Doe zelf een audit van je IT

Wordt IT‑beheer uitgevoerd door een competente interne beheerder of door een gespecialiseerde externe MSP?
IT‑beheer vraagt om actuele kennis, omdat IT‑omgevingen en dreigingen razendsnel veranderen. Daarom moet beheer worden uitgevoerd met professionele beheer­tools, zodat werkzaamheden efficiënt en geautomatiseerd verlopen. Goed IT‑beheer draait niet alleen om het oplossen van problemen, maar juist om maximaal veilige instellingen, duidelijke rapportages en continue monitoring om risico’s tijdig te signaleren en te voorkomen.

 

Is er continu inzicht in alle systemen, beveiligingsstatus en kwetsbaarheden binnen de IT‑omgeving?
Actueel inzicht betekent dat de organisatie altijd een compleet en up‑to‑date beeld heeft van alle systemen, beveiligingsinstellingen en kwetsbaarheden. Dit omvat zicht op gebruikte hardware en software, de actuele beveiligingsstatus en de belangrijkste risico’s.

 

Voldoe je aantoonbaar aan de AVG en eventuele aanvullende klant‑ of branche‑eisen?
‘Aantoonbaar voldoen’ betekent dat je kunt laten zien dat je de AVG en eventuele extra klant‑ of branche‑regels echt naleeft. Denk aan duidelijk privacybeleid, verwerkerscontracten, passende beveiligingsmaatregelen en documenten die laten zien wat je doet. Goed IT‑beheer draagt hier sterk aan bij, omdat het zorgt voor veilige instellingen, actuele systemen en inzicht in risico’s.

 

Is er gestructureerd IT process voor nieuwe en vertrekkende medewerkers?
Bij de start van een werknemer moeten al zijn gegevens en al zijn rechten worden ingesteld. Daarnaast moet zijn werkplek worden ingericht en de juiste licenties worden toegewezen.
Als een werknemer het bedrijf verlaat moet zijn toegang worden geblokkeerd, zijn rechten worden verwijderd en alle licenties worden ingenomen voor hergebruik.

 

Hebben medewerkers uitsluitend toegang tot systemen en data die nodig zijn voor hun werk?
Medewerkers die meer toegang hebben dan nodig, vergroten de kans op fouten en datalekken. Door toegang te beperken, verklein je direct het risico op fouten, datalekken en misbruik. Het sluit bovendien aan bij wat auditors en steeds vaker ook verzekeraars verwachten.

Wordt voor alle accounts multi-factor authenticatie (MFA) gebruikt?
Alleen een gebruikersnaam en een wachtwoord zijn tegenwoordig niet meer voldoende. Cybercriminelen kunnen deze gegevens te makkelijk raden, kraken of stelen.
Multi‑factorauthenticatie (MFA) voegt daarom een extra beveiligingslaag toe naast het wachtwoord, bijvoorbeeld een code die op een telefoon wordt ontvangen.
Daardoor blijft een account beschermd, zelfs wanneer inloggegevens worden buitgemaakt.
Bij voorkeur staat MFA voor alle programma’s ingeschakeld.

 

Zijn alle werkplekken standaard versleuteld?
Versleuteling zorgt ervoor dat gegevens op een laptop of toestel onleesbaar blijven wanneer het apparaat kwijtraakt of wordt gestolen.
Windows (BitLocker) en Apple macOS (FileVault) bieden versleuteling standaard aan, maar deze moet wel actief worden ingesteld of centraal worden afgedwongen. Zonder deze instelling blijven apparaten onversleuteld en is data kwetsbaar.

 

Zijn alle apparaten met toegang tot bedrijfsdata centraal beheerd en beveiligd?
Wanneer apparaten centraal worden beheerd en beveiligd, kan worden gecontroleerd of ze up‑to‑date zijn, goed zijn beschermd en geen risico vormen voor bedrijfsdata. Centraal beheer helpt misbruik, datalekken en kwetsbaarheden te voorkomen. Het zorgt er bovendien voor dat beveiligingswijzigingen en verbeteringen snel en uniform kunnen worden doorgevoerd.

 

Worden besturingssystemen en applicaties regelmatig up-to-date gehouden?
Besturingssystemen en software moeten regelmatig up‑to‑date worden gehouden om bekende fouten en kwetsbaarheden te verhelpen. Cybercriminelen maken maximaal en actief gebruik van dergelijke bekende zwakke plekken. Regelmatige updates verkleinen het risico op misbruik en zorgen ervoor dat beveiligingsverbeteringen snel kunnen worden doorgevoerd.

 

Worden er back‑ups gemaakt van alle e‑mail en bedrijfsbestanden?
Back‑ups zorgen ervoor dat e‑mail en bedrijfsbestanden kunnen worden hersteld bij verlies of beschadiging. Een goede back‑up beschermt tegen dataverlies door fouten, cyberincidenten of verwijdering. Het terugzetten van back‑ups moet regelmatig worden getest om zeker te zijn dat herstel daadwerkelijk mogelijk is. Daarnaast moet herstel mogelijk zijn van eerdere versies of van bestanden die langer geleden zijn gewijzigd of verwijderd. Over het algemeen is hiervoor een retentieperiode van minimaal 30 dagen noodzakelijk.

 

Wordt de IT‑omgeving 24/7 gemonitord op verdachte activiteiten en afwijkend gedrag?
Cybercriminelen proberen steeds vaker via malware of het kapen van accountgegevens toegang te krijgen. Daarom is het essentieel om werkplekken en logingegevens continu te controleren op afwijkend gedrag. Deze monitoring moet 24/7 doorgaan, zodat verdachte activiteiten direct worden herkend en binnen enkele minuten kunnen worden geneutraliseerd.

 

Weten jij en je medewerkers wat zij moeten doen bij incidenten of datalekken?
Bij een incident of datalek is het belangrijk dat jij én je medewerkers weten wat er moet worden gedaan en bij wie dit moet worden gemeld. Datalekken moeten wettelijk worden gemeld. Snel en correct handelen helpt verdere schade te voorkomen. Als een datalek niet of te laat wordt gemeld, kan de directie hiervoor aansprakelijk worden gesteld.