In­for­ma­tiema­na­ge­ment

Cybercriminaliteit neemt alsmaar toe, in diverse vormen:

• besmetting met ransomware (zoals cryptolockers), waarbij ‘losgeld’ moet betaald worden om opnieuw toegang te krijgen tot de ‘gegijzelde’ systemen of informatie
• datadiefstal
• wachtwoorddiefstal (voor bemachtiging of doorverkopen van data)
• manipulatie van financiële transacties
• afluisteren
• het toegankelijk maken van het systeem voor vervolgaanvallen
• verstoring van technologie

Veiligheidssoftware en controles (zoals antivirus) op alle IT-systemen en hardware is aanwezig en steeds up to date.

Een systeem van toegangscontrole voor bedienden en andere personen die toegang hebben tot gevoelige data is aanwezig.

De advocaat neemt volgende beveiligingsmaatregelen:

• Het netwerk, de servers en alle computers binnen kantoor zijn beveiligd, en informatie wordt beveiligd opgeslagen.
  
• Onbevoegden hebben geen toegang tot vertrouwelijke gegevens. De toegang tot software en bestanden is geregeld met het gebruik van een sterk persoonsgebonden gebruikersnaam en wachtwoord.
  
• Het kantoor houdt de geïnstalleerde software zo goed mogelijk up-to-date en geeft prioriteit aan beveiligingsupdates.
  
• Het kantoor installeert geen onnodige software en maakt geen gebruik van kwetsbare software, zoals Flash (in webbrowsers). Bij Adobe Acrobat PDF reader wordt altijd gebruik gemaakt van de meest recente update.
  
• Indien het kantoor werkt via cloud computing, neemt het kantoor de richtlijnen van de CCBE in acht. Lees hier de CCBE Guidelines on the use of cloud computing services by lawyers

Back up en recovery procedures zijn aanwezig voor de systemen, data en informatie die nodig zijn voor de kantoorwerking.

Het kantoor maakt elke dag een back-up en op iedere laatste dag van de maand een maandback-up. In veel gevallen wordt de back-up automatisch gemaakt en ontvangt de interne automatiseringsverantwoordelijke per e-mail een rapport van de back-up.

De back-ups worden brandvrij opgeborgen in de daarvoor bestemde kast (kluis). De interne automatiseringsverantwoordelijke bewaart de back-ups van andere dagen van de week buiten het kantoor en neemt die op de dag waarop de tape weer nodig is, mee naar kantoor.

Ook de maandback-up wordt (bij voorkeur buiten kantoor) in een brandvrije kast bewaard.

De interne automatiseringsverantwoordelijke test periodiek het terugzetten van de back-up.

Indien het kantoor werkt met een extern IT-bedrijf of met cloud computing, moet het duidelijk zijn welk back-upregime het kantoor hanteert.

• Er zijn specifieke maatregelen genomen om apparaten als smartphones en tablets veilig te maken. De advocaten en medewerkers gebruiken altijd ten minste een pincode of wachtwoord om een computer of smartphone te ontgrendelen. De apparaten kunnen alleen via een sterke authenticatie contact maken met het bedrijfsnetwerk, en worden volledig gescand voordat ze met het netwerk worden verbonden.

•  Het kantoor gaat zorgvuldig om met het gebruik van draadloze netwerken binnen of buiten kantoor, om het risico van afluisteren of ‘hacking’ zo beperkt mogelijk te houden.
• Buiten kantoor gebruikt de advocaat geen internetverbinding of netwerk van derden, maar wel bijvoorbeeld de eigen telefoon om de laptop aan internet te koppelen (‘tethering’). Bij voorkeur via een VPN-verbinding, omdat mobiele datanetwerken niet per definitie veilig zijn.
• Het kantoor gebruikt geen privécomponenten (zoals USB-sticks, extern geheugen, privé tablet of privé smartphone) in het zakelijke netwerk.                             
• Het kantoor monitort het internetverkeer om aanvallen op de kantoorsystemen te kunnen detecteren.
• Het kantoor controleert binnenkomend internetverkeer en e-mailverkeer door firewalls, speciale antivirus- en antispyware software zo goed mogelijk op virussen, spyware, ransomware en soortgelijk ongerief. Bevat een e-mailbericht een virus of spy-/ransomware, dan wordt het automatisch tegengehouden en licht het kantoor de verzender en ontvanger daarover in via het virusprogramma. Het kantoor beschermt gevoelige informatie altijd met een login.                       
• Het kantoor maakt bij het versturen of ontvangen van persoonsgegevens of bij het inloggen op systemen uitsluitend gebruik van een versleutelde verbinding.  
• In alle uitgaande berichten via de e-mail is een disclaimer opgenomen. Daarvoor is een standaard bericht opgesteld dat verschijnt bij het aanmaken van een nieuw bericht:
  
  "De informatie verzonden met dit e-mailbericht is uitsluitend bestemd voor de geadresseerde[n] en kan persoonlijke of vertrouwelijke informatie bevatten, beschermd door een beroepsgeheim. Gebruik van deze informatie door anderen dan de geadresseerde[n] en gebruik door hen die niet gerechtigd zijn van deze informatie kennis te nemen, is verboden. Indien u niet de geadresseerde bent of niet gerechtigd bent tot kennisneming, is openbaarmaking, vermenigvuldiging, verspreiding en/of verstrekking van deze informatie aan derden niet toegestaan en wordt u verzocht dit bericht terug te sturen en het origineel te vernietigen.''   
• Het kantoor controleert het beveiligingsbeleid jaarlijks.

Ook in het kader van de GDPR is beveiliging noodzakelijk.