Datalekken, een overzicht van overzichten

De eerste datalekken zijn gemeld bij de Autoriteit Persoonsgegevens. Tot nu toe was er geen gestructureerde verzameling van gegevens over alle Nederlandse datalekken. Op deze pagina zet ik een aantal overzichten van datalekken op een rijtje om een beeld te krijgen van wat ons te wachten staat. Verizon 2015 Data Breach Investigations Report http://www.verizonenterprise.com/DBIR/2015/ Toelichting: Voor de zorgsector blijken de belangrijkste oorzaken van datalekken: diverse fouten (oorzaak van 32% van de datalekken), misbruik door insiders (26%) en fysiek verlies/diefstal (16%). Zestig procent van de “diverse fouten” betreft vergissingen door systeembeheerders. Meest voorkomende “diverse fouten” zijn verzenden naar de verkeerde ontvangers, vertrouwelijke informatie publiceren op publieke webservers en onveilige […]

Door awareness voldoen aan de meldplicht datalekken

Alle kranten, nieuwssites, blogs en andere media staan op dit moment bol van de berichten over de meldplicht datalekken. Het vraagt heel wat van een organisatie om te voldoen aan de Wet bescherming persoonsgegevens en ook om klaar te zijn voor de meldplicht datalekken. Iedereen heeft wel een advies: van procedures opstellen tot technische detectiemiddelen implementeren. Belangrijk hoor, maar wat mij betreft is de beste maatregel dat je ervoor zorgt dat alle ogen en oren in de organisatie weten waarop ze moeten letten. Als je dit op de goede manier doet, volgt vanzelf welke maatregelen je verder moet treffen. In dit artikel geef ik je tien tips om dit in […]

Een alledaags datalek

Laatst kreeg ik een mailtje van een zorginstelling. Het was niet voor mij bestemd, en stond wel vol met vertrouwelijke informatie. Hoe kwam dat zo? Het domein merwe.nl is van mij en dus krijg ik alle mail gericht aan e-mailadresssen eindigend op merwe.nl. De zorginstelling heeft een patiënt Van de Merwe opgenomen en ze willen graag met de familie communiceren. Het eerste mailtje dat ik kreeg was een uitnodiging voor een familiegesprek. De kans is groot dat ik wel ergens familie ben. Van de Merwe is niet zo’n veel voorkomende naam. Volgens het Meertens Instituut waren er in 2007 in Nederland 808 mensen die zo heten. Die ken ik niet […]

Oktober is Europese CyberSecurityMaand!

Op initiatief van ENISA is oktober weer uitgeroepen tot cybersecuritymaand. In dertig landen vinden tientallen activiteiten plaats rond het thema van de campagne: “cyberveiligheid is een gedeelde verantwoordelijkheid”. Ook in Nederland wordt deze maand het een en ander georganiseerd. Iedereen wordt uitgenodigd zich te verdiepen in online veiligheid om zichzelf en anderen te kunnen beschermen tegen cyber-bedreigingen. Het is dit jaar de derde keer dat de cybersecuritymaand wordt gehouden in Europa. Maar ook in Amerika is in oktober aandacht voor hetzelfde thema, zie Stay Safe Online. In Europa ligt de organisatie bij de European Union Agency for Network and Information Security (ENISA), de Europese Commissie en een aantal partners. Op […]

Informatiebeveiliging op de agenda: quiz

De afgelopen weken heb je via onze website en sociale media alles kunnen lezen over hoe je informatiebeveiliging en security-awareness op de agenda krijgt. Klaar voor een kleine test? Doe mee met onze quiz! Heb je specifieke vragen over het agenderen van informatiebeveiliging, zet deze dan hieronder in het commentaarveld of neem contact op met PrivacyLab. Deel alsjeblieft dit artikel met jouw netwerk via de deelknop op Facebook, Twitter, Tumblr en Google+, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. Delen op LinkedIn moet nog handmatig.

Security-awarenesstraining en de Wet (Wbp)

Zoals ik al eerder schreef: iedere bestuurder is tot op zeker niveau bang voor een datalek waarbij medewerker-, klant- of bedrijfsgegevens openbaar worden. Dit kan veel geld kosten, zeker na het in werking treden van de Meldplicht datalekken (1 januari 2016). Maar het kost ook reputatie en klantvertrouwen. Ook als je op andere punten niet voldoet aan wet- en regelgeving, dan kan dat boetes opleveren. Wat vraagt de wet op het punt van het bewust maken van medewerkers? Letterlijk genomen zegt de Wet bescherming persoonsgegevens niet dat je security-awarenesstraining moet geven. Maar er zijn wel degelijk punten aan te wijzen waarvan alle medewerkers zich bewust moeten zijn. Bij het […]

Waarom security-awarenesstraining niet duur is

Ook als informatiebeveiliging wel een aandachtspunt is, dan komt het toch nog regelmatig voor dat er geen budget is voor de menselijke factor: security-awareness bij de medewerkers. In deze blog een aantal kostenargumenten op een rijtje. Uitgespaarde kosten: minder security-problemen Minder security-problemen betekent minder kosten, dat kan iedereen bedenken. Maar dat investeren in awareness loont, blijkt ook uit onderzoek van PwC. In het rapport “Managing cyber risks in an interconnected world” uit 2014 rapporteren zij: “Businesses that have security awareness report significantly lower average financial losses from cybersecurity incidents.” Uit het onderzoek blijkt dat organisaties die geen security-training hebben voor nieuwe medewerkers in het onderzoek vier maal grotere […]

In vier stappen informatiebeveiliging op de agenda

Hoe krijg je aandacht voor informatiebeveiliging? Zorginstellingen leveren zorg, daar draait het om. Maar dat ontslaat je niet van de verantwoordelijkheid om informatie veilig te houden. Als ik vraag naar de grootste frustratie van de IT-manager of security-officer hoor ik bijna altijd: de strijd om aandacht te krijgen voor informatiebeveiliging. Aandacht krijg je in principe door twee methoden: inspelen op angst of verlangen. Welke van deze twee het beste werkt is afhankelijk van de personen en organisatie. Angst is over het algemeen een iets krachtiger emotie. En beide methoden vragen tijd en herhaling. Met geduld en onderstaande stappen kun je informatiebeveiliging steeds hoger op de prioriteitenlijst krijgen. Stap 1 […]

Boekentip: Accelerated Learning

Een andere manier van trainingen geven: een effectievere training sneller ontworpen Wil je graag sneller een training ontwerpen die effectiever is? Dit boek helpt: The Accelerated Learning Handbook. Het lijkt misschien een vreemde eend in de bijt op een site over security-awareness (informatiebeveiligingsbewustzijn). Toch wil ik graag dit boek van Dave Meier onder de aandacht brengen omdat zijn kijk op het opzetten en geven van trainingen origineel en effectief is. Veel mensen weten dat het belangrijk is aantrekkelijke trainingen te geven, maar ze weten niet hoe ze dat moeten doen. Als je dit goed doet zijn de resultaten vele malen beter. Ik zal hier wat voorbeelden geven en als het […]

Boekentip: John P. Kotter, Leading change

Standaardwerk bij verandering in organisaties Het doel van security-awarenesstraining (training informatiebeveiligingsbewustzijn) is dat mensen hun gedrag veranderen. Vele mislukte verandertrajecten tonen aan dat het veranderen van een organisatie en de mensen daarin niet eenvoudig is. John P. Kotter schreef een internationale bestseller over het doorvoeren van veranderingen in organisaties: Leading change, in het Nederlands vertaald als Leiderschap bij verandering. Dit gaat over grote strategiewijzigingen in multinationale ondernemingen. Maar het kan geen kwaad de essentie en de fases ook in gedachten te houden bij security-awarenessprogramma’s. Hieronder een korte introductie op het boek, zodat je kunt beoordelen of het zinvol is het zelf aan te schaffen. Acht fases in verandertrajecten […]

Page 3 of 51 234 5

Blog