Digitale veiligheid begint bij jou: tips van onze experts

Beveiligingsorganisatie

Verantwoordelijke binnen jouw organisatie op het gebied van digitale veiligheid

Digitale veiligheid kan binnen een organisatie belegd zijn bij bijvoorbeeld een Functionaris voor Gegevensbescherming (FG) of een Security Officer. Dit zijn mensen die verantwoordelijk zijn voor privacy, informatiebeveiliging en het ontwikkelen van een veilige werkomgeving.

Onze tip voor jou: 
Digitale veiligheid is cruciaal en de verantwoordelijkheden moeten helder zijn binnen de organisatie. Overheidsinstanties en publieke organisaties zijn verplicht om een Functionaris voor Gegevensbescherming (FG) aan te stellen. In andere organisaties kunnen een Security Officer of CISO deze rol op zich nemen. Hoewel het aanstellen van een CISO niet verplicht is, kan dit erg nuttig zijn.?Deze personen zijn verantwoordelijk voor privacy, informatiebeveiliging en het ontwikkelen van een veilige werkomgeving. Zorg ervoor dat deze verantwoordelijkheden niet onduidelijk zijn om te voorkomen dat niemand zich verantwoordelijk voelt. Het hebben van een security team, zoals bij AFAS, kan helpen om security vraagstukken intern en extern te behandelen.

• Lees hier de blogs van onze Security Officer (CISO) Ignaece Bliekendaal

Wet- en regelgeving op het gebied van digitale veiligheid
Onze tip voor jou: 

De wereld van wet- en regelgeving op het gebied van digitale veiligheid verandert continue. Het is belangrijk om op de hoogte te zijn van welke wetten van toepassing zijn op jouw organisatie, zodat je hieraan kunt voldoen. Denk hierbij aan de NIS2, DORA, CRA, GDPR, CER, NIS, CSA en BIO. Zorg er ook voor dat je dit goed vastlegt binnen je organisatie. Hierdoor kan je er beter op sturen en op de hoogte worden gehouden wat jou als organisatie raakt. Benieuwd wat er zoal speelt in de EU?

• Bekijk de Digital Decade vanuit de EU

Certificeringen en/of assurance rapportages op het gebied van digitale veiligheid
Onze tip voor jou:

Certificeringen tonen aan dat je organisatie serieus omgaat met digitale veiligheid. Overweeg om certificeringen zoals ISO 27001, ISO 27701, ISO 27017, ISO 27018, ISO 22301, ISAE 3402 (Type 1 & 2), ISAE 3000 (Type 1 & 2), SOC1, SOC2, en SOC3 te behalen. Deze certificeringen helpen je bij het structureel verbeteren van je beveiligingsmaatregelen.

Het Control Framework binnen de software van AFAS is dé tool om grip en inzicht te krijgen in het hele proces van de certificering. Het geeft de externe auditor ook één centrale plek waar taken, risico’s, beheersmaatregelen, rapportages en de bewijslast samenkomen. Één gecentraliseerd punt binnen je applicatielandschap waar je alles omtrent je processen kan borgen en presenteren.

• Bekijk de themapagina over het Control Framework

Bedrijfscontinuïteit en operationele veerkracht

Business Continuity Plan (BCP) opstellen om je weerbaar te maken tegen ongeplande onderbrekingen
Onze tip voor jou:

Een Business Continuity Plan (BCP) helpt om voorbereid te zijn op ernstige incidenten zoals ransomware-aanvallen, DDoS-aanvallen, stroomuitval of natuurrampen. Het BCP zorgt ervoor dat je weet welke stappen je moet nemen om snel weer operationeel te zijn. Test het plan periodiek om de effectiviteit ervan te garanderen.

Het is belangrijk om in gesprek te gaan met de afdelingen die een belangrijk onderdeel zijn van de bedrijfscontiniteit en de (knel)punten in je organisatie in kaart te krijgen. Heb je geen BCP maar is dit wel nodig voor een betere beheersing van je bedrijfscontinuïteit?

• Hoe je dit aanvliegt, lees je op deze pagina van het Digital Trust Center

Wil je aan de slag om dit volgens een gecertificeerde standaard in te richten?

• Bekijk de website van ISO

Een protocol voor het reageren op een beveiligingsincident
Onze tip voor jou: 
Een datalekprotocol is essentieel voor het snel en correct reageren op datalekken. Dit is belangrijk voor de naleving van de AVG/GDPR-wetgeving en om de impact van een datalek te beperken. Zorg ervoor dat medewerkers weten wat ze moeten doen in geval van een datalek, inclusief het melden bij de Autoriteit Persoonsgegevens. AFAS biedt een template voor het melden van datalekken. Een workflow waarborgt een snelle en gestructureerde afhandeling.

• Zorg dat een melding datalek wordt opgepakt met 'melding datalek'
• Lees de blog over mailen van vertrouwelijke data
• Lees het artikel over phishing
• Bekijk de themapagina over digitale veiligheid

Is de NIS2 van toepassing op jouw organisatie? Dan is de procedure voor het vastleggen en opvolgen van beveiligingsincidenten ook een verplichting. Ga dus op zoek naar de actuele procesbeschrijvingen van het melden van deze incidenten, test het proces en leg dit dan ook goed vast! Wil je weten hoe je dit kan vormgeven?

• Lees over NIS2 op deze pagina van het Digital Trust Center

Beveiligingsbewustzijn

Bewustwordingscampagnes of trainingen over social engineering

Social engineering is een vorm van oplichting waarbij criminelen misbruik maken van menselijk gedrag om toegang te krijgen tot gevoelige informatie zoals nepmails of oplichting via telefoon. 

Onze tip voor jou: 
Bewustwording op het gebied van social engineering is cruciaal om aanvallen te voorkomen. Zorg dat medewerkers bekende technieken zoals phishing, spearphishing, whaling, vishing, smishing, pretexting en quishing herkennen. Train medewerkers om verdachte e-mails, telefoontjes, sms-berichten en QR-codes te herkennen en niet zomaar op links te klikken. Deel voorbeelden van phishing mails met je collega's om de herkenning te bevorderen.

• Lees het artikel over Phishing deel 1
• Lees het artikel over Phishing deel 2
• Bekijk de video over Hackers

Hoe zorg je ervoor dat je medewerkers blijft betrekken in het ontwikkelen van het bewustzijn social engineering? Maak het leuk! Op zoek naar inspiratie? Lees over de 'Hoe' en 'Waarom' van bewustwordingcampagnes:

• Bekijk het Stappenplan bewustwordingscampagne van Digital Trust Center
• Lees het artikel over cyberbewustwording van het Digital Trust Center

Een wachtwoordmanager voor het veilig beheren van wachtwoorden
Onze tip voor jou: 
Een wachtwoordmanager helpt bij het veilig beheren van wachtwoorden. Het is belangrijk dat medewerkers unieke en sterke wachtwoorden gebruiken voor elk online account. Met een wachtwoordmanager is dit makkelijker te realiseren. Overweeg om een wachtwoordmanager met passkey ondersteuning te gebruiken. Zorg dat wachtwoorden lang en complex zijn, en gebruik een wachtwoordzin waar mogelijk.

• Lees het artikel over wachtwoorden
• Lees het artikel over inloggen zonder wachtwoorden
• Bekijk de themapagina over passkeys
• Naar het artikel 'Hoe kies ik een wachtwoordmanager' van het Digital Trust Center

Toegangsbeheer

Methodes voor inrichten van de toegang tot informatie, applicaties en systemen binnen je organisatie (autorisatie)

Onze tip voor jou: 
Zorg ervoor dat toegang tot informatie, applicaties en systemen is ingericht op basis van rollen, functies of gebruikersgroepen, zodat gebruikers alleen toegang hebben tot wat relevant is voor hun taken. Gebruik selecties om gebruikers automatisch aan autorisatiegroepen toe te voegen, zodat de juiste rechten automatisch worden toegekend en verwijderd bij wijzigingen. Vermijd het individueel toekennen van rechten, omdat dit moeilijk te beheren is. In AFAS Profit kun je autorisatierollen en gebruikersgroepen gebruiken om dit te bereiken.

• Bekijk het webinar over digitale veiligheid
• Bekijk het webinar over autorisatie

Toegangsbeheer is namelijk essentieel voor de digitale veiligheid organisaties. Maar hoe zit het precies bij jou in de organisatie? Heb je helder hoe de autorisatie in het applicatielandschap wordt geregeld? Bij welke afdeling(en) is dat belegd? Wordt hier bij functiewijzigingen van medewerkers of aanpassingen in de organisatie wel rekening mee gehouden en wordt dit correct doorgevoerd? Breng dit in kaart om grip te krijgen op de toegangsprocedures binnen jouw organisaties. Zo krijg je ook risico’s in kaart.

Autorisatie toepassen op dossieritems binnen de software van AFAS

Dit houdt in dat elke gebruiker binnen de organisatie alleen toegang heeft tot dossieritems waartoe zij gemachtigd zijn op basis van hun rol en verantwoordelijkheden.

Onze tip voor jou:
Zorg ervoor dat elke gebruiker alleen toegang heeft tot dossieritems waarvoor zij gemachtigd zijn. In Profit kun je dit regelen met gegevensfilters, autorisatierollen, gebruikersgroepen, workflowprocessen en door dossieritems als vertrouwelijk te markeren. Dit voorkomt ongewenste toegang tot gevoelige gegevens. Autoriseer op groepsniveau, niet individueel. Gebruik selecties om gebruikers automatisch aan autorisatiegroepen toe te voegen.

• Lees het artikel over dossieritems vertrouwelijk maken
• Bekijk het webinar digitale veiligheid
• Kijk het webinar autorisatie terug

Verschillende inlogmethodes binnen je organisatie
Onze tip voor jou:
Sterke inlogmethodes zijn essentieel voor digitale veiligheid. Multi-factor authenticatie (MFA) voegt een extra beveiligingslaag toe. Single sign-on (SSO) is handig, maar zorg dat MFA ook hier toegepast wordt. Passkeys bieden een veilig alternatief, waarbij alleen geautoriseerde apparaten toegang hebben. Overweeg wachtwoordloos inloggen voor extra veiligheid. AFAS vereist minimaal MFA voor inloggen op AFAS Online. Vanaf 2027 is inloggen met Passkeys verplicht.

• Lees het artikel inloggen zonder wachtwoorden
• Lees het artikel over single sign on
• Lees het artikel over twee-factor-authenticatie

Databeveiliging

Back-ups maken van je belangrijke systemen en testen om de betrouwbaarheid te waarborgen
Onze tip voor jou:
Regelmatige back-ups en het testen ervan zijn cruciaal om de beschikbaarheid en veiligheid van gegevens te waarborgen. Test de back-ups om er zeker van te zijn dat ze werken. Een goed back-up- en herstelproces minimaliseert dataverlies en verkort de hersteltijd na een incident. We werken steeds meer met SaaS applicaties, maar hebben leveranciers van deze applicaties wel back-ups voor je geregeld of moet je dat zelf regelen? AFAS maakt dagelijks volledige back-ups van de productieomgevingen. AFAS gebruikt ook WORM-systemen voor back-ups, die niet herschreven kunnen worden.

• Bekijk het webinar Digitale veiligheid
• Lees het artikel "Als de bestanden op je computer worden gegijzeld"
• Lees het artikel "Je online veiligheid kost minder moeite dan je denkt"

Als je ontdekt dat er geen hersteltests worden uitgevoerd, implementeer dan een plan om dit wel regelmatig te doen. Een plan zorgt ervoor dat je gegevens daadwerkelijk beschikbaar zijn wanneer je ze nodig hebt.

• Lees meer over back-ups op deze pagina van het Digital Trust Center

Beveiliging infrastructuur

Mogelijkheden om op afstand te werken
Onze tip voor jou:
Kies voor veilige methoden voor werken op afstand, zoals cloudoplossingen, VPN, ZTNA of SASE, en gebruik altijd multi-factor authenticatie (MFA) om inloggegevens te beschermen.

• Bekijk tips over veilig online werken

Netwerksegmentatie binnen de organisatie

Netwerksegmentatie betekent dat je het netwerk opdeelt in verschillende delen. Hierdoor kunnen bijvoorbeeld leveranciers en medewerkers op gescheiden netwerken werken.

Onze tip voor jou:
Netwerksegmentatie deelt het netwerk op in verschillende delen, waardoor leveranciers en medewerkers op gescheiden netwerken kunnen werken. Dit beschermt de andere delen van het netwerk als één deel besmet raakt. Overweeg om Zero Trust Network Access (ZTNA) te gebruiken in plaats van VPN voor betere controle. Microsegmentatie kan worden gebruikt om de veiligheid van de netwerkomgeving verder te vergroten.

• Lees meer over online veilig werken

Netwerksegmentatie zal misschien niet in je dagelijkse werkzaamheden vallen. Het is alleen wel belangrijk dat je goed in kaart hebt hoe dit precies bij jouw organisatie en bij leveranciers is geregeld. Je bent namelijk kwetsbaar als iemand op het primaire netwerk kan binnenkomen. Ga daarom in gesprek met je collega’s en leveranciers en stel de vragen "Hoe ziet ons netwerk er eigenlijk uit?" en "Hoe beheersen we de risico’s rondom ons netwerk?” 

• Lees het artikel over bedrijfsnetwerken beveiligen van het Digital Trust Center
• Lees het artikel over Zero Trust van het Digital Trust Center

Security gerelateerde testen uitvoeren om kwetsbaarheden te identificeren en/of de huidige detectiemaatregelen te testen
Onze tip voor jou: 
Test regelmatig je security met vulnerability scans en pentesten om kwetsbaarheden te vinden. Doe dagelijkse vulnerability scans voor een snel beeld van je security status. Laat pentesten door een externe partij uitvoeren om daadwerkelijke zwakheden bloot te leggen. Gebruik de testresultaten in een risicoanalyse, met aandacht voor kans en impact.

• Bekijk het webinar Digitale Veiligheid

Endpoint security

Periodiek controleren of de systemen zijn bijgewerkt met de laatste updates of dat automatisch updaten aan staat
Onze tip voor jou:
Regelmatige updates zorgen ervoor dat systemen beschermd blijven tegen bekende kwetsbaarheden. Schakel automatische updates in waar mogelijk. Zorg dat bedrijfskritische applicaties en systemen altijd up-to-date zijn. AFAS heeft een patchbeleid voor AFAS Online. Het is belangrijk om de risico's van kwetsbaarheden te evalueren en niet alleen op de ernstscore te focussen.

• Bekijk het webinar Digitale veiligheid
• Lees het artikel "Je online veiligheid kost minder moeite dan je denkt"

Software installeren door medewerkers binnen de organisatie
Onze tip voor jou:
Beperk de mogelijkheid om software te downloaden en te installeren zonder toestemming. Dit vermindert het risico op het downloaden van malware. Zorg dat medewerkers bewust zijn van de risico’s. Je loopt namelijk als organisatie een groot risico als er geen beheersing wordt uitgevoerd op het installeren van software op de laptops en overige apparaten (endpoints) binnen je organisatie. Kwaadaardige code zit ontzettend goed verstopt en vereist dan ook een bekwame bewaking. Natuurlijk heb je je collega’s al geattendeerd op het feit dat je niet zomaar alles mag downloaden en er op moet klikken, maar het blijft toch mensenwerk. Ga daarom aan de slag om ervoor te zorgen dat je vanuit één plek (bedrijfsportal) software kan aanbieden en beheren.

Beveiligingssysteem implementeren dat zich richt op het monitoren, detecteren en reageren op verdachte activiteiten of op dreigingen op computers, laptops, smartphones en andere apparaten die met het netwerk zijn verbonden
Onze tip voor jou:
Endpoint Detection and Response (EDR) zorgt ervoor dat je snel kunt reageren op verdachte activiteiten. Gebruik ook andere systemen zoals SIEM/SOC. Monitoren en detecteren van verdachte activiteiten is essentieel om dreigingen snel te kunnen aanpakken. Het is belangrijk om bewust te zijn van de risico's en de juiste maatregelen te nemen. Kwaadaardig verkeer en activiteiten zijn namelijk voor het blote oog nauwelijks tot niet te zien, maar reken erop dat het wel gebeurt. Hierdoor loop je als organisatie natuurlijk een risico op het gebied van malware, ransomware en meer. Ga daarom aan de slag met actieve monitoring op jouw netwerk en apparaten.

• Lees het artikel over het voorkomen van malware van het Digital Trust Center

Meer weten over Digitale veiligheid en AFAS?

Digitale veiligheid

Onze Security Officer (CISO) Ignaece Bliekendaal, Privacy Officer Viktor Linn en Senior Applicatie- en Procesmanager Hans Roozen hebben voor jou de tips verzameld om aan de slag te gaan.