Nederlands Cyber Collectief CYBER ADVIES

Transcriptie

1 Nederlands Cyber Collectief CYBER

2 VOILA, UW CYBEREXPERT Liesbeth Kempen In dit rapport leest u hoe het gesteld is met de cyberveiligheid van uw bedrijf Van Woudenbergh Adviesgroep. De bevindingen en aanbevelingen in dit rapport zijn gebaseerd op de informatie die ik heb gekregen uit de persoonlijke sessie met de heer A. de Groot op 23 juli Deze informatie is aangevuld met de gegevens uit de it-vragenlijst, ingevuld door de heer J. Vrieskoop van uw it-partner abc-it. Wetgeving Het rapport is opgedeeld in de actuele stand van zaken, onderverdeeld per thema. Ik heb daarbij gekeken naar de veiligheid van processen en gedrag van medewerkers, naar techniek en in hoeverre u voldoet aan de wet- en regelgeving omtrent gegevensbescherming. Vervolgens geef ik per thema aanbevelingen. En tot slot vindt u een uitwerking van hetgeen we besproken hebben. Leest u het rustig door. Ik bel de heer A. de Groot op 6 augustus om het door te nemen. Heeft u in de tussentijd vragen? Aarzelt u niet contact met mij op te nemen. 2

3 CY B E R A DV I E S SCORE U ziet hier de overall score van uw bedrijf per thema. De uitwerkingen en aanbevelingen per thema vindt u op de volgende pagina s. Hier is werk aan de winkel! Uw werknemers zijn op dit moment een groot veiligheidsrisico. SLECHT T EC H N I E K Wetgeving Uw netwerk is niet goed beveiligd. Voor iemand met kwaad in de zin is het makkelijk om bij u in te breken. SLECHT W E TG E V I N G U voldoet nog niet helemaal aan de AVG. Als u een paar extra, relatief eenvoudige maatregelen toepast zit u wél goed. VOOR VERBETERING VATBAAR NOODPROCES Petje af, dit is goed op orde. Er zijn processen gedefinieerd, verantwoordelijken aangewezen en uw medewerkers weten GOED wat te doen in het geval van een hak of datalek. 3

4 ACTIELIJST ACTIELIJST Privacy statement en geheimhoudingsverklaring opstellen A. de Groot werkt aan een privacy statement en geheimhoudingsverklaring voor medewerkers. Daar zou hij nog een internet use policy bij kunnen doen. Dit definieert het toegestane internetgebruik van medewerkers. Stel een passwordmanager in Gebruik een passwordmanager bijvoorbeeld lastpass. Laat iedereen wachtwoorden op basis van de app aanpassen. Wachtwoorden intrekken van oud-medewerkers Het is belangrijk de rechten in te trekken van mensen die uit dienst gaan. In dit geval zou A. de Groot dat kunnen doen. Phishing training geven Ik raad een korte training voor medewerkers aan. 4

5 Bankieren verbeteren Bankier altijd vanaf een apparaat dat beheerd wordt door Lucrasoft. Dan weet u zeker dat de updates gedaan zijn. ACTIELIJST Wachtwoorden vaker aanpassen De wifi wachtwoorden moeten vaker worden aangepast. Zet dit in een agenda. Server afschermen De server is bereikbaar vanaf de klant-wifi. Dit moet worden voorkomen. Toegangscode regelmatig wijzigen De code moet ook af en toe gewijzigd worden, alleen al vanwege slijtage van de knopjes die zichtbaar wordt. WETGEVING Verwerkingsregister maken Gevoelige data wordt opgeslagen, maar niet geregistreerd. Maak ook een verwerkingsregister. 5

6 WETGEVING Verwerkingsovereenkomst opstellen met andere partijen Stel ook verwerkingsovereenkomsten op met andere partijen. U kunt ze ook door hen laten opstellen. ACTIELIJST WETGEVING Plaats verwerkingsovereenkomst op de website U bent verplicht een uitleg aan de klant op de website te zetten van wat er met zijn/haar gegevens gaat gebeuren. 6

7 ALGEMEEN KLANTGEGEVENS ALGEMEEN 20 medewerkers Inclusief oproepkrachten 3 mensen hebben toegang tot financieën Alleen betaling 8 mensen hebben toegang tot klantdata 7

8 ALGEMEEN Waarom wilde u meedoen? Kwam voort uit vraag aan verzekeringsadviseur over cyberverzekering ALGEMEEN ALGEMEEN Heeft u al eens eerder iets aan security gedaan? Het is wel onder de aandacht, maar steeds heel gefragmenteerd. Het is altijd druk en geen core business voor het bedrijf Wat hoopt u uit dit gesprek te halen? Wat is er te beschermen? Overzicht krijgen zodat er steeds een stapje extra gedaan kan worden om alles veiliger te krijgen RISICO'S klantdata, de reputatie van het bedrijf ALGEMEEN Bent u wel eens gehackt? 1 keer last gehad van ransomware Hoeveel zijn er? Met oproepkrachten 20 8

9 Wie heeft toegang tot Wie heeft toegang tot financien? klantdata? 3 mensen mogen betalingingen doen 8 mensen kunnen bij de klantdata Weten mensen hoe ze met data moeten omgaan Doen jullie aan onderzoek naar iemands verleden De mensen die omgaan met de klantgegevens zijn gewend om nooit gegevens aan derden te verstrekken, ook niet zo maar aan de politie, sinds G. Letterboer met de AVG is bezig geweest wordt er ook minder vastgelegd per klant G. Letterboer is al bezig met een privacy statement en geheimhoudingsverklaring voor medewerkers bezig, daar zou hij nog een internet use policy bij kunnen doen, dus duidelijk maken wat je wel en niet mag doen op internet binnen het bedrijf voordat hij /zij in dienst komt? Wat doen jullie als mensen uit dienst gaan? facebook, kijken op google, linked in, vaak viavia wel altijd een gesprekje, geen echte procedure. Mensen werken er vaak lang en blijven af en toe langskomen bij het bedrijf 9

10 Weet iedereen hoe met Wie bepaalt er wie er toegang wachtwoorden om wordt gegaan? krijgt en wordt toegang weer ingetrokken? Nee, dit is een aandachtspunt. Er is een app die door het bedrijf en veel concurrenten wordt gebruikt dat naam en geboortedatum als wachtwoord heeft. Niemand SLECHT Gebruik een passwordmanager bijvoorbeeld lastpass. Laat iedereen het wachtwoord aanpassen van de app Laat A. de Groot of G. Letterboer de rechten intrekken van mensen die uit dienst gaan Wat doen jullie aan spookfacturen? Weet iedereen wat phishing is? De mensen zijn heel bewust en klikken niet zo makkelijk. Ze zien niet zo veel in training omdat dat wellicht duur is en veel tijd kost. Medewerker hebben er vaak mee te maken en raadplegen G. Letterboer als ze vermoeden dat er iets mis is Voor nieuwe mensen misschien een korte training doen? Of kaartjes met informatie op de bureau's zetten 10

11 Hoe is IT geregeld? leverancier Lucrasoft doet wifi routers en devices. Camera's en alarmen gaan via Robe beveiling. Website bouwer doet ook mailaccounts Waar staan de klantgegevens? In de cloud en op een eigen server Hoe wordt er gebankierd? Zijn er backups? Worden die getest? Door slechts drie mensen via internetbankieren Ja, wordt regelmatig getest, jullie krijgen melding als er een test gedaan is Hoe worden klantgegevens Doe voor de zekerheid het bankieren vanaf een apparaat dat beheerd wordt door Lucrasoft. Dan weet je zeker dat de updates gedaan zijn. uitgewisseld? Via een app Is er een vast netwerk/wifi, wie kan erop? Er is een klantwifi een bedrijfs wifi en een vast netwerk 11

12 Waar wordt wifi wachtwoord Hoeveel apparaten zijn er? bewaard? Welke? binnenkant van de kast die op slot kan SLECHT Bring your own device en wat beheerde werkplekken door Lucrasoft Wie doet de website? De wifi wachtwoorden moeten vaker worden aangepast, zet dit in een agenda Website leverancier Wie doet de updates? Bring your own device en wat beheerde werkplekken door Lucrasoft Lucrasoft krijgt een IT vragenlijst om in te vullen De website leverancier krijgt een vragenlijst om in te vullen 12

13 WETGEVING Slaan jullie privacy gevoelige data op? Is er een register? Mee bezig, er zijn verwerksovereenkomsten met een aantal partijen WETGEVING AVG algemeen G. Letterboer is aan de hand van de leidraad van de BOVAG bezig om het bedrijf AVG proof te krijgen. Er wordt hierdoor bijvoorbeeld minder klantdata opgeslagen. GOED Maak ook een verwerkingsregister Ga hier vooral zo mee door! WETGEVING Geven jullie gegevens door aan andere partijen? WETGEVING Is er speciale data zoals geloof/ biometrische gegevens/etc Verwerkingsregister? Er zijn inmiddels 3 verwerkingsovereenkomsten opgesteld Nee Stel ook verwerkingsovereenkomsten op met andere partijen (of laat hen ze opstellen) 13

14 WETGEVING Wordt klanten om prive gegevens gevraagd op de website? NOODPROCEDURE Wat doe je bij een datalek? iedereen moet Gerben aanspreken, Gerben meldt naar AP Mee bezig, er zijn verwerksovereenkomsten met een aantal partijen Een uitleg aan de klant op de website wat er met zijn/ haar gegevens gaat gebeuren moet nog gemaakt worden en op de website gezet NOODPROCEDURE Wat doen jullie als je denkt gehackt te zijn? Lucrasoft bellen 14