Cybersecurity: een kwestie van gezond verstand en discipline

Als je het over cybersecurity hebt, zijn begrippen als malware, phishing, ransomware en hacks doorgaans het eerste waar je aan denkt. Op zich logisch, want daarover lees en hoor je ook het meest. Veel minder aandacht gaat uit naar andere, minstens zo belangrijke zaken die ook nauw samenhangen met cybersecurity. VVP sprak met Jeroen Smit, Chief Technology Officer bij de Nationale Hypotheekbond, over de vele alledaagse risico’s en wat we zelf kunnen doen aan beveiliging van data. Vaak heel simpel, maar het vraagt het wel om discipline.

Smit: “Om met de deur in huis te vallen, het gaat bij cybersecurity globaal over de volgende zaken: beveiliging, wachtwoorden, updates, back-ups, systeemkeuze, providerkeuze, databeveiliging en welke impact het heeft als data op straat komen te liggen of geblokkeerd worden door kwaadwillende cybercriminelen.”

Wat Smit wil zeggen, dit zijn zaken waar je zelf veel aan kunt doen. Daarbij komen nog zaken als falende apparatuur, of gedrag van collega’s dat de organisatie schaadt. “Denk aan de medewerker die het klantenbestand per ongeluk wist, terwijl er geen back-up van is, of de bekende USB-stick die in de trein blijft liggen. Ook daar is het nodige tegen te doen, mits je goede afspraken maakt en je je er vervolgens ook aan houdt. Zonder discipline is er schijnveiligheid.”

Een simpel voorbeeld toont aan hoe snel het verkeerd kan gaan. Veel ondernemers maken regelmatig een back-up, maar als deze back-up vervolgens in een kluis op kantoor wordt bewaard loop je nog steeds het risico dat bij brand alle data verloren gaan. Of de backup die in de auto ligt en wordt gestolen, dat levert mogelijk een groot datalek op. “Allemaal zaken waar je grondig over moet nadenken en vervolgens consequent moet uitvoeren. Ik zou er sowieso voor kiezen om alle data realtime in de cloud te bewaren. Dan heb je daar geen omkijken naar. Het gekke is dat iedereen dat wel weet, maar niet iedereen dat ook doet.” En dat terwijl volgens Smit de grote clouddiensten zeer betaalbaar en ongelofelijk veilig zijn, zeker als je er een kiest die onder EU-regelgeving valt.

Voordeur consequent op slot

Hoewel veel van de risico’s van binnenuit komen, wil Smit de risico’s van buiten zeker niet bagatelliseren: “Die zijn er zeker en op bepaalde gebieden zijn de aanvallen geautomatiseerd. Je hoort regelmatig van ondernemers dat ze zijn getroffen door ransomware of phishing mails. Dat zijn geen gerichte aanvallen zoals waar grote ondernemingen mee te maken kunnen krijgen, maar veelal programma’s die op het web zoeken naar lekken in jouw beveiliging. Zie het als iemand die even kijkt of je voordeur op slot zit, en dan naar de vol gende deur gaat. Consequent de voordeur op slot doen is de oplossing. Veel ellende is dus al eenvoudig te voorkomen als je je beveiliging maar op orde brengt en ook houdt.”

‘Zonder discipline is er schijnveiligheid’

Dan de risico’s van binnenuit, welke onderscheid je? Smit: “De ISO-standaard met betrekking tot beveiliging kent drie aandachtsgebieden: beschikbaarheid, integriteit en vertrouwelijkheid. De eerste, beschikbaarheid, gaat over de vraag: kan ik bij mijn data komen, heb ik nog toegang? Denk aan uitval van systemen, brand of ook ransomware. De tweede, integriteit, gaat over de vraag hoe je voorkomt dat de data niet corrupt raken, of ten onrechte worden aangepast. Dat heeft te maken met de software, maar ook met de rechten die je collega’s toekent om de data te benaderen of te bewerken. En dan rest vertrouwelijkheid, zijn mijn data veilig en liggen ze niet op straat? Wie is bevoegd ze in te zien?

Dat risico zit een klein hoekje, bijvoorbeeld een gerichte mailing aan klanten over de aanpak van hypotheken die onder water staan die wordt verzonden via de cc en niet via de bcc. Dat mag niet gebeuren, je geeft niet alleen prijs wie je klanten zijn, maar lekt ook informatie over de financiële situatie van deze klanten. Daar kun je een hoop gedoe mee krijgen!”

Fysiek gescheiden

De drie hoofdgroepen zijn duidelijk, beschikbaarheid, integriteit en vertrouwelijkheid. Wat kunnen we volgens Smit doen om ons op deze vlakken te beveiligen? “Qua beschikbaarheid: zorg dat je goede back-ups hebt, het liefst op fysiek gescheiden locaties, zodat je altijd bij je data kunt. Bijvoorbeeld via een standaard cloudoplossing. Dan is het vaak veel beter geregeld dan je het zelf zou kunnen organiseren.

“Bij integriteit gaat het erom dat je data kloppen en niet ten onrechte vervuild raken door er verkeerde gegevens aan toe te voegen of onterechte mutaties. Beschrijf heel goed wie welke rechten heeft om ze in te zien, te muteren, verplaatsen en welke controles daarop plaatsvinden. De onervaren stagiair kan zomaar twee bestanden verkeerd koppelen. Ook hier zijn recente back-ups van belang voor als het toch misgaat. Dan zijn de juiste gegevens terug te zetten.

“Ook op het gebied van vertrouwelijkheid is er veel zelf te doen. Gebruik voor alle systemen en programma’s verschillende wachtwoorden, laat de wachtwoorden niet rondslingeren, schrijf ze niet allemaal in een notitieboekje dat in je lade ligt, plak ze niet op de computer. Dat is hetzelfde als een touwtje uit je voordeur.

Ook kun je instellen dat je meerdere malen per dag moet inloggen of dat je computer automatisch blokkeert als je een bepaalde tijd niet actief bent. Beveilig USB-sticks en laptops goed met wachtwoorden. Je kunt ook per medewerker de toegangsrechten tot systemen vastleggen. Allemaal zaken om te zorgen dat je data vertrouwelijk blijven. Zorg er ook voor dat je systemen altijd up-to-date zijn, de besturingssystemen van je computers maar ook van de zakelijke mobiele telefoons, zo ben je verzekerd van de laatste beveiligingen. Dus klik die update waarschuwing niet weg en stel automatisch updaten in waar mogelijk. Maak gebruik van tweestapsverificatie. Het zijn allemaal kleine stappen die samen veel opleveren. Ontwikkel hier goed beleid voor en zorg dat het wordt nageleefd, het draait immers om de discipline dat beleid ook echt uit te voeren, anders is het een papieren tijger. Spreek je collega’s daar ook op aan en leg ze het belang ervan uit. Of haal gewoon eens een grap uit bij een collega die zijn scherm niet vergrendeld heeft, dat blijft vaak beter hangen!”

De ontwikkelingen gaan snel en je kunt bijna onmogelijk alle relevante informatie bijhouden. Het is volgens Smit daarom raadzaam om als organisatie tijd te reserveren om hiermee bezig te zijn. Smit: “De vraag is natuurlijk, wil je als adviseur met je klanten of met je systemen bezig zijn? Ik denk het eerste, maar het laatste is ook van groot belang. Heb je er zelf te weinig tijd of kennis voor kijk dan naar een partij die je kan ontzorgen. Houd iedereen scherp en zorg dat de aandacht niet verslapt. Wees alert en gedisciplineerd. Dat voorkomt veel ellende.”

Reactie toevoegen

Meer over

Serie Actief Klantbeheer, deel 9: kwalijk misverstand Consumentenbond biedt ook kansen

"Welke hulp heb je tussentijds nodig bij hypotheken met een rentevaste periode van 20 jaar?' Met deze retorische vraag stelde de Consumentenbond de waarde van...

Doe mee met het onderzoek Actief Klantbeheer onder adviseurs!

Doet u mee met het onafhankelijk onderzoek naar Actief Klantbeheer onder adviseurs? Het kost u slechts een paar minuten van uw tijd en u bewijst de financiële...

Cyberverzekeraars stellen hogere eisen

(Uit Katern Cyber in VVP 5-2021) Welke trends zijn er bij cyberrisicomanagement en cyberverzekering? VVP vroeg het aan Aon en Klap. “Er zijn verzekeraars...

VVP 5-2021: hoe ontstaat nu écht die killer propositie voor de klant?

Cyberverzekeraars stellen hogere eisen, aldus Aon en Klap in het Katern Cyber in VVP 5-2021. In deze nieuwe VVP ook weer veel aandacht voor actief klantbeheer. Martin...

Serie Actief Klantbeheer, deel 8: waagt u de sprong?

"We willen het allemaal. Loyale klanten. Loyale klanten zijn binnen handbereik als u uw mindset hierop aanpast. Adviseren over een passende financiële oplossing,...

Serie Actief Klantbeheer, deel 7: versla de varkenscyclus!

"Je ziet het op dit moment gebeuren. Er zijn relatief veel nieuw toetredende financieel dienstverleners op de hypothekenmarkt. Oud-werknemers van banken die voor...

Cyberexpert Maria Genova boos op 'brief' van ABN Amro

Cyberexpert Maria Genova vindt dat banken brieven aan klanten toesturen met een verkeerd signaal. Op LinkedIn zegt ze boos te zijn op ING en met name op ABN Amro. "Nu...

Serie Actief Klantbeheer, deel 6: maak er een gezond businessmodel van

“Adviseurs zijn geen filantropische instellingen. Actief klantbeheer kost een adviseur tijd en diezelfde tijd is zo hard nodig om klanten te helpen bij nieuwe...

Eerste opleidingsdag Actief Klantbeheer voor slechts één euro

Naast het brancheonderzoek Actief Klantbeheer dat op 13 oktober 2021 van start is gegaan, zal binnenkort ook de eerste opleiding Actief Klantbeheer in première...

Serie Actief Klantbeheer, deel 5: ga eens tegen je natuur in!

"Mensen zijn lui. En dat is maar goed ook. Anders waren jij en ik er namelijk niet geweest. Op de prehistorische steppen was energiebesparing nodig om op gezette...

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

Een succesvolle innovatie-adoptie beging met 'CEO-sponsorship'

Dennie van den Biggelaar (Onesurance) in VVP 2

Stelling

CFD adviseert terecht om niet te werken met een fijnmazig gemiddelde

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!