De CFO is al lang niet meer de strenge boekhouder die overal nee op zegt. Ook ICT valt steeds vaker onder de verantwoordelijkheid van de financieel directeur.
CFO’s krijgen een breder takenpakket en denken actief mee over de strategie van het bedrijf. Daarbij is ICT vaak een onmisbare schakel, omdat de rol van technologie de laatste jaren is toegenomen. Denk aan de opkomst van big data, cloud computing, sociale media en de smartphone.
Maar de technologisering in het bedrijfsleven heeft ook een keerzijde. Doordat gegevens digitaal zijn opgeslagen en steeds meer apparaten met het internet zijn verbonden is het risico toegenomen dat bedrijfsinformatie lekt. En dat kan een flinke schadepost opleveren.
Niet alleen omdat de concurrent mogelijk gevoelige informatie in handen krijgt, ook omdat als er sprake is van een ‘ernstig’ datalek en dat niet gemeld wordt bij de overheid de Autoriteit Persoonsgegevens boetes tot 820 duizend euro uit kan delen.
Reden genoeg om het ICT-beleid op orde te hebben. Daarom: vijf cyberrisico’s die elke CFO moet kennen.
1) Smartphones op de werkvloer
Vroeger had je op het werk betere computers en telefoons dan thuis. Gadgets waren duur, en alleen een bedrijf kon zich de aanschaf veroorloven. Maar tegenwoordig is dat dikwijls omgekeerd. Smartphones, tablets en schootcomputers zijn inmiddels dermate goedkoop, gebruiksvriendelijk en populair dat iedereen ze in huis heeft.
Steeds meer mensen nemen die consumentenproducten ook mee naar hun werk. Omdat de eigen iPhone nu eenmaal prettiger werkt dan de verouderde BlackBerry die je van je baas hebt gekregen. Deze trends zijn bekend onder de termen consumerisation of IT en bring your own device (BYOD).
Zakelijk gebruik van privé-gadgets levert tevredener werknemers op. En een directe kostenbesparing, omdat de werkgever minder uit hoeft te geven aan apparaten. Maar vooral de smartphones en tablets vormen een beveiligingsrisico. Werknemers koppelen hun mobiel achteloos aan het bedrijfsnetwerk, maar de gegevens die ze downloaden op het apparaat zijn vervolgens nauwelijks beveiligd. En als een telefoon gestolen wordt, kan dat problemen opleveren.
Bedrijven worstelen met de vraag hoe ze dit mobiele beveiligingsprobleem aan moeten pakken. Privé-apparaten verbieden op het werk is een drastische oplossing die werkt, maar daarmee jaag je werknemers weg. Verplicht een complex wachtwoord instellen is een andere optie, maar dat wil de werknemer niet.
Gelukkig zijn er steeds meer software-oplossingen die het BYOD-probleem aanpakken. Denk hierbij aan software die werknemers via een beveiligde app op hun smartphone toegang geeft tot bedrijfsgegevens. De data blijft online, op de server van de werkgever, staan en wordt niet gedownload op het eigen apparaat. Zo worden zakelijke en persoonlijke gegevens niet vermengd.
Met deze zogenoemde container-apps, die beveiligd zijn met bijvoorbeeld een pincode, krijgen virussen moeilijker toegang tot het systeem. En als spraakherkenning en een vingerafdrukscanner straks gemeengoed zijn in smartphones, wordt het inloggen nog weer een stukje veiliger.
2) Slechte wachtwoorden
Mensen zijn doorgaans niet zo creatief met het bedenken van wachtwoorden. Dat blijkt keer op keer uit de jaarlijkse lijst van populairste wachtwoorden die is samengesteld door Splashdata op basis van gelekte persoonsgegevens. De top vijf van vorig jaar bestaat uit ‘123456’, ‘password’, ‘12345’, ‘12345678’ en ‘qwerty’.
Veel mensen gebruiken bovendien hetzelfde wachtwoord voor verschillende diensten. Dat is gevaarlijk: er hoeft maar één website zijn beveiliging niet goed op orde te hebben en het wachtwoord dat je voor alle internetdiensten gebruikt, ligt op straat.
Door verschillende wachtwoorden te gebruiken wordt dit sneeuwbaleffect voorkomen. Maar dat brengt weer een ander probleem met zich mee. Hoe onthoud je alle wachtwoorden voor websites, forums, e-mailaccounts en bankrekeningen? Schrijf je ze op in een boekje, maak je een bestand aan op je computer of zet je een lijst ergens online?
Een oplossing daarvoor is een persoonlijke kluis voor wachtwoorden zoals LastPass. Andere opties zijn 1Password of het open-source programma KeePass. Hierbij hoef je nog maar één wachtwoord je onthouden: een hoofdwachtwoord. Alle persoonlijke gegevens worden versleuteld opgeslagen zodat hackers de informatie niet kunnen lezen.
Lastpass heeft zelf een wachtwoordengenerator, waarmee het voor jou moeilijk te kraken wachtwoorden kan bedenken voor bijvoorbeeld je Twitter-, Facebook– of e-mailaccount. Via een browserplug-in worden de wachtwoorden uit de kluis gehaald en ingevuld wanneer je ze nodig hebt.
Rest er nog één vraag: hoe verzin je een sterk hoofdwachtwoord? Zie daarvoor dit artikel: Zo maak je een veilig wachtwoord. In combinatie met tweestapsverificatie (zie punt 6) maak je het hackers zo bijzonder moeilijk.
3) Gegevens in de cloud
Gegevens opslaan in de cloud is reuzehandig: met alleen een internetverbinding heb je overal ter wereld toegang tot bedrijfsinformatie. Nederlanders zijn fervente gebruikers van online opslagdiensten als Dropbox, Google, Drive iCloud en OneDrive, blijkt uit cijfers van het Centraal Bureau voor de Statistiek.
Maar hoe veilig zijn je gegevens in de cloud? Om het risico op gegevensdiefstal te beperken zijn een aantal maatregelen aan te raden. Bedenk ten eerste welke data je online op wilt slaan en welke informatie beter niet op servers van een ander bedrijf kan staan. Houd scherp in de gaten waar jouw bedrijfsgegevens zich bevinden en wie toegang heeft tot die informatie.
Als je hebt geïnventariseerd wat in de cloud mag, upload de bestanden dan niet meteen. Het is beter om ze eerst te beveiligen, zodat een indringer ze niet simpelweg kan openen en lezen. Dat kan door de bestanden te versleutelen: daarmee maak je van een Excel-bestand of pdf een onbegrijpelijke reeks getallen en letters, die alleen jij kunt ontcijferen met de juiste sleutel. AES-encryptie is hiervoor een wereldwijde standaard, die wordt gebruikt voor het beveiligen van internetbankieren, draadloze netwerken en bestanden op harde schijven.
Zorg dat de geheime sleutels in jouw beheer zijn. Zo houd je controle over wie toegang heeft tot bedrijfsgegevens, zelfs als ze op de server van een externe clouddienst staan.
4) Verouderde software
Steeds meer apparaten in een bedrijf zijn verbonden met het internet. Niet alleen de desktops en laptops van het personeel, maar bijvoorbeeld ook routers, servers en printers. Dat betekent dat het aantal zwakke plekken in de beveiliging toeneemt. Hackers zullen niet zo snel proberen om via de voordeur binnen te komen, maar eerder op zoek gaan naar achterdeurtjes in bijvoorbeeld printersoftware.
Zorg daarom dat de software op alle apparaten is bijgewerkt tot de laatste versie. En maak duidelijke afspraken over wat er gebeurt met verouderde apparatuur. Het laatste wat je wilt is dat iemand inbreekt op jouw netwerk via een oude server die zonder dat jij het wist nog in de kelder stond te draaien.
5) Werknemers met wrok
ICT-beveiliging is met name voor het midden- en kleinbedrijf geen speerpunt. ‘Wij zijn niet interessant genoeg om te hacken’, is vaak de mentaliteit. Daarbij vergeten bedrijven dat één van de grootste bedreigingen voor cybersecurity niet de begaafde tiener is die vanuit zijn slaapkamer voor de lol inbreekt in computersystemen. De zwakste plek zit intern: ontevreden werknemers.
Misschien is het de afdelingschef die een promotie door de neus is geboord, of de systeembeheerder die ondanks aandringen geen loonverhoging krijgt. Ze kunnen hun onvrede uiten door systemen te saboteren of gevoelige informatie naar buiten te brengen. Een groot risico is ook de ontslagen werknemer die uit wrok het complete klantenbestand meeneemt naar zijn volgende baan.
Zorg er daarom te allen tijde voor dat je goed zicht hebt op wie toegang heeft tot welke informatie binnen je bedrijf. Vertrekt er iemand? Sluit dan zijn account, zodat hij of zij niet weken na dato nog in kan loggen op het intranet of de werkmail.
Ontsla je iemand die toegang heeft tot vertrouwelijke informatie en vermoed je dat diegene kwaad in de zin heeft? Laat de werknemer dan niet meer terugkeren naar de werkplek, maar vang hem of haar op de dag van ontslag buiten kantoor op. Dat is hard, maar soms noodzakelijk.
Dit is het tweede artikel in een reeks van De Maand van de financial. De Maand van de financial wordt mogelijk gemaakt door Inspireert Beter Ondernemen. Dit platform vol tips en artikelen is een initiatief van AFAS Software.
Dit artikel is oorspronkelijk verschenen op z24.nl
