TOPIC te bepalen, beslissingen nemen en ook beseffen dat ze niet volledig machteloos zijn. De safeonweb1-site die we creëerden, vervult deze taak: het is een waardevolle bron van informatie en advies van de Belgische Cybersecurity Coalitie in samenwerking met het kabinet van de Eerste Minister, het VBO en enkele grote bedrijven. Begin uiteraard met de basisvoorzorgen die van toepassing zijn op elk computergebruik: uw gegevens globaal beschermen met een effectieve antivirussoftware, een goede firewall activeren en back-ups maken. Zorg vervolgens voor een gestructureerde aanpak zodat er doeltreffend kan worden opgetreden zonder verspilling van middelen en tijd. Probeer deze structuur volgens meerdere assen te structureren om de behoeften en benaderingen te verduidelijken. Maak vooraf een onderscheid tussen de informatie waarover u beschikt en de informatie die essentieel en kritisch is: de informatie die u in geen geval mag verliezen. Anders weet u niet wat u moet beschermen en hoe. En u riskeert uw organisatie onnodig te verstoren of gegevens niet op de correcte manier te beschermen. De eerste as die ik voorstel is die van de vertrouwelijkheid: selecteer uit de kritische informatie het gedeelte dat niet openbaar gemaakt mag worden. Contracten, productierecepten, diverse overeenkomsten... Dergelijke informatie wordt idealiter versleuteld (op voorwaarde dat u de encryptiesleutel niet vergeet!). De tweede as is continuïteit: u hebt gegevens die u moet kunnen raadplegen, die doorheen de tijd beschikbaar moeten zijn en die u altijd bij de hand moet hebben. In dit geval heeft encryptie geen zin. Integendeel, het verhoogt het risico van niet-continuïteit. U moet ervoor zorgen dat de informatie die u nodig hebt en zal hebben, er nog steeds is, hoewel u in de tussentijd wel tien keer van computer bent veranderd. De derde as is data-integriteit: belangrijke informatie zoals essentiële berekeningen, adresboeken, betalingsverklaringen, enz. In dit geval kan een corrupt bestand op een ramp uitdraaien. Hoe gaan we om met de AVG inzake beveiliging, aangezien deze verordening een zware verantwoordelijkheid legt bij bedrijven? G.A.: In het geval van de AVG moet u ergens anderen en hun gegevens op de een of andere manier tegen uzelf beschermen. Er bestaan principes, zoals het minimaliseren van data back-up, maar het is een vrij complexe en soms vage materie. Als een parkeerbedrijf bijvoorbeeld de kentekennummers van mijn klanten behoudt, dan moet deze onderneming het nut van de opslag ervan kunnen bewijzen. Bovendien moeten deze data volgens de AVG worden bijgewerkt: als een klant van kentekennummer verandert, moet u dat weten! Hier is er dus sprake van een dubbele verantwoordelijkheid: vraag u daarom af of het wel relevant is dergelijke gegevens te bewaren. Bij een overtreding riskeert u audits, justitie en boetes: wees dus voorzichtig. Beci organiseert trainingen over dit onderwerp: een aanrader. 1 https://www.safeonweb.be BECI - Brussel metropool -december 2018 29 Zou u KMO's adviseren om een beroep te doen op een gecertificeerde consultant? G.A.: Zeker bedrijven die geen IT-manager hebben of een tiental dagen per jaar op een externe raadgever vertrouwen. Als er geen IT-manager is, is zoiets vanzelfsprekend, maar een consultant zal u ook beschermen tegen mogelijk Georges Ataya Een KMO-zaakvoerder mag niet langer oordelen dat hij niet kan investeren in zijn IT. Hij moet over een minimale digitale strategie beschikken. Het is gewoon een kwestie van overleven. misbruik door de externe raadgever, die de neiging kan hebben om (te veel) onnodige diensten te verkopen of die u niet correct begeleidt in uw risicomanagement. Er is geen erkenning op dit gebied, maar wereldwijd worden IT-managementnormen gebruikt waaruit een KMOstandaard kan worden gecreëerd. Dit is mijn manier van werken. Er bestaan 37 IT-beroepen: projectmanagement, systeemverwerving, analyse, ontwikkeling ... Een zeer uitgebreid domein, dus. Vraag u daarom eerst af welk(e) beroep(en) een typisch bedrijf nodig heeft. Op deze vraag kan alleen een onafhankelijke consultant onpartijdig antwoorden. Hij evalueert het aantal processen waaraan het bedrijf moet voldoen en het aantal dagen dat daaraan moet worden besteed. Zo is alles strategisch gepland en gebudgetteerd, met veel lagere kosten dan die van een specifieke manager. Beveiliging moet worden gezien als een investering, als onderdeel van de IT-ontplooiing van een bedrijf. Ze wordt echter als een kost beschouwd. G.A.: Inderdaad. Al bijna 30 jaar profiteert de bedrijfswereld van de computertechnologie, wat aanleiding gaf tot een ongekende productiviteitstoename. Maar op een dag moeten we de prijs betalen voor de geoptimaliseerde controle, het bestuur en het beheer waardoor een veilige IT mogelijk blijft. Niemand anders zal dat voor ons doen. Een KMO-zaakvoerder mag niet langer oordelen dat hij niet kan investeren in zijn IT. Hij moet over een minimale digitale strategie beschikken. Het is gewoon een kwestie van overleven. ● D.R.
32 Online Touch Home