: u bent een zorginstelling en u heeft nog geen Functionaris Gegevensbescherming (FG), of u bent van een andere organisatie en bent gewoon graag op tijd voorbereid voor de toch al snel naderende 25 mei 2018. Houd er dan ook rekening mee dat belangenverstrengeling moet worden voorkomen en de FG binnen uw organisatie niet ook een functie mag hebben waarin hij het doel en de middelen van gegevensverwerking bepaalt. Dat kan bijvoorbeeld voorkomen als de FG een managementpositie vervult, bijvoorbeeld als hoofd financiën, -strategie, -marketing, -IT of –HRM. Daarnaast zijn er nog een aantal eisen waaraan een FG moet voldoen. Ten eerste moet een Functionaris Gegevensbescherming (FG) altijd een natuurlijk persoon zijn. Een ondernemingsraad of commissie komt dus niet in aanmerking. Daarbij komt dat een FG over voldoende kennis van de organisatie en de privacywetgeving moet beschikken en betrouwbaar moet zijn. Dit laatste uit zich onder meer in een geheimhoudingsplicht. Een dag in het leven van een FG Tot dusver de richtlijnen en regels voor het aanstellen van een FG, maar wat kunt u dan precies verwachten als u zo’n FG aanstelt? Kort gezegd controleert de FG dagelijks of de Wet Bescherming Persoonsgegevens op de juiste manier wordt toegepast en nagestreefd binnen uw organisatie. Dat houdt in dat een dag van een FG er ongeveer zo uit zal zien: In de ochtend maakt de FG een inventarisatie van de gemelde gegevensverwerkingen. Deze meldingen verwerkt hij/zij in een overzicht zodat precies in beeld is welke gegevensverwerkingen er hebben plaats gevonden. Voor de lunch behandelt de FG vragen, klachten en opmerkingen van mensen binnen en buiten de organisatie. Na de lunchpauze scherpt de FG interne processen en procedures verder aan zodat de gegevensverwerking nog beter wordt. Daarna is er een overleg met een externe partij over de technologie die gebruikt wordt om bescherming van de gegevens te garanderen. Bescherming van deze gegevens is prioriteit nummer één. Vlak voordat de FG naar huis gaat werkt hij/zij de interne gedragscode omtrent gegevensverwerking bij. De Autoriteit Persoonsgegevens verliest na aanstelling van een FG binnen een organisatie geen van zijn bevoegdheden als nationale toezichthouder. Toch is de AP terughoudender bij organisaties met een FG in dienst. Meer weten over de AVG/GDPR? Lees dan ook onze eerdere blogs uit deze serie: Voldoen aan de AVG. Waar moet ik beginnen? Bescherming persoonsgegevens, wie is verantwoordelijk?  Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG Hoe zorg ik dat ik een datalek op tijd herken? De vier belangrijkste gevaren van Shadow IT  

Lees meer
Bescherming persoonsgegevens, wie is verantwoordelijk?

Wie persoonsgegevens behandelt, is verplicht aan de strengere regelgeving te voldoen die de Algemene Verordening Gegevensbescherming (AVG) voorschrijft. In deze tweede blog over de nieuwe wet die volgend jaar ingaat, zoomen we in op de verantwoordelijkheden van verschillende partijen die betrokken zijn bij het verzamelen, opslaan, verwerken en toepassen van persoonsgegevens. Waar begint en waar eindigt uw en onze verantwoordelijkheid? Artikel 4 van de AVG beschrijft twee rollen, die van de controller en van de processor. Wanneer uw bedrijf persoonsgegevens opvraagt of verwerkt, wordt u gezien als de controller, ongeacht of u zelf direct data verzamelt. Een bank verzamelt data van klanten als ze een rekening openen; een supermarkt wanneer die een klantenpas uitreikt in ruil voor klantgegevens. Beide organisaties zijn verantwoordelijk voor de persoonlijke data van deze klanten. Intermax is - wanneer wij data voor u beheren, opslaan, transporteren of verwerken – de processor. De datacentra die wij inzetten om onze servers (waarop uw gegevens staan) in te plaatsen, zijn vaak de sub-processor. U bent als controller volgens de AVG verantwoordelijk voor: 1. Het verzamelen van de gegevens en het toestemming hebben/verkrijgen van de persoon van wie de gegevens zijn. 2. Het zorgen dat deze gegevens alleen voor het doel worden verwerkt waarvoor ze zijn verkregen, en dat ze adequaat worden beveiligd. 3. Het verwijderen van data op verzoek van de persoon van wie de data is. 4. Het aangeven aan Intermax welk niveau van beveiliging vereist is. Uiteraard kunnen we u hierbij adviseren en helpen. Intermax is als processor volgens de AVG verantwoordelijk voor: 1. Het fysiek opslaan van de gegevens en de bewaking ervan, zodat er geen onrechtmatige toegang door derden plaatsvindt. 2. Het zorgen dat ook sub-processoren (bijvoorbeeld een datacentrum) hieraan voldoen. 3. U te informeren als er afwijkingen of privacy-incidenten zijn. 4. Het beoordelen en afhandelen van vorderingen en taps door bevoegde overheidsinstanties (bijvoorbeeld politie, justitie, AIVD, MIVD). Een voorbeeld U bent directeur van een onderwijsinstelling en u heeft een groot bestand met de NAW-gegevens van de ouders. Uw bestand bevat ook informatie over de kinderen en de locatie waar ze naar school gaan. Deze gegevens kunnen via een portaal worden geraadpleegd door een leerplichtambtenaar. Ook gebruikt de onderwijsinstelling deze gegevens om uitnodigingen aan ouders te sturen voor evenementen. Het online portaal wordt afgenomen als een Software-as-a-Service (SaaS) dienst bij een softwareontwikkelaar en dit systeem draait bij Intermax. Voor de juistheid van de gegevens en het verkrijgen van toestemming is de controller verantwoordelijk: degene die de gegevens heeft verzameld en die het online portaal exploiteert, in dit voorbeeld de school. De softwarebouwer van het portaal is als processor verantwoordelijk voor het correct versleutelen van de opgeslagen gegevens. Intermax is als sub-processor verantwoordelijk voor de beveiliging van de servers waar de SaaS omgeving op draait. In de praktijk zal het er op neerkomen dat een hostingbedrijf een groot deel van de beveiliging en de controle hiervan voor haar rekening neemt. Zo wordt er intensief samengewerkt met de SaaS leverancier, die vervolgens de exploitant van het portaal weer op de hoogte stelt hoe deze de software dient te gebruiken. Ook zal de SaaS leverancier tools moeten aanbieden om de controller in de gelegenheid te stellen makkelijk gegevens te kunnen laten verwijderen. Wat gebeurt er nu wanneer zo’n portaal onverhoopt gehackt zou worden, door bijvoorbeeld een programmeerfout? Wanneer alle beveiligingsmaatregelen goed zijn toegepast zal Intermax merken dat er iets niet in de haak is, bijvoorbeeld door de inzet van een Canary (die alarmeert bij ‘ongepast gedrag’). Dankzij 24-uurs bewaking zal Intermax direct contact opnemen met de SaaS leverancier en de eigenaar van de data om de afwijking te melden. Vervolgens is de controller aan de beurt om eventueel een datalek te melden, waarbij hij ondersteund wordt door logfiles en digitaal forensisch bewijs van Intermax. Meer blogs uit onze blogserie over de AVG: Voldoen aan de AVG. Waar moet ik beginnen? Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG Hoe zorg ik dat ik een datalek op tijd herken? De vier belangrijkste gevaren van Shadow IT

Lees meer
Vieren!

Vorige week werden we 3e op de lijst van Best Workplaces van Nederland, een lijst die wordt samengesteld op basis van onafhankelijk empirisch onderzoek van Great Place to Work® Nederland (GPTW). Naast het bemachtigen van de derde plek ontvingen we ook een Special Award, voor het onderdeel Vieren. Met name op deze Special Award zijn we ontzettend trots. Het uitbouwen van onze sterke bedrijfscultuur en de persoonlijke ontwikkeling van onze medewerkers zijn voor ons eigenlijk het belangrijkste als bedrijf. Om te peilen hoe we hierin slagen, vragen we GPTW al 5 jaar daar onderzoek naar te doen. Klein excuus om iets te vieren Hoe we dat concreet doen? We hebben bij Intermax maar een klein excuus nodig om iets te vieren. Dat vinden we belangrijk, en daarom investeren we hier fors in. Dat gaat verder dan bedrijfsfeestjes, borrels of champagne wanneer we een opdracht krijgen of een ingewikkeld project opleveren. Ook het privéleven van onze medewerkers verdient bij ons bijzondere aandacht. Zo wordt het thuisfront zoveel mogelijk betrokken bij de zaken die we organiseren. Partners zijn altijd welkom bij onze events en we organiseren ieder jaar een familiedag met activiteiten voor het hele gezin. Mooie momenten vieren we het liefst met een persoonlijk cadeau. Krijgt een collega een kind, dan maakt de moeder van een andere collega bijvoorbeeld een prachtig stoeltje met daarop het ontwerp van het geboortekaartje. En natuurlijk gaan we ook met een forse afvaardiging ‘kindje kijken’! Vieren gaat bij ons ook om waardering, en het mooie is dat je dat op allerlei manieren kunt tonen. Toen we gingen verhuizen, hebben we onze medewerkers op allerlei manieren en op diverse momenten om input gevraagd. We organiseerden een workshop ‘Hoe wil jij dat jouw nieuwe werkplek eruit ziet?’, lieten collega’s een moodboard maken en namen collega’s mee bij het shoppen voor kunst in het nieuwe kantoor. Het is immers hún werkplek, dus voorop staat dat zij het naar hun zin krijgen en zo goed mogelijk hun werk kunnen doen. Eigen initiatief waarderen we ook enorm. Laatst kwam er een collega die een Virtual Reality avond wilde organiseren. Dat faciliteren we graag. We stellen het kantoor beschikbaar en zorgen voor spullen, eten en drinken. Mens achter het CV centraal Externe erkenning voor de energie en middelen die we in onze mensen steken, is mooi. Maar uiteindelijk doen we het voor onze collega’s. Ons doel is ervoor te zorgen dat zij het beste uit zichzelf kunnen halen. De mens achter het CV staat hier centraal. Vaardigheden kun je leren. Wij vinden het belangrijker dat een nieuwe collega bijvoorbeeld onze nieuwsgierigheid deelt. Iemand moet eerst in het team passen. Dat soort zaken zijn niet aan te leren. Die nieuwsgierigheid is wat ons onderscheidt van andere organisaties, net als de menselijke maat van ons bedrijf. We doen zaken met mensen, en we snappen dat die mensen soms andere zaken aan hun hoofd hebben. Collega’s zijn daarom constant op zoek naar nieuwe manieren om onze klanten zo goed mogelijk te helpen. Tegelijkertijd zijn ze zich er terdege van bewust dat wanneer zij hun werk niet goed doen, er ergens een webwinkel platligt, of - in ernstigere vorm – er in een ziekenhuis een bestraling stopt. Tegenover hun talent en die inzet is het ons doel constant een inspirerende omgeving te bieden. Dat doen we door rekening te houden met hun ontwikkeling en groei, en door ervoor te zorgen dat mensen het ‘buitengewoon’ naar hun zin hebben, op hun werk en ook privé. Kortom, het is fantastisch dat GPTW ons - naast nuttige feedback – ook dit jaar weer heeft laten zien dat we op de goede weg zitten. Het zegt iets over het belang dat we allemaal hechten aan Intermax, en hoe we iedere dag samen weer het beste uit onszelf willen halen. Op naar volgend jaar, met hopelijk nog meer mooie gelegenheden om te vieren!

Lees meer
Threat analytics: voorkom weggegooid geld! [blog]

Soms denk ik dat voor securitybudgetten hetzelfde geldt als voor marketing: de helft wordt zinvol besteed, maar je weet nooit welke helft. De securitybudgetten worden besteed aan allerlei dozen, software en diensten die preventieve, curatieve en mitigerende maatregelen bieden. De effectiviteit van die maatregelen blijkt uit de mate van het uitblijven van incidenten en/of de wijze waarop de impact van incidenten wordt beperkt. Deze zaken zijn lastig te meten, er is geen objectiveerbare schadelast zoals bijvoorbeeld na een brand in een huis. Er is bovendien nauwelijks onafhankelijke informatie over incidenten per branche, dus een benchmark met andere organisaties is niet mogelijk. En hoe bepaal je wat de impact zou zijn geweest zonder deze maatregelen? De risk-reward ratio is heel lastig te bepalen. (meer…)

Lees meer
Cyberrisicomanagement: hoe bepaal je eenvoudig welk risico je loopt? [blog]

Om risico’s te managen moet u begrijpen met welke risico’s u te maken heeft. Nu hacks, malware en cryptolockers dagelijks in het nieuws zijn, krijgen bestuurders en managers de indruk dat ze extreem veel risico lopen. Dat is gelukkig niet altijd het geval. Hoeveel risico zij lopen hangt af van de aard van hun organisatie, de aantrekkelijkheid van die organisatie voor kwaadwillenden en van de middelen die partijen kunnen vrijmaken voor hun acties. Het loont daarom goed na te denken over wie uw organisatie schade zou willen berokkenen en welke motivatie deze partij heeft. Een zeer gemotiveerde partij maakt namelijk over het algemeen meer middelen vrij om een hack te plegen. De tabel hieronder kan daarbij helpen. In deze tabel worden diverse partijen beschreven die aanvallen via internet zouden kunnen plegen. Achtereenvolgens wordt beschreven wat het motief van deze partijen is, welk doel(wit) ze vaak hebben en wat de middelen zijn die ze ter beschikking hebben. Vormt uw organisatie een militair doelwit, dan maakt de tabel duidelijk dat landen relatief veel middelen hebben om te spioneren, inlichtingen in te winnen en/of om infrastructuur lam te leggen. Op internet zijn hiervan diverse voorbeelden te vinden, waaronder dit bericht: Israel and US fingered for Stuxnet attack on Iran. Inmiddels blijken ook verschillende landen middelen en expertise aan te wenden om intellectueel eigendom te stelen, zodat zij lokale organisaties concurrentievoordeel kunnen bieden (zie bijvoorbeeld dit bericht: Bronnen bevestigen Chinese ASML-hack). Omdat deze landen relatief veel middelen tot hun beschikking hebben, vergt het van hun doelwitten behoorlijk wat inspanning om zich tegen hun aanvallen te beschermen. Veruit de meeste organisaties hebben te maken met criminele en met malafide organisaties, zoals concurrenten. Afhankelijk van de mate van financieel gewin worden de daders hierbij steeds professioneler, waarbij ook het budget voor een hack navenant toeneemt. Ook mensen die voor grote banken werken of die toegang hebben tot veel intellectueel eigendom/patiëntgegevens/creditcard informatie, vormen interessante doelwitten. Is er sprake van een relatief laag financieel gewin, dan moeten organisaties vooral rekening houden met criminelen (waaronder rancuneuze (ex-)medewerkers) en malafide organisaties. Helaas zijn er geen organisaties die geen risico lopen: zelfs de kleinste organisaties hebben een reële kans om een incident mee te maken. Als manager of bestuurder moet u zich dus afvragen: wie heeft het op mijn organisatie gemunt en welke middelen heeft deze partij beschikbaar? Heeft een potentieel gevaar voor uw organisatie toegang tot veel middelen, dan neemt ook de kans op een incident toe. De mogelijke schade van een eventuele aanval bepaalt vervolgens welke preventieve, curatieve en mitigerende maatregelen uw organisatie moet treffen. Guardian360 heeft veel expertise op dit gebied. Wij zijn gewend om eerst te bepalen wat de kroonjuwelen van een organisatie zijn en welke maatregelen er al getroffen zijn om een incident te voorkomen. Vaak is het beter bewaken van de maatregelen al voldoende om de kans op een incident fors te verlagen. Wilt u daar een keer over doorpraten? Neem dan contact met ons op! ———— Deze blog is geschreven door Jan Martijn Broekhof van Guardian360 en werd ook op www.guardian360.nl gepubliceerd.

Lees meer
Hoe een Kanarie helpt een Trojaans Paard te weerstaan [blog]

Op 21 april van dit jaar publiceerde de AIVD haar jaarverslag. Hierin wordt een heel hoofdstuk gewijd aan ‘Cyberdreiging’. In de inleiding staat het volgende: “De aandacht van de AIVD voor cyberdreiging richt zich vooral op digitale spionage. Deze inbreuk op onze soevereiniteit, die vaak een aantasting vormt van onze politieke en economische belangen, vindt vrijwel altijd vanuit statelijke actoren plaats. Daarmee vormt dit een bedreiging voor de nationale veiligheid en dat maakt het een taak voor de AIVD.” In het rapport is ook het volgende te lezen: “In het afgelopen jaar heeft de AIVD ook diverse digitale aanvallen waargenomen op bedrijven die deel uitmaken van de Nederlandse topsectoren: high tech, chemie, energie, life sciences en health en watervoorziening. Hierbij is vastgesteld dat de aanvallers op zoek waren naar zeer specialistische en soms zelfs experimentele technologie die zijn marktwaarde nog moet bewijzen. Deze technologieën zijn essentieel voor het huidige en toekomstige verdienmodel van de getroffen bedrijven, maar ook en vooral van grote waarde voor een stabiele en groeiende economie die de basis vormt van onze welvaart. De aanvallen op juist deze sectoren tonen aan dat de daders structurele en gedetailleerde aandacht hebben voor innovatie-initiatieven in Nederland en precies weten waar ze moeten zijn. Dit is illustratief voor de structurele digitale spionagedreiging waaraan wij zijn blootgesteld en die de Nederlandse kenniseconomie ondermijnt.” Naïef Het midden- en kleinbedrijf vormt veruit het grootste deel van het Nederlandse bedrijfsleven. Binnen het Nederlandse MKB vindt veel innovatie plaats. Ondernemers en bestuurders zijn zich er weliswaar van bewust dat hun investeringen in innovatie en R&D waardevol zijn, volgens de AIVD zijn zij nog behoorlijk naïef waar het om digitale spionage gaat: “We maken op grote schaal gebruik van de digitale ruimte en worden tegelijkertijd steeds meer daarvan afhankelijk. Dat brengt nieuwe kwetsbaarheden met zich mee. Zowel de overheid en het bedrijfsleven, als de individuen in onze hedendaagse maatschappij zijn zich nog onvoldoende bewust van die digitale kwetsbaarheid, waardoor maatregelen daartegen achterblijven. We zijn digitaal gesproken nog te naïef.” Helaas merk ik deze naïviteit in de gesprekken die ik voer. Ik spreek ondernemers en bestuurders die zich hardop af vragen “Wat valt er bij ons nou te halen?” en “Wie wil mij nou hacken?”. De meldplicht datalekken zorgt ervoor dat bedrijven meer aandacht krijgen voor het onderwerp, maar wat mij betreft om de verkeerde redenen. Het voorkomen van een boete moet niet de reden zijn om met informatiebeveiliging aan de slag te gaan: als bestuurder moet je je zaken op orde hebben, en het beveiligen van je (klant)data moet daar een vast onderdeel van zijn. Tegelijkertijd spreek ik ook ondernemers en bestuurders die zich bewust zijn van de gevaren, maar die tegelijkertijd stellen dat zij niet in staat zijn om buitenlandse spionnen buiten de deur te houden. Landen kunnen teams vrijmaken om continu en gericht spionage te bedrijven, als bedrijf heb je de middelen niet om je daar tegen te verweren. Daarbij komt dat de aanvallen steeds geavanceerder worden: net als Trojaanse Paarden komen ze via vertrouwde websites en bestanden de organisatie binnen. Schade beperken Als je niet helemaal kunt voorkomen dat je gehackt wordt, hoe kun je dan toch de schade beperken? De AIVD constateert dat Nederlandse organisaties hun beveiligingsinspanningen vooral richten op het blokkeren van indringers in hun ICT-netwerken. Dynamische beveiligingsmaatregelen, gericht op het detecteren van activiteiten van indringers die al binnen zijn, krijgen weinig aandacht. Zo kunnen aanvallers na een geslaagde digitale inbraak vaak langere tijd in een netwerk actief zijn zonder opgemerkt te worden. Een aanzienlijk deel van de getroffen Nederlandse organisaties is door dit gebrek aan intern gerichte beveiligingsmaatregelen niet in staat om de duur en impact van digitale aanvallen op hun netwerken vast te stellen. Binnen Guardian360 zetten we een hulpmiddel in om hackers te betrappen: de Canary. Deze virtuele bewegingsmelder signaleert het wanneer een hacker een netwerkscan doet. Er wordt dan direct een melding gedaan naar de contactpersonen bij onze klanten en ons security operations center. Ook wanneer een hacker devices probeert te benaderen, kan de Canary de hacker betrappen. Op deze manier kan een organisatie snel passende maatregelen treffen en het Trojaanse Paard weerstaan. Wilt u meer weten over de Canary en andere pragmatische middelen om de impact van een hack te verlagen? Neem dan contact met ons op.

Lees meer