Belangrijke security aandachtspunten voor het MKB

Hacken

In de media verschijnt regelmatig nieuws over enorm grote hack-aanvallen waarbij miljoenen gegevens zijn gestolen en waarbij de schade uitgedrukt in Euro’s een veelvoud is van die getallen. Het is helaas de realiteit van vandaag en zet steeds meer druk op organisaties om hun bedrijfsgegevens goed te beschermen.

Wetgeving

Deze druk wordt momenteel opgevoerd door de nieuwe wetgeving (Wbp en GDPR) die bedrijven dwingt om adequate technische- en organisatorische maatregelen te nemen en deze gedetailleerd te administreren. Handhaving van deze nieuwe wetgeving zal streng zijn met bindende aanwijzingen van Autoriteit-organisaties van de 28 Europese lidstaten en in sommige gevallen extreem hoge boetes.

 Wij zijn Klein

Veel MKB bedrijven denken nog steeds dat cybercriminaliteit een typische dreiging is voor grotere bedrijven en schatten de kans om zelf slachtoffer te worden klein in. De groeicijfers op het gebied van cybercriminaliteit geven echter aan dat dit tegenwoordig een zeer onverstandige houding is.

Onvoldoende Security

Juist het MKB ligt onder vuur. Cybercriminelen weten namelijk dat veel MKB-bedrijven hun security-beleid niet op orde hebben. Het is vaak “kinderspel” om toegang te krijgen tot vertrouwelijke gegevens of vitale onderdelen binnen het bedrijfsnetwerk of de productiesystemen. Stelt u zich eens voor dat u morgenochtend niet meer bij uw bedrijfsgegevens kunt. En geloof me: u bent dan niet de eerste als blijkt dat de backup ook niet bruikbaar is. Uw bedrijf ligt dan stil.

 Uitsluiten?

Maar hoe kun je dan voorkomen dat je slachtoffer wordt van cybercriminaliteit? Bestaat er een “Heilige Graal” waarmee je het risico op cybercrime uitsluit?

Het antwoord op deze vragen zult u niet krijgen. Waarom niet? Omdat er simpelweg geen antwoord op die vragen bestaat. Maar dat betekent niet dat je er dan maar niks aan moet doen. Het risico kan wel degelijk behoorlijk worden verlaagd. Als je een crimineel tijd, gelegenheid of kennis van je organisatie geeft zal er misbruik van gemaakt worden. Sebyde presenteert graag bij u aan huis op welke manieren deze drie variabelen een rol spelen in uw risico-profiel.

Mens, Organisatie & Techniek

Bij het verlagen van risico’s zul je moeten kijken naar het gedrag van de mensen, én de organisatie én de techniek. Alleen allerlei technische security-oplossingen implementeren beschermt uw bedrijf niet tegen een medewerker die op een phishing e-mail klikt. En als je geen goede security-procedures hebt en iemand kan na uitdiensttreding nog een half jaar inloggen blijf je kwetsbaar met al je firewalls, access management en intrusion detection systemen. Sebyde adviseert u op welke manier Mens, Organisatie en Techniek binnen uw bedrijf optimaal samenspelen. Zie ook hier

Wat kunt u doen?

Hieronder noem ik drie algemene punten die binnen uw bedrijf (groot of klein!) goed geregeld moeten (en kunnen!) zijn. Ze zullen u helpen bij uw activiteiten om de risico’s te verlagen en verlangen geen grote investeringen.

Wees bewust!

Ieder bedrijf staat bloot aan vele vormen van cyber-aanvallen.

Management van bedrijven dienen op de hoogte te zijn van deze verschillende vormen van cybercriminaliteit en op welke manier ze hiertegen bestand zijn.

Sommige dreigingen dienen bekend te zijn bij alle medewerkers. Simpelweg omdat ze allemaal potentieel slachtoffer zijn, zowel op het werk als thuis.

Bijvoorbeeld: “Phishing” en “Spear-phishing” zijn de meest gebruikte en zeer ernstige vormen van cyber-aanvallen met grote gevolgen en hoge financiële en operationele schade. Hiermee besmetten cybercriminelen de systemen met kwaadaardige software die uw bedrijf volledig kunnen verlammen. Deze besmetting gebeurt via nep e-mails waarin je wordt gevraagd om ergens op te klikken. Medewerkers dienen te weten waarop ze wel- en niet kunnen klikken. Bewuste medewerkers maken een bedrijf weerbaar. Bewustzijn kan worden vergroot door middel van regelmatige phishing-testen gecombineerd met goede security- en phishing-awareness training. Meer info hier

Wees georganiseerd!

“Als je niet weet wat je hebt kun je het ook niet beschermen”. Een uitspraak die de realiteit op het gebied van security en privacy heel goed verwoord.

Zorg voor een goede organisatie en de juiste procedures. Weet welke apparatuur er in het netwerk is aangesloten en wat de kwetsbaarheden zijn van die apparatuur. Met Nessus Professional weet je dat exact en kun je de juiste maatregelen nemen om de kwetsbaarheden aan te pakken. Meer info hier

Voer alle updates uit en maak backups die offline worden bewaard. Breng in kaart wie er allemaal toegang heeft tot welke folders en/of informatie en vraag je af of dat wel nodig is.

Breng alle gegevens in kaart, documenteer en beoordeel alle persoonsgegevensverwerkingen op juridische grondslag en sluit verwerkersovereenkomsten met alle verwerkers. (Let op: is wettelijk verplicht in de nieuwe wetgeving!)

Documenteer alle security incidenten (Ja, een phishing e-mail is een security incident!) zodat je een goed beeld hebt van het risico wat je loopt. Bespreek de situatie met betrekking tot de security tijdens voortgang-besprekingen. Maak het een belangrijk onderwerp binnen het bedrijf. Informeer het personeel en straal uit dat het beschermen van de kroonjuwelen belangrijk is. Dit straalt ook positief uit naar je klanten!

Weten waar te beginnen? Klik hier

Wees proactief!

Actief bezig zijn met het in kaart brengen van de risico’s is van belang voor alle bedrijven. Maak een plan van aanpak om de geconstateerde risico’s te verlagen. Zorg dat je altijd kunt beschikken over een actuele privacy-administratie. (wettelijk verplicht in de nieuwe wetgeving). Sebyde voert risicoanalyses uit en ondersteunt u bij het maken en uitvoeren van een plan van aanpak. Het zijn vaak eenvoudige maatregelen met grote resultaten.

De Australische overheid heeft het aantal security incidenten sterk verlaagd door het nemen van drie simpele maatregelen:

1. Restricties opleggen op het aantal programma’s wat op overheidscomputers kan draaien.

2. Verlagen van het aantal medewerkers met administratieve rechten op het netwerk

3. Updates uitvoeren van alle systemen.

Lees het Sebyde blog: https://www.sebyde.nl/5-kritische-punten-voor-cybersecurity/ voor meer tips over hoe je het risico op cybercriminaliteit kunt verlagen.

Sebyde adviseert u graag over de mogelijkheden om het aantal IT-security incidenten te verlagen en het bewustzijn te vergroten. Neem gerust contact op via info@sebyde.nl of 085-2733376