Risico’s van bedrijfsdata bij derdenRisico’s van bedrijfsdata bij derdenRisico’s van bedrijfsdata bij derdenRisico’s van bedrijfsdata bij derden
MENUMENU
  • Diensten
    • ICT beheer en support
      • Managed services
      • Werkplekbeheer
      • Datavernietiging
      • Bewustwording
      • Overzicht op onderhoud
    • Cloud
      • On-premise en cloud
      • Microsoft 365
      • Cloud back-up
      • Zakelijke telefonie
      • Disaster recovery
    • Security en advies
      • Netwerkscan
      • IT-beleid (vCIO)
      • Security services (vCISO)
      • ISO 27001
      • AVG/GDPR
      • Cyber security plan
  • Vacatures
    • Werken bij HCA Groep
  • Actueel
    • Blog
      • Het laatste nieuws
    • Nieuwsbrief
      • Nieuwsbrief thuiswerken
  • Over ons
    • Over ons
      • De HCA familie
      • 4Dealers
    • Afspraak maken
      • Maak een afspraak met ons!
    • MVO
      • Maatschappelijk Verantwoord Ondernemen
    • Contact
MENUMENU
  • Diensten
    • ICT beheer en support
      • Managed services
      • Werkplekbeheer
      • Datavernietiging
      • Bewustwording
      • Overzicht op onderhoud
    • Cloud
      • On-premise en cloud
      • Microsoft 365
      • Cloud back-up
      • Zakelijke telefonie
      • Disaster recovery
    • Security en advies
      • Netwerkscan
      • IT-beleid (vCIO)
      • Security services (vCISO)
      • ISO 27001
      • AVG/GDPR
      • Cyber security plan
  • Vacatures
    • Werken bij HCA Groep
  • Actueel
    • Blog
      • Het laatste nieuws
    • Nieuwsbrief
      • Nieuwsbrief thuiswerken
  • Over ons
    • Over ons
      • De HCA familie
      • 4Dealers
    • Afspraak maken
      • Maak een afspraak met ons!
    • MVO
      • Maatschappelijk Verantwoord Ondernemen
    • Contact
✕
Mobile Device Management MDM
Mobile Device Management
24/09/2020
Gigantisch datalek bij GGD
29/01/2021

Risico’s van bedrijfsdata bij derden

26/11/2020

Is je bedrijfsdata in beheer bij derden? Dan loop je mogelijk deze risico’s

Waar denk jij aan als je aan de cyberbeveiliging van je bedrijfsdata denkt? Aan de gegevens in de Cloud? Of de data op de server? Die twee zijn belangrijk. Maar data-beveiliging gaat verder. Tegenwoordig hebben veel organisaties hun gegevens ook in beheer bij derden. Denk aan administratieve gegevens als salarisgegevens of aan medische gegevens. Maar ook bedrijfsgevoelige data als omzet, productspecificaties of (fysieke) beveiligingsinformatie. Met deze bedrijfsdata in beheer bij derden loop je mogelijk verschillende risico’s.

Vaak wordt er – onterecht – vanuit gegaan dat de ‘zwakke plek’ van de beveiliging bij de organisatie zelf ligt en dat derden de beveiliging wel op orde zullen hebben. Maar niets is minder waar. Het risico van de derde partij is vaak een blinde vlek, die in kaart moet worden gebracht én waar de medewerkers zich bewust van moeten zijn.

Stof tot nadenken

Wereldwijde cijfers laten zien dat de risico’s van bedrijfsdata bij derden steeds groter zijn geworden, met grotere gevolgen. Inmiddels heeft meer dan 50% van de bedrijven een datalek door derden ervaren met lichte of zware consequenties. Heb je tot nu toe nog niet nagedacht over hoe de cyberbeveiliging bij leveranciers, serviceproviders of in de toeleveringsketen je bedrijfsvoering kan beïnvloeden? Dan geven we je met de volgende cijfers wat stof tot nadenken.

  • 80% van de bedrijven wereldwijd heeft in de afgelopen 12 maanden te maken gehad met een datalek door derden.
  • 92% van de Amerikaanse organisaties heeft in de afgelopen 12 maanden te maken gehad met een inbreuk, als gevolg van een zwakte in hun toeleveringsketen.
  • 69% van de bedrijven heeft geen zicht op de cyberbeveiligingspraktijken van hun leveranciers.
  • Meer dan 60% van de informatie die tegenwoordig op het Dark Web beschikbaar is, kan bedrijven schaden.

Om te illustreren hoe makkelijk het mis kan gaan wanneer je data in beheer hebt bij derden, hebben we een aantal sprekende voorbeelden voor je.

Voorbeeld 1: kantoorartikelen bestellen

Een administratief medewerker bestelt kantoorartikelen bij een leverancier via een online-account. Ze gebruikt hetzelfde wachtwoord voor dit account, als voor haar Microsoft (Office) 365-account. Vervolgens heeft de kantoorartikelenleverancier een datalek, is haar wachtwoord onderschept én ligt dus ook haar Microsoft-wachtwoord op straat.

“Laat de verantwoordelijkheid van het wachtwoordbeleid niet bij de medewerkers liggen en neem zelf het initiatief met een one-time-login oplossing.”

Voorbeeld 2: salarisadministratie

De salarisadministratie gebruikt cloudgebaseerde software via een boekhoudbedrijf, om wekelijks de salarisadministratie te kunnen uitvoeren. Deze dienstverlener bezit alle financiële informatie, gevoelige informatie over het personeel en veel persoonlijk identificeerbare informatie over werknemers. Heeft deze boekhoudkundige dienstverlener een datalek? Dan komt gevoelige financiële of privacygevoelige informatie op straat te liggen. Ook kan een concurrent een hacker inschakelen, om actief informatie naar boven te halen die interessant is voor de concurrentie of een overname.

Voorbeeld 3: productcomponenten inkopen

Je koopt al jaren verschillende componenten van je product – die je zelf niet kunt produceren – in bij een vertrouwde partner. Hij heeft alle technische gegevens en specificaties van jouw product in huis. Ontstaat bij hem een datalek? Bijvoorbeeld door een hack of doordat een medewerker ongeoorloofd toegang heeft tot een systeem en met de gegevens aan de haal gaat? Dan kan dit ernstige gevolgen hebben.

“Data Loss Prevention (DLP) -software houdt alle bewegingen van files op het netwerk in de gaten en geeft achteraf een rapportage wie een bestand heeft geopend of gekopieerd”

Voorbeeld 4: Automatisering uitbesteden aan een ICT-dienstverlener

Je besteedt de automatisering uit aan een ICT-dienstverlener. Die dienstverlener gebruikt software waardoor alle servers en clients gemanaged kunnen worden. Oftewel: de dienstverlener beschikt letterlijk over álle digitale toegangssleutels van het netwerk, alle wachtwoorden en login-gegevens. Wanneer de ICT-dienstverlener gehackt wordt, hebben cybercriminelen dus de volledige toegang tot jouw bedrijfsnetwerk en alle gegevens.

Niet voor niets zijn ICT-bedrijven tegenwoordig een geliefd doelwit voor cybercriminelen. Heeft jouw ICT-dienstverlener cybersecurity niet als absolute nummer één binnen de bedrijfsvoering staan, bekijk dan kritisch of deze partner geen te groot bedrijfsrisico vormt.

Wat kun je zelf doen?

Meestal kun je de gegevens bij derden niet beschermen. Wat je wel kunt doen, is de risico’s van je bedrijfsdata bij derden in kaart brengen. Daarbij kun je door middel van een analyse evalueren of dit aanvaardbare risico’s zijn, of dat er aanvullende maatregelen nodig zijn bij de derde partij. Volg daarvoor deze praktische stappen:

  • Breng in kaart welke leveranciers data van je bedrijf bezitten.
  • Classificeer de data en maak voor elke partner inzichtelijk om wat voor data het gaat.
  • Koppel per partner een belang aan de data, net als een risiconiveau wanneer hier iets mee zou gebeuren.
  • Ga voor alle items die een hoog belang of risico hebben na hoe deze data momenteel is beveiligd.
  • Herhaal deze stappen elk jaar en verlang bij gevoelige data ook bewijsstukken over beveiliging en back-up van de derde partij.

Zet deze stappen in je organisatie

Daarnaast kun je natuurlijk eisen stellen aan je partners. Zoals het gebruikt van bepaalde beveiligingsmiddelen, software die activiteiten monitort of een cybersecurityplan. Ook kun je een ISO 27001-certificering vereisen. In je eigen organisatie kun je ook stappen zetten, waardoor je minder risico loopt wanneer een partner wordt gehackt. Welke stappen dit precies zijn verschilt per organisatie en type data. Volg bijvoorbeeld deze richtlijnen:

  • Maak zelf regelmatig een back-up van de Cloud-informatie van je partner.
  • Verhoog de awareness bij je medewerkers. Zorg dat er geen gevoelige data als wachtwoorden, logingegevens of andere kritische data worden opgeslagen in externe systemen. Dit kan bijvoorbeeld met een simpele awareness-campagne, waarin medewerkers met regelmaat worden getraind.
  • Gebruik tools om het recyclen van wachtwoorden tegen te gaan. Denk aan een password vault of one-time-login-oplossingen.
  • Controleer regelmatig of er gegevens van jouw bedrijf opduiken op het Dark Web. Er zijn tools beschikbaar die voor weinig geld ingezet kunnen worden en je een melding geven zodra er gegevens op straat liggen.

Benieuwd hoe het zit met de risico’s van jouw bedrijfsdata bij derden? De security-experts van HCA Groep kijken graag met je mee. Neem nu contact met ons op.

Share

Related posts

Incident Response plan
25/05/2023

De inhoud van je incident response plan 

Read more
Incident Response plan
17/04/2023

Versterk je cyberbeveiliging met Defense in Depth (DiD)

Read more
17/04/2023

Gegevens opschonen en de rol van  de-duplicatie daarin

Read more

Over Ons

HCA Groep levert een compleet en gespecialiseerd IT-pakket aan. Op maat gemaakt voor ieder bedrijf.

Contact

Vissersdijk Beneden 17
3319 GW Dordrecht

info@hcagroep.nl
078-6351719

HCA automatisering

HCA Computers

KvK-nr: 23076695
BTW-identificatienr: NL809400856B01
IBAN: NL71INGB0008923809
BIC: INGBNL2A

HCA Automatisering

KvK-nr: 24315810
BTW-identificatienr: NL809400704B01
IBAN: NL92INGB0008924110
BIC:INGBNL2A

Maak een afspraak Vraag netwerkscan aan Gratis Whitepaper Phishing
© 2023 HCA Groep. All rights reserved.
Cookie settings aanpassen • Cookieverklaring • Privacyverklaring • Algemene voorwaarden