Startups en scaleups: zet risicomanagement op je agenda!

29/09/2022

Diefstal, een datalek, fraude. Daar zit geen enkel bedrijf op te wachten. Ook startups en scaleups niet. Toch gaat juist bij hen de focus op het primaire proces vaak ten koste van randvoorwaarden zoals beveiliging, privacy en het inrichten van integriteit. Risicomanagement staat nog niet op de agenda. Vanuit dat besef schakelde het succesvolle fietsenmerk Veloretti AVAQ in. Het doel: vanuit een duidelijke visie beargumenteerde keuzes maken op het gebied van beveiliging.

Beveiligingsplan Veloretti

Het in september door Pon Holding overgenomen fietsenmerk Veloretti is in tien jaar uitgegroeid tot een onderneming met 58 medewerkers en verwacht dit jaar met de verkoop van 15.000 e-bikes en 20.000 niet elektrisch aangedreven stadsfietsen een omzet van € 42 miljoen te halen. Het bedrijf heeft een brandstore in Amsterdam en betrok in de hoofdstad onlangs een nieuwe kantoorlocatie. Omdat deze locatie nog niet beveiligd was, werd een beveiligingsinstallateur uitgenodigd. Die beredeneerde zijn advies vanuit alarmsystemen. ‘Wij vroegen ons af of dat niet een te beperkte scope was’, vertelt Sal Riani, Chief Technology Officer bij Veloretti. ‘Daarom leek het ons verstandig om een tweede beoordeling te laten doen. Daarvoor benaderden we AVAQ. Dit bedrijf heeft onder andere een vestiging in Oost-Nederland, waar ook Ferry Zonder, de oprichter van Veloretti, vandaan komt.’

Integrale beveiliging vanuit risicoanalyse

De beoordeling door AVAQ leverde een veel bredere blik op veiligheid op. Riani: ‘Om te beginnen kijken ze bij AVAQ niet alleen naar gebouwen en bedrijfseigendommen, maar ook naar mensen, belangen, processen en informatie. Dat maakt meteen duidelijk dat je er niet bent met alleen een hek en een camerasysteem. Bovendien heb je bij het nemen van veiligheidsmaatregelen te maken met eisen van de verzekeraar en met privacywetgeving. Daarnaast is het vertrekpunt van AVAQ: risicobeheersing. De maatregelen die je neemt, moeten in verhouding staan tot de risico’s. Door die eerst te analyseren, kun je veel beter beoordelen welke maatregelen écht zinvol zijn, en welke bijpassende organisatorische maatregelen je moet nemen.’

Zet risicomanagement op de agenda

Niet alle scaleups zijn even zorgvuldig als Veloretti, weet Daniël de Jong van AVAQ. ‘Dit type organisatie heeft de primaire processen vaak al snel goed voor elkaar, maar moet nog groeien in de volwassenheid van risicomanagement en andere “randvoorwaarden”. Simpelweg omdat de focus daar in het begin niet op ligt. Begrijpelijk, maar de pijn is groot als je bedrijfssucces op enig moment plotseling wordt overschaduwd door een cyberaanval, fysieke dreiging of fraude.

Het advies van Riani aan startups en scaleups: ‘Als je je bedrijf serieus neemt, ga dan na wat je allemaal te beschermen hebt en zet risicomanagement op de agenda.’

Actueel

Meer avaq actueel

De Europese Dag van de Privacy

28/01/2023

Vandaag, 28 januari, is het de dag van de privacy. De dag waar we even […]

Lees meer

Daniël de Jong nieuw bestuurslid Vereniging Beveiligingsprofessionals Nederland (VBN)

23/01/2023

Op dinsdag 17 januari is Daniël de Jong toegetreden tot het bestuur van Vereniging Beveiligingsprofessionals […]

Lees meer

24 november: Nationale Check Je wachtwoorden Dag

24/11/2021

24 november is sinds enige tijd uitgeroepen tot Nationale Check Je Wachtwoorden Dag: een dag om te checken of je eigenlijk wel sterke en veilige wachtwoorden gebruikt. Uit onderzoek blijk dat veel mensen niet veilig omgaan met hun wachtwoorden door bijvoorbeeld:

  • Wachtwoorden te kiezen die makkelijk te raden zijn;
  • Wachtwoorden te hergebruiken;
  • Wachtwoorden niet eens in de zoveel tijd te veranderen;
  • Nooit te checken of hun wachtwoorden voorkomen in gehackte databases.

Nationale Check Je Wachtwoorden Dag is in het leven geroepen om mensen hier bewust van te maken, jou dus ook. Het is voor zowel privé als zakelijk belangrijk om een veilig wachtwoord te gebruiken om te voorkomen dat data in verkeerde handen belandt. Het is belangrijk om zelf alert te blijven op het wachtwoord dat je gebruikt. Daarom dele we op deze dag enkele tips die jou hierbij helpen.

Tips voor het gebruiken van een veilig wachtwoord

  1. Gebruik geen gegevens die makkelijk te raden zijn – Maak in je wachtwoord geen gebruik van persoonlijke informatie over jou die makkelijk te achterhalen is zoals (achter)naam of geboortedatum/jaar.
  2. Gebruik een lang wachtwoord en verschillende tekens – Hoe langer je wachtwoord hoe veiliger. Gebruik een wachtwoord van minimaal 12 tekens en maak gebruik van cijfers, hoofdletters en speciale tekens (&, ?, #, !, %, enz).
  3. Hergebruik geen wachtwoorden Gebruik niet dezelfde wachtwoorden voor meerdere accounts, zo kan een buitgemaakt wachtwoord niet direct voor als jouw accounts gebruikt worden. Gebruik voor jouw werk-account bijvoorbeeld niet hetzelfde wachtwoord als wat je ook voor privé-accounts gebruikt.
  4. Gebruik een wachtzin of passwordmanager – Vind je het lastig om allemaal verschillende wachtwoorden te onthouden? Maak dan gebruik van een passwordmanager of een wachtzin. Een passwordmanager helpt jou je wachtwoorden te onthouden en helpt daarnaast ook bij het creëren van nieuwe (veilige) wachtwoorden. Wanneer je een passwordmanager niet prettig vindt kun je er ook voor kiezen gebruik te maken van een wachtzin, een combinatie van woorden die je zelf makkelijk kunt onthouden, bijvoorbeeld: 101KilometerIsTeSnel (nu niet dit voorbeeld massaal gaan gebruiken 😉 ).
  5. Verander je wachtwoord minimaal eens per half jaar – Verander je wachtwoorden met regelmaat, zo voorkom je dat wachtwoorden die eventueel buitgemaakt zijn door kwaadwillende nog gebruikt kunnen worden.
  6. Check of jouw wachtwoord voorkomt in een gehackte database – controleer eens in de zoveel tijd of je inloggevens niet in verkeerde handen zijn gevallen. Dit kun je op verschillende manieren controleren, bijvoorbeeld via de website haveibeenpwned.com, via je passwordmanager (of via je telefoon bij iPhone toestellen vanaf iOS 14 onder instellingen -> wachtwoorden -> beveiligingsadvies).

Meer weten? Bekijk deze handige pagina van de Consumentenbond over (veilige) wachtwoorden maken en onthouden.

Actueel

Meer avaq actueel

De Europese Dag van de Privacy

28/01/2023

Vandaag, 28 januari, is het de dag van de privacy. De dag waar we even […]

Lees meer

Daniël de Jong nieuw bestuurslid Vereniging Beveiligingsprofessionals Nederland (VBN)

23/01/2023

Op dinsdag 17 januari is Daniël de Jong toegetreden tot het bestuur van Vereniging Beveiligingsprofessionals […]

Lees meer

Identiteitsfraude: wat is het en hoe voorkom je het?

16/08/2021

Fraude, een term die je waarschijnlijk vaak en in veel verschillende soorten voorbij hoort komen. Dat kan kloppen, want fraude kan op veel manieren worden gepleegd. In deze blog gaan we het hebben over identiteitsfraude. Een erg persoonlijke vorm van fraude die iedereen wil voorkomen. Wat is identiteitsfraude en hoe voorkom je het?

Misbruik van jouw identiteit

Bij identiteitsfraude worden identificatiemiddelen zoals persoonsgegevens of identiteitspapieren opzettelijk misbruikt met als doel om daarmee een strafbaar feit te plegen. Identiteitsfraude kan gebeuren met verschillende soorten gegevens, zoals met een paspoort, rijbewijs of ID-kaart, maar ook met het overheidssysteem DigiD. Een fraudeur zou met behulp van een bankrekeningnummer en een kopie van een paspoort bijvoorbeeld producten of diensten op andermans naam kunnen bestellen.

Zo komen criminelen aan jouw ID

Er zijn verschillende manieren om aan iemands identiteitsbewijs te komen. Hieronder sommen we drie veelgebruikte trucs van criminelen voor je op:

  • Via verkoopwebsites: zoals bijvoorbeeld Marktplaats. Er wordt een advertentie geplaatst van een product dat vaak gewild is, zoals bijvoorbeeld een populaire telefoon of tickets voor een populair festival. De criminelen vragen aan de geïnteresseerde koper om een kopie van het identiteitsbewijs om ‘zeker te weten dat ze niet worden opgelicht’. Om vertrouwen op te wekken sturen ze ook hun ‘eigen identiteitsbewijs’, dat vaak een vals of een al eerder buitgemaakte identiteitsbewijs is;
  • Via valse vacatures: er wordt, zoals vaker bij een sollicitatie, gevraagd om een kopie van het identiteitsbewijs. Controleer altijd of het betreffende bedrijf echt bestaat;
  • Via woonruimte/kamerverhuur: ook hier wordt vaak om een kopie van een identiteitsbewijs gevraagd. Wanneer de verhuur niet via een bedrijf gaat is het verstandig om eerst persoonlijk contact te hebben voordat je een kopie van jouw identiteitsbewijs geeft.
Identiteitsfraude

Wist je dat particulieren, winkels, hotels en zorgverleners wettelijk gezien geen kopie mogen vragen van jouw identiteitsbewijs? Zij mogen enkel vragen om het identiteitsbewijs te laten zien. Heb je te maken met instanties die wettelijk gezien wel om een kopie van jouw identiteitsbewijs mogen vragen, maak dan gebruik van de KopieID-app van de overheid. Met deze app kun je een watermerk toevoegen aan de kopie en irrelevante gegevens doorstrepen (dat is vaak het BSN-nummer).

Ga zorgvuldig om met jouw identiteitsgegevens

Je kunt jezelf beschermen tegen identiteitsfraude door zorgvuldig om te gaan met jouw identiteitsgegevens. Bewaar ze op een veilige plaats en geef ze niet zomaar aan een persoon of organisatie die vertrouwt lijkt. Zorg er daarnaast voor dat jouw sociale media accounts goed zijn afgeschermd en deel nooit foto’s van bijvoorbeeld jouw paspoort, identiteitsbewijs of rijbewijs (ook niet als je net je rijbewijs hebt gehaald of op het vliegveld staat). Zo voorkom je dat criminelen te veel gegevens over jou verzamelen.

Ben je slachtoffer geworden van identiteitsfraude? Kijk dan op de website van de rijksoverheid voor wat je dan moet doen.

AVAQ zorgt voor grip op fraude. Vragen over het beschermen van jouw (online) identiteit? Neem vrijblijvend contact met ons op voor meer informatie.

Actueel

Meer avaq actueel

De Europese Dag van de Privacy

28/01/2023

Vandaag, 28 januari, is het de dag van de privacy. De dag waar we even […]

Lees meer

Daniël de Jong nieuw bestuurslid Vereniging Beveiligingsprofessionals Nederland (VBN)

23/01/2023

Op dinsdag 17 januari is Daniël de Jong toegetreden tot het bestuur van Vereniging Beveiligingsprofessionals […]

Lees meer

Informatiebeveiliging in jouw organisatie doormiddel van de CIA-Triad

09/08/2021

Ooit gehoord van de CIA-Triad? Of de Nederlandse benaming BIV-classificatie? Deze classificatie wordt gebruikt voor het opstellen van een gedegen informatiebeveiligingsbeleid. Het is een belangrijk hulpmiddel voor het beschermen van gegevens binnen jouw organisatie. Lees gauw verder en kom er achter hoe je de CIA-Triad toepast op jouw organisatie!  

Waar staat het voor? 

In het Engels staat de CIA-Triad voor Confidentiality, Integrity en Availability. In het Nederlands is dit vertaald naar de BIV-classificatie: Beschikbaarheid, Integriteit en Vertrouwelijkheid. 

  • Bij beschikbaarheid gaat het om de mate waarin de informatie op het juiste moment beschikbaar is voor gebruik. 
  • Bij integriteit gaat het om de juistheid en volledigheid van de informatie. Komt de informatie overeen met de werkelijkheid en is er niet mee geknoeid?
  • Tot slot gaat het bij vertrouwelijkheid om de mate waarin de informatie uitsluitend toegankelijk is voor de daarvoor geautoriseerde personen. 
CIA Triad - informatiebeveiliging

Zo bescherm je de CIA-principes 

We weten nu waar CIA voor staat, maar hoe bescherm je deze principes dan?  

  • Confidentiality: om dit principe te beschermen is het belangrijk dat je gegevens goed gescheiden houdt. Bekende maatregelen die je hiervoor kunt nemen zijn het toepassen van het need-to-know principe en het gebruikmaken van Role Based Access Control (RBAC). Meer weten over maatregelen voor de bescherming van confidentiality? Lees dan hier onze blog over het belang van het gebruik van autorisatiebeheer. 
  • Integrity: bij integrity is het belangrijk dat gegevens worden beschermd tegen (onbedoelde) wijziging of verwijdering. Maatregelen die je hiervoor kunt nemen zijn bijvoorbeeld het implementeren van een inbraakdetectiesysteem, een toegangscontrolesysteem of het instellen van Multi-Factor Authenticatie. 
  • Availability: om availability te beschermen is het belangrijk dat de beschikbaarheid van gegevens en applicaties wordt gegarandeerd. Dit kun je doen door onder andere te zorgen voor redundantie, het regelmatig maken en onderhouden van back-ups en het continu up-to-date houden van software. 

Waarom de CIA-Triad belangrijk is voor jouw organisatie 

Elke letter (CIA) vertegenwoordigt een belangrijk principe in informatiebeveiliging. Deze drie principes samen helpen bij het opstellen van een gedegen informatiebeveiligingsbeleid. Het is een goede richtlijn, zodat je geen enkel belangrijk punt vergeet. De CIA-Triad: 

  • Verbetert de structuur van de beveiliging; 
  • Helpt om te voldoen aan wet- en regelgeving; 
  • Helpt bij het borgen van de bedrijfscontinuïteit. 

Heb je in jouw organisatie geen CIA-Triad toegepast? Dan is het aannemelijk dat de impact van cyberincidenten groter is. Het is dan niet ondenkbaar dat ongeoorloofde partijen toegang krijgen tot gevoelige informatie, er geknoeid wordt met gevoelige gegevens of belangrijke gegevens en systemen ontoegankelijk worden gemaakt. 

AVAQ is specialist op het gebied van fysieke en digitale beveiliging. Wij geven grip op (cyber)risico’s. Hulp nodig bij het opstellen van een passende CIA-Triad voor jouw organisatie? Neem dan vrijblijvend contact met ons op.  

Actueel

Meer avaq actueel

De Europese Dag van de Privacy

28/01/2023

Vandaag, 28 januari, is het de dag van de privacy. De dag waar we even […]

Lees meer

Daniël de Jong nieuw bestuurslid Vereniging Beveiligingsprofessionals Nederland (VBN)

23/01/2023

Op dinsdag 17 januari is Daniël de Jong toegetreden tot het bestuur van Vereniging Beveiligingsprofessionals […]

Lees meer

Intrudertesten: een must have voor jouw organisatie

28/06/2021

Misschien heb je er wel eens van gehoord: intrudertesten, mystery guest bezoeken of red-teaming. Allemaal vergelijkbare instrument. Het is een methode die al decennialang wordt gebruikt om beveiliging (van organisaties) sterker te maken. Deze blog haalt jou over om intrudertesten uit te laten voeren bij jouw organisatie.   

Maar eerst: wat is het?

Een intrudertest is een methode die in de 19e eeuw voor het eerst werd gebruikt door het leger. Doormiddel van intrudertesten testten militaire eenheden elkaar op kwetsbaarheden. Tegenwoordig wordt deze maatregel ook toegepast op organisaties. Het doel van intrudertesten bij organisaties is het achterhalen van kwetsbaarheden op het gebied van beveiliging. Dit wordt gedaan door de organisatie ongezien binnen proberen te dringen.

AVAQ voert intrudertesten uit bij organisaties (ondernemers en publieke gebouwen) met als doel om kwetsbaarheden op het gebied van fysieke beveiliging inzichtelijk te maken. Door informatie te verzamelen proberen we ongezien een organisatie binnen te dringen en/of informatie of bedrijfseigendommen weg te nemen. Hierbij maken wij onder andere gebruik van de volgende technieken:

  • Locatiebezoek (observatie): door de locatie te bezoeken en gedragingen van medewerkers te observeren stellen we vast wat voor type personen de organisatie doorgaans bezoeken, zodat wij tijdens de intrudertesten een soortgelijke benadering kunnen inzetten;
  • OSINT: deze afkorting staat voor Open Source Intelligence. Via open bronnen proberen wij informatie over de organisatie te verzamelen;
  • Voice-phishing: wij proberen informatie te verkrijgen door met een smoes naar de organisatie te bellen;
  • Spoofing: met vervalste e-mailadressen of telefoonnummers proberen wij medewerkers informatie door te laten geven of een bepaalde actie uit te laten voeren.
Intrudertesten

Dit levert intrudertesten op voor jouw organisatie

Na afloop van de intrudertesten worden de bevindingen in kaart gebracht. Op basis van deze bevindingen kunnen passende maatregelen worden geïmplementeerd, zodat de bedrijfsveiligheid in jouw organisatie kan worden verbeterd. Daarnaast kunnen de uitkomsten worden besproken met de betrokken medewerkers om zo het bewustzijn te vergroten. Door het uit laten voeren van intrudertesten kom je er achter of de huidige geïmplementeerde maatregelen in de organisatie effectief zijn. Moeten er naar aanleiding van de bevindingen aanpassingen worden gedaan in de beveiliging? Dan helpt AVAQ graag bij het opstellen en implementeren van een passend beveiligingsplan voor jouw organisatie.

AVAQ is specialist in het uitvoeren van intrudertesten en het opstellen en implementeren van beveiligingsplannen. Neem voor vragen of meer informatie vrijblijvend contact met ons op.

Actueel

Meer avaq actueel

De Europese Dag van de Privacy

28/01/2023

Vandaag, 28 januari, is het de dag van de privacy. De dag waar we even […]

Lees meer

Daniël de Jong nieuw bestuurslid Vereniging Beveiligingsprofessionals Nederland (VBN)

23/01/2023

Op dinsdag 17 januari is Daniël de Jong toegetreden tot het bestuur van Vereniging Beveiligingsprofessionals […]

Lees meer

Test je kennis over de RI&E!

24/06/2021

Afgelopen maandag is de Week van de RI&E van start gegaan. Deze hele week staat in het teken van de risico-inventarisatie en -evaluatie (RI&E). Ben jij een beetje op de hoogte van alles omtrent de RI&E? Test jouw kennis vandaag nog in deze blog! Klik op onderstaande afbeelding om naar de quiz te gaan. 

Fouten gemaakt? Onderstaande links verwijzen naar meer informatie over de onderwerpen uit de test: 

De adviseurs van AVAQ helpen jou bij het opstellen én implementeren van een juiste RI&E voor jouw organisatie. Samen met de eventuele preventiemedewerker kijken wij naar de volledige organisatie, zodat er een passende RI&E kan worden opgesteld. 

Vragen naar aanleiding van de testvragen over de RI&E? De adviseurs van AVAQ kunnen helpen bij het opstellen van een RI&E voor jouw organisatie. Neem vrijblijvend contact met ons op voor meer informatie.  

Actueel

Meer avaq actueel

De Europese Dag van de Privacy

28/01/2023

Vandaag, 28 januari, is het de dag van de privacy. De dag waar we even […]

Lees meer

Daniël de Jong nieuw bestuurslid Vereniging Beveiligingsprofessionals Nederland (VBN)

23/01/2023

Op dinsdag 17 januari is Daniël de Jong toegetreden tot het bestuur van Vereniging Beveiligingsprofessionals […]

Lees meer