Cybersecurity: een kwestie van gezond verstand en discipline

Als je het over cybersecurity hebt, zijn begrippen als malware, phishing, ransomware en hacks doorgaans het eerste waar je aan denkt. Op zich logisch, want daarover lees en hoor je ook het meest. Veel minder aandacht gaat uit naar andere, minstens zo belangrijke zaken die ook nauw samenhangen met cybersecurity. VVP sprak met Jeroen Smit, Chief Technology Officer bij de Nationale Hypotheekbond, over de vele alledaagse risico’s en wat we zelf kunnen doen aan beveiliging van data. Vaak heel simpel, maar het vraagt het wel om discipline.

Smit: “Om met de deur in huis te vallen, het gaat bij cybersecurity globaal over de volgende zaken: beveiliging, wachtwoorden, updates, back-ups, systeemkeuze, providerkeuze, databeveiliging en welke impact het heeft als data op straat komen te liggen of geblokkeerd worden door kwaadwillende cybercriminelen.”

Wat Smit wil zeggen, dit zijn zaken waar je zelf veel aan kunt doen. Daarbij komen nog zaken als falende apparatuur, of gedrag van collega’s dat de organisatie schaadt. “Denk aan de medewerker die het klantenbestand per ongeluk wist, terwijl er geen back-up van is, of de bekende USB-stick die in de trein blijft liggen. Ook daar is het nodige tegen te doen, mits je goede afspraken maakt en je je er vervolgens ook aan houdt. Zonder discipline is er schijnveiligheid.”

Een simpel voorbeeld toont aan hoe snel het verkeerd kan gaan. Veel ondernemers maken regelmatig een back-up, maar als deze back-up vervolgens in een kluis op kantoor wordt bewaard loop je nog steeds het risico dat bij brand alle data verloren gaan. Of de backup die in de auto ligt en wordt gestolen, dat levert mogelijk een groot datalek op. “Allemaal zaken waar je grondig over moet nadenken en vervolgens consequent moet uitvoeren. Ik zou er sowieso voor kiezen om alle data realtime in de cloud te bewaren. Dan heb je daar geen omkijken naar. Het gekke is dat iedereen dat wel weet, maar niet iedereen dat ook doet.” En dat terwijl volgens Smit de grote clouddiensten zeer betaalbaar en ongelofelijk veilig zijn, zeker als je er een kiest die onder EU-regelgeving valt.

Voordeur consequent op slot

Hoewel veel van de risico’s van binnenuit komen, wil Smit de risico’s van buiten zeker niet bagatelliseren: “Die zijn er zeker en op bepaalde gebieden zijn de aanvallen geautomatiseerd. Je hoort regelmatig van ondernemers dat ze zijn getroffen door ransomware of phishing mails. Dat zijn geen gerichte aanvallen zoals waar grote ondernemingen mee te maken kunnen krijgen, maar veelal programma’s die op het web zoeken naar lekken in jouw beveiliging. Zie het als iemand die even kijkt of je voordeur op slot zit, en dan naar de vol gende deur gaat. Consequent de voordeur op slot doen is de oplossing. Veel ellende is dus al eenvoudig te voorkomen als je je beveiliging maar op orde brengt en ook houdt.”

‘Zonder discipline is er schijnveiligheid’

Dan de risico’s van binnenuit, welke onderscheid je? Smit: “De ISO-standaard met betrekking tot beveiliging kent drie aandachtsgebieden: beschikbaarheid, integriteit en vertrouwelijkheid. De eerste, beschikbaarheid, gaat over de vraag: kan ik bij mijn data komen, heb ik nog toegang? Denk aan uitval van systemen, brand of ook ransomware. De tweede, integriteit, gaat over de vraag hoe je voorkomt dat de data niet corrupt raken, of ten onrechte worden aangepast. Dat heeft te maken met de software, maar ook met de rechten die je collega’s toekent om de data te benaderen of te bewerken. En dan rest vertrouwelijkheid, zijn mijn data veilig en liggen ze niet op straat? Wie is bevoegd ze in te zien?

Dat risico zit een klein hoekje, bijvoorbeeld een gerichte mailing aan klanten over de aanpak van hypotheken die onder water staan die wordt verzonden via de cc en niet via de bcc. Dat mag niet gebeuren, je geeft niet alleen prijs wie je klanten zijn, maar lekt ook informatie over de financiële situatie van deze klanten. Daar kun je een hoop gedoe mee krijgen!”

Fysiek gescheiden

De drie hoofdgroepen zijn duidelijk, beschikbaarheid, integriteit en vertrouwelijkheid. Wat kunnen we volgens Smit doen om ons op deze vlakken te beveiligen? “Qua beschikbaarheid: zorg dat je goede back-ups hebt, het liefst op fysiek gescheiden locaties, zodat je altijd bij je data kunt. Bijvoorbeeld via een standaard cloudoplossing. Dan is het vaak veel beter geregeld dan je het zelf zou kunnen organiseren.

“Bij integriteit gaat het erom dat je data kloppen en niet ten onrechte vervuild raken door er verkeerde gegevens aan toe te voegen of onterechte mutaties. Beschrijf heel goed wie welke rechten heeft om ze in te zien, te muteren, verplaatsen en welke controles daarop plaatsvinden. De onervaren stagiair kan zomaar twee bestanden verkeerd koppelen. Ook hier zijn recente back-ups van belang voor als het toch misgaat. Dan zijn de juiste gegevens terug te zetten.

“Ook op het gebied van vertrouwelijkheid is er veel zelf te doen. Gebruik voor alle systemen en programma’s verschillende wachtwoorden, laat de wachtwoorden niet rondslingeren, schrijf ze niet allemaal in een notitieboekje dat in je lade ligt, plak ze niet op de computer. Dat is hetzelfde als een touwtje uit je voordeur.

Ook kun je instellen dat je meerdere malen per dag moet inloggen of dat je computer automatisch blokkeert als je een bepaalde tijd niet actief bent. Beveilig USB-sticks en laptops goed met wachtwoorden. Je kunt ook per medewerker de toegangsrechten tot systemen vastleggen. Allemaal zaken om te zorgen dat je data vertrouwelijk blijven. Zorg er ook voor dat je systemen altijd up-to-date zijn, de besturingssystemen van je computers maar ook van de zakelijke mobiele telefoons, zo ben je verzekerd van de laatste beveiligingen. Dus klik die update waarschuwing niet weg en stel automatisch updaten in waar mogelijk. Maak gebruik van tweestapsverificatie. Het zijn allemaal kleine stappen die samen veel opleveren. Ontwikkel hier goed beleid voor en zorg dat het wordt nageleefd, het draait immers om de discipline dat beleid ook echt uit te voeren, anders is het een papieren tijger. Spreek je collega’s daar ook op aan en leg ze het belang ervan uit. Of haal gewoon eens een grap uit bij een collega die zijn scherm niet vergrendeld heeft, dat blijft vaak beter hangen!”

De ontwikkelingen gaan snel en je kunt bijna onmogelijk alle relevante informatie bijhouden. Het is volgens Smit daarom raadzaam om als organisatie tijd te reserveren om hiermee bezig te zijn. Smit: “De vraag is natuurlijk, wil je als adviseur met je klanten of met je systemen bezig zijn? Ik denk het eerste, maar het laatste is ook van groot belang. Heb je er zelf te weinig tijd of kennis voor kijk dan naar een partij die je kan ontzorgen. Houd iedereen scherp en zorg dat de aandacht niet verslapt. Wees alert en gedisciplineerd. Dat voorkomt veel ellende.”

Reactie toevoegen

Meer over

Merendeel adviseurs nog op startniveau actief klantbeheer

(Uit VVP 2-2022) Branche-initiatief Actief Klantbeheer heeft de resultaten gepubliceerd van haar onderzoek naar de staat van actief klantbeheer onder onafhankelijk...

Jeroen Oversteegen: stop ongelijke behandeling ex-partners

"Is scheiden normaal gesproken vaak al geen pretje, de huidige woningmarkt maakt het alleen nog maar lastiger. Vind maar eens betaalbare woning op één...

Jeroen Oversteegen: “Slechte energiescore? Lagere hypotheek”

"Voor woningen met een hoog energieverbruik moet de hypotheek worden beperkt", aldus Jeroen Oversteegen, directeur Nationale Hypotheekbond op Kop-Munt. "Een woning...

Weten wie en wanneer de rente wijzigt! (advertorial Nationale Hypotheekbond)

Om hypotheekadviseurs nog meer inzicht te geven heeft de Nationale Hypotheekbond een tool live gezet waar rentewijzigingen en aankondigen realtime gevolgd kunnen...

"Opmerkelijke stijging aantal rentemutaties"

Volgens de Nationale Hypotheekbond is sprake van een opmerkelijke stijging van het aantal rentemutaties dat wekelijks wordt doorgevoerd. Daarnaast is de gemiddelde...

Webinar doorlopende klantondersteuning

Faster Forward en De Nationale Hypotheekbond verzorgen donderdag 17 februari vanaf 14.00 uur het webinar ‘Invulling geven aan de AFM-principes voor doorlopende...

Jeroen Oversteegen brengt een ode aan de adviseur

"Aan de start van weer een nieuw jaar breek ik graag een lans voor het onafhankelijk intermediair. Energiek en volhardend zetten deze mannen en vrouwen zich in voor...

Onderzoek Nationale Hypotheekbond: ING beste geldverstrekker

ING is door financieel adviseurs uitgeroepen tot de beste Nederlandse geldverstrekker van 2021, zo blijkt uit het jaarlijkse onderzoek van de Nationale Hypotheekbond...

Laatste oproep: doe mee met het onderzoek Actief Klantbeheer

Doet u mee met het onafhankelijk onderzoek naar Actief Klantbeheer onder adviseurs? Het kost u slechts een paar minuten van uw tijd en u bewijst de financiële...

Verbond gaat tanden zetten in klimaat, cyber en letselschade

“We ambiëren nog nadrukkelijker een actieve maatschappelijke voortrekkersrol en zullen onze tanden zetten in de thema’s klimaat, cyberveiligheid...

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

Een succesvolle innovatie-adoptie beging met 'CEO-sponsorship'

Dennie van den Biggelaar (Onesurance) in VVP 2

Stelling

CFD adviseert terecht om niet te werken met een fijnmazig gemiddelde

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!