Is een informatiebeveiligingsaudit stressvol, of juist een kans om na te denken over het huidige dreigingslandschap en proactief de beveiligingsmaatregelen te verbeteren? Het gaat immers niet alleen om het halen van een examen, maar om het leggen van een solide basis voor toekomstig succes.
SSI Schäfer heeft ruime ervaring op dit gebied. Deze intralogistieke experts werken immers met waardevolle activa – of het nu gaat om het beheren van fysieke voorraden, het aansturen van geautomatiseerde systemen of het monitoren van data met betrekking tot logistieke processen. Om ervoor te zorgen dat alles beschermd is, sluiten ze niet alleen de toegangsdeur af, maar installeren ze ook bewakingscamera's, beperken ze de toegang tot gevoelige zones en houden ze continu potentiële bedreigingen in de gaten. Deze gelaagde aanpak van fysieke beveiliging is ook cruciaal voor informatiebeveiliging. SSI Schäfer vertrouwt op preventieve en detectieve controles in al haar processen om hackerdreigingen in een vroeg stadium te identificeren en af te weren.
K. Kysela
Een belangrijke standaard voor het structureren van deze aanpak, aldus Sari Leino, Information Security Manager in het Group Information Security Team sinds augustus 2022, en Karola Kysela, Information Security Manager bij SSI Schäfer sinds oktober 2024, is ISO/IEC 27001, die een duidelijk kader biedt voor een Information Security Management System (ISMS).
Toegangscontrole
Een van de eerste aspecten die door de auditors wordt onderzocht, is toegangscontrole: wie heeft de bevoegdheid om toegang te krijgen tot kritieke systemen? Twee fundamentele principes zijn hierbij van bijzonder belang:
- Werknemers krijgen alleen toegang tot de informatie die ze nodig hebben om hun taken uit te voeren.
- - :van functiescheiding.Kritieke functies zijn gescheiden – bijvoorbeeld: een persoon mag leveranciersgegevens wijzigen, maar mag geen betalingen autoriseren
Door gebruik te maken van multifactorauthenticatie (MFA) gebruiken gebruikers niet alleen een wachtwoord, maar ook minstens één extra factor, zoals een softwaretoken op hun smartphone. MFA is ook in de privésfeer essentieel geworden. Het gebruik van extra apps of sms-codes bij dagelijkse toepassingen zoals internetbankieren, sociale media-apps of e-mailprogramma's maakt het voor onbevoegde derden moeilijker om toegang te krijgen tot accounts.
S. Leino
Naast digitaletoegangscontroleeen bestaat er ook fysieke toegangscontrole, die iedereen wel kent uit het professionele leven. Toegangskaarten en sleutels maken een veilige toegang tot ruimtes en gebouwen mogelijk. Bezoekers worden in- en uitgelogd via bezoekersregistratie en gasten mogen alleen onder begeleiding het terrein betreden. De combinatie van al deze maatregelen resulteert gelaagdeinbeveiligingsaanpak .
Een stap vooruit
Een informatiebeveiligingsaudit beoordeelt niet alleen de huidige staat van beveiliging, maar ook hoe goed men is voorbereid op toekomstige bedreigingen. Om die reden leggen auditors bijzondere nadruk op software-updates en patchbeheer. Cybercriminelen zijn constant op zoek naar kwetsbaarheden in verouderde systemen, en een niet-gepatchte softwarefout kan de zwakste schakel vormen in een verder sterke verdediging. Volgens experts is een van de meest voorkomende 'rode vlaggen' die tijdens audits naar voren komen, niet zozeer een systeemkwetsbaarheid, maar eerder een gebrek aan bewustzijn bij medewerkers. Social engineering-aanvallen, phishing-e-mails en zwakke wachtwoorden behoren nog steeds tot de meest voorkomende oorzaken van beveiligingsinbreuken.
Regelmatige phishing-simulaties en trainingen in beveiligingsbewustzijn stellen medewerkers in staat bedreigingen vroegtijdig te herkennen en effectief te reageren. SSI Schäfer heeft een uitgebreid online trainingsprogramma geïmplementeerd om het cybersecuritybewustzijn onder haar medewerkers te versterken.
Niet zomaar "versleutelen"
Gegevensbeveiliging is een ander belangrijk aandachtspunt tijdens audits. Auditors letten nauwlettend op hoe gegevens worden geclassificeerd, opgeslagen en verzonden. Worden back-ups veilig beheerd? Zijn gevoelige klantgegevens beschermd tegen ongeautoriseerde toegang? Zijn de gegevens versleuteld? ISO/IEC 27001 benadrukt een holistische benadering van gegevensbeveiliging, van versleutelingsprotocollen tot de veilige opslag en verwijdering van gevoelige informatie. Een alomvattende strategie voor gegevensbescherming moet ervoor zorgen dat zelfs in geval van een beveiligingslek kritieke informatie beschermd blijft.
