European Media Partner

Cyber security hoeft niet moeilijk te zijn voor mkb bedrijven

Om maar meteen met de deur in huis te vallen: twee op de drie cyberaanvallen zijn gericht op het mkb. De gedachte dat een klein bedrijf niet interessant is voor cybercriminelen, 

is er echt niet meer bij. En dan meteen het goede nieuws: voor veel bedrijven geldt dat ze geen super ingewikkelde trucs uit hoeven te halen om serieuze stappen te maken in de verbetering van beveiliging. 

“Deze branche heeft jarenlang gedraaid op het feit dat niemand er een pepernoot van snapte”, vertelt Claire van Woudenbergh van Perfect Day. “Als je naar de corporates en grote overheidsinstellingen kijkt, dan kan dat - in ieder geval voor het technische stuk - niet anders. Maar voor de meeste mkb-bedrijven is dat helemaal niet nodig.”


“Begrijpelijkheid is de enige manier om de massa ertoe te bewegen werk te maken van digitale veiligheid”, gaat Van Woudenbergh verder. “Dus wat moet je doen en waarom is dat belangrijk? En het terugbrengen tot proporties waar je ook wat mee kunt. Focus je daarom op vier pijlers: medewerkers, wetgeving (AVG), techniek en noodproces. Die laatste wordt vaak onderschat, maar wat ga je doen als er toch iets misgaat? Wie moet er gemobiliseerd worden, wie ga je bellen? Met een goed noodplan beperk je altijd de schade. Een kasbouwer die zijn hele temperatuurregeling, bewatering en voeding van zijn gewassen geautomatiseerd heeft, moet extra goed letten op de beveiliging van netwerk en operationele systemen. En voor bedrijven met heel gevoelige data, zoals bijvoorbeeld een huisartsenpraktijk of advocatenkantoor ligt het zwaartepunt op gegevensbescherming.” 


Maar je kunt ook al heel wat zelf doen, aldus Van Woudenbergh. “Mijn tip is om te starten met eens tien minuten de tijd nemen om na te denken wat jouw belangrijkste assets zijn. En wat er gebeurt als je daar geen toegang meer toe hebt. Denk daarbij aan data, maar ook aan systemen of machines en apparaten. Heb je ze? Ga dan na hoe jullie ze beschermen. Is dat voldoende? En stel dat alles plat komt te liggen: is er duidelijk afgesproken wie dan wat doet om de boel weer in beweging te krijgen? Maken jullie backups? Staan die dan los van het netwerk? Wordt er ook getest met het terugzetten ervan? We zien hier vaak misverstanden over. Dat mensen ervan uitgaan dat hun IT-er alles wel doet en regelt zonder daar expliciete afspraken over te maken. Maak die afspraken wel, en graag tot in detail. In the heat of the moment wil je echt niet naar elkaar gaan staan wijzen.” 


Wat je ook heel makkelijk zelf kunt doen is een twee factor authenticatie instellen, besluit Van Woudenbergh. “Zet dat overal waar mogelijk aan en verplicht je medewerkers dat ook te doen. Op die manier voeg je heel makkelijk een extra beveiligingsslag toe. Dus zelfs als iemand jouw login en het wachtwoord van een account heeft, kan hij er niet in omdat hij een code van bijvoorbeeld een ander device, zoals je telefoon nodig heeft. Wat verder nog belangrijk is en nog vaak onderbelicht: creëer een open omgeving waarin medewerkers het durven te melden als ze per ongeluk tóch op dat gekke linkje gedrukt hebben. Of een mail met persoonsgegevens naar de verkeerde ontvanger verstuurd hebben. Uiteindelijk is het in ieders belang dat alle bedrijven veiliger worden. Want realiseer je wel dat je zelf alles nog zo strak op orde kunt hebben; als één van jouw leveranciers dat niet is en wel inlogt op jouw systemen, kun je zomaar alsnog het haasje zijn. Belangrijk dus dat we elkaar hiermee helpen en ook op verantwoordelijkheid aanspreken.”

Delen

Journalist

Féline van der Linde

Related articles