Spelregel: beveiligingsmaatregelen: verschil tussen versies

Algemeen

In deze spelregels m.b.t. beveiligingsmaatregelen binnen Het Handje wordt een overzicht gegeven van de spelregels waar jij je als medewerker van Het Handje aan dient te houden, om ervoor te zorgen dat de organisatie veilig blijft, alsook de gevoelige informatie die wij verwerken. Denk hierbij aan bedrijfsgevoelige informatie, maar ook persoonsgegevens van onze klanten, medewerkers of studenten. Door deze maatregelen na te leven voorkomen we dreigingen, zoals phishing en malware.

Voordat wij kunnen uitleggen hoe wij de gegevens, waarover Het Handje beschikt, beveiligen, is het van belang om eerst duidelijk vast te stellen wat onder het begrip ‘informatiebeveiliging’ wordt verstaan. Onder informatiebeveiliging wordt verstaan:  het treffen en onderhouden van een samenhangend pakket aan maatregelen om de vier aspecten beschikbaarheid, integriteit en vertrouwelijkheid en veerkracht van de informatievoorzieningen te garanderen.  

In deze definitie wordt verwezen naar beschikbaarheid, integriteit, vertrouwelijkheid en veerkracht. Deze begrippen kunnen als volgt uitgelegd worden:

• Beschikbaarheid: de beschikbaarheid van informatie. Bepalend voor de beschikbaarheid van informatie is de mate waarin beveiligingsmaatregelen ervoor zorgen dat ICT-middelen ongestoord gebruikt kunnen worden.  

• Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid. Is informatie juist, volledig en actueel? Dit wordt bepaald door de mate waarin de beveiligingsmaatregelen de juistheid, volledigheid en actualiteit van gegevens, verwerkt in ICT-middelen, waarborgen.
• Vertrouwelijkheid: de mate waarin uitsluitend geautoriseerde personen de bevoegdheid en mogelijkheid hebben om toegang te verkrijgen tot de informatie. Dit al dan niet gereguleerd door (geautomatiseerde) procedures en/of technische maatregelen.
• Veerkracht: de mate waarin Het Handje over de mogelijkheden beschikt om dreigingen te identificeren, hierop te reageren en te herstellen na een informatiebeveiligingsincident. Om dit te bewerkstelligen kunnen zowel organisatorische als technische maatregelen getroffen worden.

Iedere categorie informatie kent zijn eigen eisen ten aanzien van de hierboven genoemde kwaliteitsaspecten. Sommige informatie is bijvoorbeeld zeer vertrouwelijk (persoonsgegevens van onze klanten), terwijl andere informatie juist is bedoeld om publiekelijk bekend te maken (informatie over lopende collecties van Het Handje). Bepaalde informatie heeft een hoge integriteitseis, terwijl andere informatie niet geverifieerd hoeft te zijn. Hetzelfde geldt voor beschikbaarheid. Voor sommige informatie geldt dat het essentieel is dat deze beschikbaar is, terwijl andere informatie als “aanvullend” of “niet noodzakelijk” kan worden aangemerkt.  

Per categorie informatie dient er daarom bepaald te worden in welke mate beschikbaarheid, integriteit, vertrouwelijkheid en veerkracht van belang zijn, om de juiste beveiligingsmaatregelen te kunnen treffen.  

Let op: het volledige informatiebeveiligingsdocument dat ten grondslag ligt aan deze spelregels kan opgevraagd worden bij Pieter Goudsmit. Op deze Wiki-pagina zijn de belangrijkste spelregels op een rij gezet die volgen uit dit document.

Spelregel 1: verantwoord gebruik apparatuur

Gebruik apparatuur verantwoord.

Dit is een brede spelregel maar betekent praktisch dat je:

• software alleen installeert als het echt nodig is en bij voorkeur via de website van de ontwikkelaar.
• updates dient te installeren. Zowel voor individuele programma’s als voor het besturingssysteem.
• je laptop dient te vergrendelen als je bij je laptop wegloopt.

Spelregel 2: gebruik van wachtwoorden

Gebruik sterke en veilige wachtwoorden (en deel ze niet!).

Deze spelregel houdt in dat je geen wachtwoorden gebruikt, zoals ‘1234’, je eigen naam of je geboortedatum. Gebruik daarnaast wachtwoorden niet meer dan één keer en wijzig ze periodiek. Het gebruik van een zogeheten ‘password manager’ kan handig zijn om overzicht te houden over je wachtwoorden en kan een veilig gebruik ervan bevorderen.

Let op: twijfel je over de toereikendheid van jouw wachtwoord? Check dan de app Passmate en controleer jouw wachtwoord!

Zorg er ook altijd voor dat de tweestapsverificatie aanstaat wanneer de applicatie of het systeem dat je gebruikt dit ondersteunt. Tweestapsverificatie, ook wel 2FA (een vorm van multifactorauthenticatie), is een extra beveiligingsmaatregel. Met tweestapsverificatie heb je niet alleen een wachtwoord nodig om in te loggen, maar zul je bijvoorbeeld ook een code in moeten vullen die afkomstig is uit een bijbehorende authenticatie-app op je telefoon, of een code die je per sms ontvangt op jouw mobiele nummer.

Spelregel 3: vermijd onveilige verbindingen

Vermijd onveilige internetverbindingen als je buiten de Campus van Het Handje bent.

Gebruik nooit een onbekend/onbeveiligd/publiek Wifi-netwerk, maar maak buiten de Campus gebruik van je thuisaansluiting of een 4G hotspot.

Spelregel 4: pas op met externe tools

Gebruik geen externe tools behalve de tools die door Het Handje beschikbaar zijn gemaakt. Heb je toch specifieke wensen, neem dan contact op met het privacyaanspreekpunt.

Spelregel 5: pas op voor phishing (etc.)

Wees alert op verdachte e-mails, bijlages en websites. Reageer nooit op verzoeken om wachtwoorden of andere gevoelige gegevens te delen met derden.

Als hippe organisatie in het publieke oog is Het Handje een veel gezocht doelwit voor o.a. phishingmails. Twijfel je over de echtheid van een e-mail of website, open/bezoek deze dan niet.

Spelregel 6: meld incidenten in RegiServ

Meld (mogelijke) incidenten als je denkt dat er iets niet in de haak is via RegiServ, maar geef het ook aan wanneer je (per ongeluk) één van de spelregels niet na hebt kunnen leven. Ook wanneer iets geen datalek is, maar wel een beveiligingsincident, meld je dit in RegiServ.

Heb je vragen over deze beveiligingsmaatregelen, of gebruik je zelf nog een aanvullende goede maatregel die mogelijk ook handig is? Neem dan contact op met het privacyaanspreekpunt.