BEGRIPPENLIJST CYBERSECURITY
De wereld van security en privacy kent veel complexe begrippen en vakjargon. Op deze pagina leggen we de belangrijkste termen uit.
De wereld van cybersecurity en informatieveiligheid kent aardig wat complexe begrippen en vakjargon, en een aanzienlijk deel van de vocabulaire wordt bovendien opgemaakt door woorden die zich niet gemakkelijk uit het Engels laten vertalen. Begrippen die voor vakspecialisten gesneden koek zijn, maar voor organisaties en medewerkers die aan de slag willen met informatieveiligheid vaak nog onbekend zijn. Awareways stelt de menskant van security en privacy centraal, dus we vinden het uiteraard belangrijk dat medewerkers van iedere organisatie weten waar we het over hebben. Om een brug te slaan tussen onze vakspecialisten en onze klanten hebben we op onze website een begrippenlijst aangelegd waarin we de belangrijkste termen en begrippen van een heldere definitie hebben voorzien.
Tweefactor authenticatie
2FA is een extra veiligheidslaagje voor je wachtwoord waarmee je het risico dat een hacker toegang krijgt tot je online accounts vermindert door aan dat wachtwoord een tweede stap toe te voegen, zoals de fysieke beschikbaarheid van je mobiele telefoon. Je wordt dan naast invoer van je wachtwoord ook gevraagd om een code die op je telefoon verschijnt.
Veel van de grootste websites ter wereld hebben 2FA gemakkelijk beschikbaar gesteld vanuit de beveiligingsinstellingen van de accounts, maar dan moet je die functie wel zelf benutten. De gemakkelijkste manier om je even in te lezen en ermee aan de slag te gaan, is via de website turnon2fa.com
Antivirus software
Antivirussoftware is een type programma ontwikkeld om computers te beschermen tegen malware zoals virussen, computerwormen, spyware, botnets, rootkits en keyloggers. Antivirusprogramma’s zorgen dat gevaarlijke software opgespoord, gescand en indien nodig van je computer verwijderd wordt, maar deze programma’s komen in vele soorten en maten, waaronder gratis versies en betaalde abonnementen. Het hoofddoel is om computers te beschermen en virussen te verwijderen als ze eenmaal zijn gedetecteerd, maar een garantie is dat niet. Technische hulpmiddelen zoals antivirusprogramma’s gaan altijd hand in hand met menselijk handelen; zie ook ‘human factor’.
Adware
Adware is een vorm van malware die zich in computers en computersystemen verschuilt, zonder dat de gebruiker er weet van heeft. De software verzamelt van binnenuit informatie om zo doelgerichte advertenties te kunnen tonen. Zie ook Malware.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens is de Nederlandse gegevensbeschermingsautoriteit en het zelfstandig bestuursorgaan dat bij wet als toezichthouder is aangesteld voor het toezicht op het verwerken van persoonsgegevens (zie ook ‘persoonsgegevens’). Op 1 januari 2016 werd de controle op de Wet bescherming persoonsgegevens (Wbp, de voorloper van de AVG – zie ook ‘AVG’) de taak van de Autoriteit Persoonsgegevens (AP), dat in die hoedanigheid sinds 25 mei 2018 vervolgens toezicht houdt op naleving van de AVG.
Bedrijven en overheden die persoonsgegevens verwerken zijn wettelijk verplicht om een ernstig datalek direct bij het AP te melden. Daarnaast heeft het orgaan boetebevoegdheid, wat betekent dat overtredingen financieel belast kunnen worden. Hoewel het kerndoel is om voorlichting te geven over privacyvraagstukken, is onderzoek en handhaving van de AVG een belangrijke rol geworden. Boetes voor het niet voldoende volgen van de wetgeving of het niet melden van een ernstig datalek kunnen stevig oplopen.
AVG
AVG: Algemene verordening gegevensbescherming, de privacywetgeving die geldt in de gehele EU en in Nederland de opvolger is van de Wet bescherming persoonsgegevens. Toezichthouder op de AVG is de Autoriteit Persoonsgegevens (AP).
De AVG is sinds 25 mei 2018 van kracht, dus inmiddels zijn de benodigde procesaanpassingen ongetwijfeld uitgevoerd. Maar zijn jouw medewerkers ook volledig op de hoogte van hun rol? Belangrijker, snappen ze dat zij de voornaamste schakel zijn bij het beschermen van persoonsgegevens en het voorkomen van een datalek?
Awareways biedt een AVG leermodule waarbij de focus volledig op de gebruiker ligt. Jouw collega die uiteindelijk de finale keuze maakt in de verwerking van privacygevoelige informatie. Om herkenbare situaties te creëren is de AVG leermodule van Awareways op detailniveau aan te passen naar jouw dagelijkse situatie.
Awareness
Awareness zouden we in een volledig Nederlandse versie van een begrippenlijst ook kunnen scharen onder de B van bewustwording én de B van beveiligingsbewustzijn; de mate waarin mensen risico’s herkennen en zich ervan bewust zijn dat deze de veiligheid van informatie in gevaar kunnen brengen.
Awareways spreekt bij awareness met name over informatiebewustzijn: welke gegevens verwerken we dagelijks, hoe kwetsbaar en waardevol is die informatie en vooral: hoe kunnen we daar voorzichtiger mee omgaan?
Informatiebewustzijn is in de praktijk lastig te definiëren. Natuurlijk kun je in kaart brengen wat er op de werkvloer gebeurt en welke kennis er bij medewerkers aanwezig is. Wordt er verstandiger omgegaan met wachtwoorden, hoe vatbaar is men voor phishing, et cetera. Maar wat zijn de factoren die samen ‘informatiebewustzijn’ opmaken? En ook belangrijk: wat levert een investering in het verhogen ervan op in termen van daadwerkelijke gedragsverandering? Een hoog niveau van informatiebewustzijn betekent namelijk niet per se dat er ook naar gehandeld wordt (Awareness is niet gelijk aan gedrag!). Daarom heeft Awareways uitgebreid onderzoek gedaan naar awareness en gedragsverandering.
Beveiliging
Alle maatregelen die nodig zijn om beschermd te zijn tegen schadelijke invloeden. We maken daarbij onderscheid tussen fysieke beveiliging -bijvoorbeeld voorkomen dat onbevoegden een gebouw kunnen betreden of een werkplek kan benaderen- en digitale beveiliging, het beschermen van digitale systemen. Zie voor die laatste categorie ook Cybersecurity.
Informatie is van grote waarde en de bescherming ervan wordt steeds belangrijker. Natuurlijk nemen organisatie al de noodzakelijke maatregelen om gegevens goed te beschermen, maar met technische oplossingen alleen zijn we er niet. Want de belangrijkste schakel in de beveiligingsketen, dat zijn we gewoon zelf.
BYOB: Bring Your Own Device
Het gebruik van persoonlijke apparatuur zoals laptops, telefoons en tablets tijdens je werk is steeds vanzelfsprekender. Dat kan bijdragen aan de productiviteit, maar een zogeheten BYOD-beleid (Bring Your Own Device) heeft ook nadelen. De IT-afdeling heeft bijvoorbeeld geen inzicht in de beveiligingsmaatregelen van jouw apparatuur, terwijl ongeveer 70 procent van de kwetsbaarheden binnen bedrijven is gerelateerd aan de eindgebruiker. Werknemers koppelen steeds vaker eigen apparatuur aan het bedrijfsnetwerk. Doordat die devices meestal onvoldoende beheerd en beveiligd zijn vormen ze voor cybercriminelen de snelste toegangspoort tot bedrijfsdata.
Als je toestemming hebt om een eigen apparaat te gebruiken, zorg er dan voor dat je apparaat ge-update is, dat het goed beveiligd is met een sterk wachtwoord of pincode, dat er een actuele virusscanner op geïnstalleerd is en dat andere gebruikers van het apparaat geen toegang hebben tot gevoelige informatie.
CISO
CISO staat voor Chief Information Security Officer. Weet in jouw organisatie wie de CISO is, want hij of zij is naast de Servicedesk of IT-Helpdesk hét aanspraakpunt voor vragen, opmerkingen of meldingen rond informatieveiligheid.
Cloud
De cloud is een netwerk van computers met software en data waarvan de toegang via internet gedeeld kan worden, met als voornaamste toepassingen bestanden opslaan en delen.
De cloud staat los van bestanden op je eigen computer, want dan spreken we van lokale opslag. Het gaat specifiek om bestanden die niet op je eigen netwerk staan, waarbij je data raadpleegt die elders staat opgeslagen, doorgaans in grote serverparken en datacentra aan elkaar gekoppeld via het internet. De cloud en internet zijn daarmee onlosmakelijk aan elkaar verbonden.
Organisaties worden steeds afhankelijker van cloudproviders. Bijna de helft van de organisaties (48 procent) maakt gebruik van meerdere cloud service providers waarbij Amazon Web Services (AWS), Microsoft Azure en IBM het meest populair zijn, zo bleek uit onderzoek van Thales. Gemiddeld maken organisaties gebruik van drie cloudomgevingen, maar ruim een kwart (28 procent) gebruikt er zelfs vier of meer.
Hoewel meerdere organisaties meer dan één cloudprovider hebben, beseft minder dan de helft (46 procent) dat ze als gevolg hiervan kwetsbaarder zijn voor cyberaanvallen.
Compliance
Met compliance wordt aangeduid dat in overeenstemming met de geldende wet- en regelgeving wordt gewerkt, en het nakomen daarvan door personen of organisaties.
Organisaties zijn met name tot de ingangsdatum van de AVG, inmiddels alweer twee jaar geleden, druk bezig geweest om compliant te zijn aan de privacywetgeving. Die hype is inmiddels wel voorbij, maar het is nu aan bedrijven om zich in te zetten om AVG-compliant te blijven. Er komt namelijk steeds meer nadruk te liggen op handhaving, dus moeten organisaties scherp blijven op hun taken en verantwoordelijkheden.
Zijn alle medewerkers zich bewust van hun rol bij informatiebeveiliging? Wat zijn de gangbare normen? Is de organisatie voldoende bewust van de verantwoordelijkheden en potentiële bedreigingen? Hoe is het voorbeeldgedrag van het management? Awareways helpt je graag om het informatieveiligheidsbeleid én het daarbij behorende gedrag op orde te hebben.
Cookie
Een cookie is een klein tekstbestand dat bij het eerste bezoek aan deze website wordt opgeslagen in de browser van je computer, tablet of smartphone. Puur technisch gezien is dat een stukje data tussen een server en een browser, waarmee de server kan herkennen en bijhouden wat de gebruiker in het verleden gedaan heeft, zoals eerdere webbezoeken, voorkeuren en interesses. Dat kan voor marketingdoeleinden zeer interessant zijn. Daarom zijn cookies en een verantwoord cookie-beleid een belangrijk onderdeel van privacy.
Awareways gebruikt cookies met een puur technische functionaliteit. Deze zorgen ervoor dat de website naar behoren werkt en dat bijvoorbeeld jouw voorkeursinstellingen onthouden worden. Deze cookies worden ook gebruikt om de website goed te laten werken en deze te kunnen optimaliseren.
Cyberaanval
Een cyberaanval is een manier voor fraudeurs, hackers en terroristen om persoonlijke of kwetsbare informatie te verkrijgen of om computersystemen of -netwerken onklaar te maken. Concreet is een cyberaanval iedere poging om ongeautoriseerde toegang te verkrijgen tot data om deze bloot te stellen, te stelen, te wijzigen of te vernietigen. Cyberaanvallen komen voor in verschillende soorten en maten, van een phishing e-mail of een computervirus tot een hack of DDoS-aanval. Het grootste deel van beveiligingsincidenten wordt echter niet veroorzaakt door aanvallen van buitenaf of technisch falen van ondersteunende systemen, maar door menselijke fouten. Niet voor niets hebben we het vaak over de rol die elke medewerker in een organisatie moet spelen om de juiste zorg te dragen voor informatieveiligheid en de bescherming van vertrouwelijke gegevens, zowel bedrijfsgevoelige informatie als persoonsgegevens. Lees daarom ook onze 5 tips tegen cyberrisico’s van binnenuit.
Cyberhygiëne
Cyberhygiëne: het vrijhouden van netwerken en systemen van infecties en vermijden van besmettingshaarden. Me andere woorden, wat minimaal nodig is om een informatienetwerk te beveiligen. Bijvoorbeeld het automatisch vergrendelen van een digitaal systeem als het een bepaalde tijd niet gebruikt wordt, meerfactorauthenticatie, het maken van back-ups, het gebruik van anti-virus software en het aansturen op veilig gedrag van personeel.
Datalek
We spreken van een datalek in iedere situatie waarin persoonsgegevens onbedoeld naar buiten komen. Bij het lekken van andere zakelijke gegevens spreken we van een beveiligingsincident.
Een datalek hoeft niet het gevolg te zijn van een beveiligingsprobleem: informatie kan ook op een andere manier lekken, bijvoorbeeld bij verlies, diefstal of een verkeerd geadresseerde e-mail. Meld diefstal, verlies of ongeoorloofde openbaarmaking van vertrouwelijke informatie altijd onmiddellijk bij de Servicedesk of bijvoorbeeld de CISO. De Privacy Officer heeft binnen de regels van de wetgeving 72 uur om een datalek bij de AP door te geven, dus direct handelen – ook intern – is cruciaal!
Encryptie
Encryptie betekent versleutelen: informatie onbegrijpelijk of ontoegankelijk maken voor anderen.
Versleutel gegevens met een software- en/of hardwareoplossing die past bij het type informatie en het doel van de opslag of verzending, zodat de data veilig wordt opgeslagen of verstuurd. Mocht de beveiliging tekortschieten en de bestanden toch gestolen of onderschept worden, dan voorkomt encryptie toegang tot data. Gebruik geen onveilige usb-sticks, sla belangrijke gegevens niet zomaar op de schijf van je laptop op en verstuur nooit vertrouwelijke data via e-mail of opslagplatforms in de cloud zoals Dropbox of WeTransfer.
Meld diefstal van bedrijfshardware én je eigen apparatuur altijd bij de IT-servicedesk, want criminelen die toegang krijgen tot gevoelige informatie kunnen voor veel problemen zorgen. Ook als dat jouw persoonlijke gegevens zijn, want ze kunnen jouw account(s) misbruiken of bijvoorbeeld vanuit jouw naam mailen om gevoelige bedrijfsinformatie te achterhalen.
Functionaris Gegevensbescherming
De AVG biedt een gemoderniseerd, op verantwoording gebaseerd kader voor de naleving van regels inzake gegevensbescherming in Europa. Functionarissen voor gegevensbescherming zullen in dat nieuwe juridische kader voor veel organisaties centraal staan om naleving van de bepalingen mogelijk te maken. Met andere woorden, een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de privacywetgeving.
Het concept FG is niet nieuw. Hoewel de Wbp het als huidige wetgeving (lees: tot 25 mei 2018) geen enkele organisatie verplicht om een functionaris voor gegevensbescherming aan te stellen, is het de voorbije jaren in verschillende lidstaten van de EU toch de gewoonte geworden om een functionaris voor gegevensbescherming aan te stellen. De functie wordt gezien als de hoeksteen van de verantwoording, waarbij het aanstellen van een FG naleving van privacywetgeving kan vereenvoudigen en bovendien een concurrentievoordeel voor bedrijven kan vormen, vanuit het idee dat privacy dé business case is van nu.
GDPR
General Data Protection Regulation, de Europese privacywetgeving en de vertaling van AVG. Zie ook AVG.
Gijzelsoftware
Gijzelsoftware is de Nederlandse vertaling van ransomware, wat vervolgens weer een combinatie van ‘ransom’ (losgeld) en ‘malware’ is. Malware (zie verderop) is een samentrekking is van het Engelse ‘malicious’ (kwaadaardig, schadelijk) en ‘software’. Malware is een verzamelterm voor alle software die gebruikt wordt om computers te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private systemen.
Human Factor
Technologie wordt niet op een veilige manier gebruikt, men is zich onvoldoende bewust van de kwetsbaarheid van informatie en de juiste gedragsverandering is een serieuze uitdaging – dat is in het kort de strekking van de ‘human factor’ in informatieveiligheid. Tegelijkertijd zien we medewerkers niet als zwakke schakels, maar als de sleutel om veiliger werken in iedere organisatie vanzelfsprekender te maken. Activeer die human firewall! (zie ook Kwetsbaarheid).
Informatieveiligheid
Een informatieveiligheidsbeleid is tweeledig. Het geeft in de eerste plaats handvatten voor de rol van Informatieveiligheid in het algemeen, waarbij de gehele organisatie moet kijken hoe er met gegevens wordt omgegaan. Dat vraagt naast de aandacht van het IT-team en het management om samenwerking tussen alle afdelingen in het gehele bedrijf. Je ziet het namelijk overal, van de kleine mkb’ers tot de grote multinationals, maar ook bij overheidsinstanties: verregaande automatisering maakt ons erg afhankelijk van IT, maar dat besef en de invloed op de dagelijkse werkzaamheden is (nog) niet (altijd) vanzelfsprekend.
Daarnaast zien we een belangrijke focus op de AVG, de Europese privacywetgeving die in mei 2018 van kracht werd (zie ook AVG). Veel organisaties doen er alles aan om de praktische zaken op orde te krijgen. Denk aan het in kaart brengen van datastromen en het terugbrengen van al die gegevens tot alleen het noodzakelijke. Welke informatie heb je, mag je die hebben, en op welke grond mag je die hebben? Waar sla je ze op en wat doe je ermee? Een goed informatieveiligheidsbeleid is daarin niet alleen noodzakelijk, maar biedt ook kansen.
Integriteit
Integriteit heeft meerdere definities. Bij integriteit van data spreken we van juiste en volledige informatie (en verwerking), bij personen gaat het om betrouwbaarheid en bij systemen om correct functioneren.
Iedereen verleent wel eens een gunst aan een ander. Maar wat doe je als je buurman vraagt of je even de status van een dossier kunt achterhalen? Doe je dit dan?
Toegang tot informatie geeft namelijk macht, en in je werk heb je te maken met veel gevoelige en strikt vertrouwelijke informatie. Denk bijvoorbeeld aan toegang tot dossiers en koersgevoelige informatie. Je hebt een bepaald mandaat om deze informatie te verwerken, maar hoe ga jij om met deze macht? In de Awareways leermodule Integriteit gaan we er dieper op in en behandelen we onder andere de diverse integriteitsschendingen en de risico’s hiervan.
ISO 27001
De ISO 27001, vastgesteld door een onafhankelijke beoordelaar, is een garantie dat de vertrouwelijkheid en integriteit van data – bedrijfskritische informatie, maar bovenal ook klantgegevens – volgens de strenge ISO-normen zijn geborgd. ISO staat voor de Internationale Organisatie voor Standaardisatie, een samenwerkingsverband van nationale standaardisatieorganisaties in 163 landen dat verantwoordelijk is voor het vaststellen van normen.
In de ISO 27001-standaard wordt beschreven hoe informatiebeveiliging procesmatig ingericht zou kunnen worden. Deze internationale norm is van toepassing op alle typen organisaties en specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de betreffende organisatie.
Directeur Maarten Timmerman: “Als specialist op het gebied van security awareness willen we als snel groeiende organisatie zelf ook voorop lopen op het gebied van het veilig houden van al onze gegevens. Bovendien zijn veel van onze klanten gecertificeerd, en heeft het als organisatie doorlopen van dit traject ons naast meer veiligheid ook eerstehands inzicht gegeven in alle bijbehorende aspecten: Practise what you preach!
Kwetsbaarheid
Met ‘kwetsbaar’ wordt bedoeld ‘erg gevoelig’, of ‘vatbaar voor onheil’. Een kwetsbaarheid in de wereld van cybersecurity is daarmee iedere zwakke plek in een systeem, software of hardware, over het algemeen veroorzaakt door een programmeerfout, waar kwaadwillenden hun voordeel mee kunnen doen. Maar die kwetsbaarheid kan ook de menselijke rol in de keten zijn. Er wordt namelijk steeds meer geïnvesteerd in informatieveiligheid, maar de mens is nog altijd de zwakste schakel. Technologie wordt niet op een veilige manier gebruikt, men is zich onvoldoende bewust van de kwetsbaarheid van informatie en de juiste gedragsverandering is een serieuze uitdaging.
Awareways ziet de menselijke factor niet als zwakke schakel, maar als hét startpunt om informatieveiligheid te verhogen. Er zijn veel slimme maatregelen om de human firewall te activeren, die bovendien lang niet altijd verlangen dat je technisch onderlegd bent of serieus verstand hebt van IT. Denk aan het gebruik van sterke wachtwoorden, het structureel vergrendelen van je computerscherm als je niet achter je computer zit, of weten hoe je om moet gaan met phishing en andere vormen van social engineering.
Malware
Malware is een samentrekking van het Engelse malicious (=kwaadwillig) software, een verzamelterm voor elke software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen.
Malware wordt vaak ingezet bij phishing (zie ook Phishing verderop). E-mails die van je bank of creditcardbedrijf lijken te zijn, kunnen afkomstig zijn van een hacker die toegang probeert te krijgen tot je account. Door te klikken op een link in een van deze e-mails kan je naar een valse website worden gestuurd die is ontworpen om aanmeldingsgegevens of financiële informatie te stelen, of kan er malware of spyware op het apparaat worden geïnstalleerd. Het is daarom beter als je de URL van de financiële instelling rechtstreeks in de browser typt.
NCSC
Nationaal Cyber Security Centrum. Onderdeel van het ministerie van Justitie en Veiligheid. In dit cen trum komt alle informatie over cyberveiligheid samen. Het centrum werkt voor de Rijksoverheid en voor processen die het belangrijkst zijn in Nederland. Bijvoorbeeld elektriciteit, toegang tot schoon drinkwater en vitale onderdelen van de samenleving zoals de infrastructuur, zowel fysiek als digitaal.
Nulmeting
Een nulmeting brengt de mate van informatiebewustzijn in kaart. Tegelijkertijd daagt het medewerkers uit om stil te staan bij het eigen kennisniveau en gedrag. Deelnemen aan het security awareness onderzoek is daarmee een awareness interventie op zich.
De Awareways nulmeting geeft concrete resultaten, zoals:
- de huidige staat van informatiebewustzijn;
- inzicht in culturele aspecten, waaronder de sociale norm, relevantie en gedrag;
- praktische speerpunten voor een security awareness vervolgprogramma.
Persoonsgegevens
Als we het hebben over privacy in de context van de AVG en informatieveiligheid, dan spreken we vooral over persoonsgegevens en de bescherming daarvan.
Persoonsgegevens zijn alle gegevens die informatie over een persoon kunnen verschaffen. Die komen in diverse soorten. Ten eerste zijn dat gegevens die algemene informatie bieden over een persoon, zoals naam, geboortedatum en geslacht. Ook gegevens die indirect iets over je zeggen, zijn persoonsgegevens. Denk daarbij aan je adres, maar ook aan je salaris of iets ogenschijnlijk ‘kleins’ als het IP-adres van je computer, dat tot jou te herleiden is.
De wet onderscheidt daarnaast bijzondere persoonsgegevens, omdat misbruik ervan privacy ernstig kan schaden – bijvoorbeeld door fraude met jouw identiteit. Onder bijzondere persoonsgegevens vallen onder meer je pasfoto en handtekening, maar ook gevoelige gegevens zoals je godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid en strafrechtelijk verleden.
Phishing
Phishing is een verzamelterm voor (internet)fraude, waarbij criminelen je door middel van namaak e-mails en diverse trucs proberen te verleiden om vertrouwelijke informatie prijs te geven. Maar liefst 91 procent van datalekken start met een phishing mail, zo bleek uit recent onderzoek, maar aanvallers gebruiken ook bijvoorbeeld ook telefoon, sms en social media.
Awareways phishing-software biedt een online platform waarmee aanvallen op een simpele en kosteneffectieve manier kunnen worden gesimuleerd. We zijn ervan overtuigd dat we met ons team van experts de juiste aanpak hebben om iedere organisatie weerbaar te maken tegen phishing en andere digitale dreigingen.
Privacy
Privacy staat voor persoonlijke vrijheid, zelf bepalen wie welke informatie over jou krijgt en de wens om onbespied en onbewaakt te kunnen leven. Dat heeft in de moderne werkomgeving een belangrijke plaats ingenomen, omdat privacy niet alleen gaat om wat je in je vrije tijd doet en welke foto’s je deelt op Facebook, maar ook om de omgang met persoonsgegevens in je dagelijkse werkzaamheden.
Die gegevens zijn namelijk door de Autoriteit Persoonsgegevens (AP) wettelijk beschermd om misbruik te voorkomen. In de AVG wordt bovendien een grote nadruk gelegd op de documentatie die een bedrijf bij moeten houden om aan te tonen dat er aan deze verantwoordingsplicht voldoen wordt.
Privacy impact assesment
De DPIA of Data Protection Impact Assessment is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Onder de Algemene verordening gegevensbescherming (AVG) kan het voor organisaties verplicht zijn om een DPIA uit te voeren.
Een DPIA is een handige administratieve tool om privacyrisico’s van gegevensverwerking in kaart te brengen, waar nodig te handelen om die risico’s te verkleinen en daarmee de regels van de AVG te volgen. Om die reden is het uitvoeren van een DPIA – net als het aanstellen van een FG – ook interessant voor organisaties die dat niet verplicht zijn. Het stimuleert namelijk om in een vroeg stadium na te denken over de impact van het project op de privacy, maakt inzichtelijk wat de risico’s zijn voor de personen wiens gegevens verwerkt worden en voor de organisatie zelf, en of er wellicht een aanpak is die minder gevolgen heeft voor de privacy van alle betrokkenen.
Ransomware
Een groeiend aantal cybercriminelen verdient zijn brood met het besmetten van computers, netwerken en mobiele telefoons met ransomware. Dat is kwaadaardige software waarmee apparaten of bestanden worden versleuteld, waardoor je zelf niet meer bij je bestanden kunt. Dat kan tot grote financiële schade leiden, maar ook tot verliezen met emotionele waarde – wanneer je als particulier niet meer bij de foto’s op je laptop kunt, bijvoorbeeld. Vervolgens kloppen de daders aan met hun losgeldeisen.
Ransomware is een combinatie van ‘ransom’ (losgeld) en ‘malware’, wat op zijn beurt een samentrekking is van het Engelse ‘malicious’ (kwaadaardig, schadelijk) en ‘software’. Malware is een verzamelterm voor alle software die gebruikt wordt om computers te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private systemen.
Security awareness engine
De Security Awareness Engine van Awareways wordt ingezet als de spil van een security awareness programma. Een interactieve tool waarin medewerkers met inhoudelijke kennis en stimulerende gamificatie met elkaar de strijd aan kunnen gaan om het collectieve niveau van informatiebewustzijn op het juiste niveau te krijgen.
Op zoek naar een tool die verder gaat dan e-learning? Een tool die kennis overbrengt en deelnemers de uitdaging biedt om zichtbaar te groeien van ‘protector brons’ naar ‘protector diamant’? Dan is de Security Awareness Engine iets voor jou. Technische maatregelen, nieuwe inzichten, nieuwe processen, nieuwe wet- en regelgevingen; de awareness engine is flexibel en actueel aan te passen en uit te breiden.
Vishing
Cybercrime evolueert, niet als iedere andere vorm van misdaad. Met andere woorden: geen kluis zo veilig of er duikt wel iemand op die ‘m gekraakt krijgt. Vishing of ‘voice phishing’ (zie Phishing) speelt daarin een serieuze rol, en is een vorm van fraude waarbij social engineering via de telefoon wordt ingezet om toegang te krijgen tot persoonlijke persoonlijke en financiële informatie met als doel een financiële beloning. Benader rare telefoontjes daarom met met dezelfde gepaste tred als phishing e-mail.
Wachtwoordmanager
Software waarin een gebruiker de combinatie van wachtwoord en gebruikersnaam kan opslaan, in een soort digitale kluis. Vaak kan de software ook zelf wachtwoorden aanmaken, websites herkennen en automatisch invullen.
Awareness campagnes en informatiebewustzijntrainingen besteden veel aandacht aan het belang van sterke wachtwoorden. Dat is niet voor niets. Uit een analyse van SplashData is gebleken dat de cijfercombinatie ‘123456’ in het voorbije jaar nog altijd het meestgebruikte wachtwoord was, voor het zesde(!) jaar op rij.
Paswoorden maken en onthouden kun je dus het beste aan wachtwoordmanagers overlaten. Veilige apps die fungeren als digitale kluis zijn KeePass voor Windows en 1Password voor Apple. Die kunnen meteen de sterkte van je wachtwoorden testen.
Wangiri-fraude
Wangiri is een vorm van telefonische oplichting waarbij geprobeerd wordt om mensen terug te laten bellen naar dure betaalnummers in het buitenland, met stevige telefoonrekeningen als gevolg. ‘Wangiri’ is Japans en betekent zoveel als ‘één keer overgaan en stoppen’. Neem niet op en bel zeker niet terug! | Meer weten? Lees onze blog.
Zero-day
Qua definitie is zero-day doorgaans het eerste deel van een term, zoals zero-day exploit en zero-day vulnerability. In de praktijk wordt de term vaak gebruikt om over een zero-day attack (of zerodayattack) te praten; een computerdreiging die probeert misbruik te maken van zwakke elementen in de software. Een zero-day-exploit is software die een digitaal gat in de beveiliging benut voor het uitvoeren van een aanval, een zero-day-vulnerability is de betreffende zwakke plek zelf.
Een zerodayattack is bijzonder omdat de zwakke plek (nog) niet bekend is bij de gebruiker, maar ook niet bij de leverancier van de betreffende software, en er dus (nog) geen concrete bescherming tegen is. Die volgt doorgaans na ontdekking met een patch, waarna een update ervoor kan zorgen dat het gat alsnog gedicht wordt.