Vanoers.nlOnderwijs, IT AdviesCybersecurity voor het mkb: een 12 stappenplan om uw organisatie te beveiligen

Cybersecurity voor het mkb: een 12 stappenplan om uw organisatie te beveiligen 

De COVID-19 pandemie heeft aangetoond hoe essentieel IT is voor de continuïteit van het mkb. Dagelijks tonen nieuwsberichten echter aan dat de continuïteit van de IT-omgeving steeds vaker wordt bedreigd door cyberaanvallen. Criminelen focussen zich op mkb’ers voor diverse redenen, waaronder de goede waarde tot risicoverhouding. Daarnaast leveren mkb’ers vaak diensten aan grotere organisaties, wat cybercriminelen in de gelegenheid stelt om grote organisaties aan te vallen middels hun supply chain.

Ondanks de maatregelen die organisaties kunnen implementeren om cybersecurity risico’s proactief te beperken, biedt dit nog geen garantie tegen cyberaanvallen. Daarom dienen mkb’ers plannen en het vermogen te ontwikkelen om zo spoedig mogelijk te herstellen na een disruptie veroorzaakt door een cyberaanval, om zo de bedrijfscontinuïteit te waarborgen. Hieronder volgt een praktisch 12 stappenplan, gebaseerd op het ENISA Cybersecurity voor mkb rapport, waarmee de cybersecurity binnen de organisatie naar een hoger niveau kan worden gebracht.

Stap 1 – Ontwikkel een goede cybersecurity cultuur

Verantwoordelijkheid voor cybersecurity dient te worden toegekend aan iemand die de organisatie kan voorzien van de benodigde middelen. Denk aan personeel, aanschaffen van software, services en hardware, trainingen en het opstellen van een effectief beleid rondom cybersecurity. Daarnaast dient er draagvlak gecreëerd te worden binnen de organisatie middels effectieve communicatie vanuit het management en het steunen van initiatieven op vlak van cybersecurity. In het kader van de AVG-wet is het van belang dat mkb’ers adequate beveiligingsmaatregelen ingericht hebben omtrent het verwerken en opslaan van persoonlijke gegevens. Hieronder vallen ook derde partijen waarmee wordt samengewerkt. Door het laten uitvoeren van reguliere cybersecurity audits door een onafhankelijke partijen kan de beveiliging worden gewaarborgd.

Stap 2 – Bied gepaste trainingen aan

Door het aanbieden van specifieke cybersecurity awareness trainingen voor het mkb worden werknemers getraind om bedreigingen te herkennen en daar op de juiste manier op te reageren.

Stap 3 – Verzeker effectief management van derde partijen

Verzeker dat alle (software)leveranciers, specifiek die met toegang tot gevoelige data en/of systemen actief gemanaged worden, zodat zij de beveiligingsmaatregelen naleven. Middels contractuele afspraken (SLA) kunnen beveiligingsvereisten worden afgestemd.

Stap 4 – Stel een cyber incident response plan op

Een formeel cyber incident response plan met richtlijnen, rollen en verantwoordelijkheden waarborgt dat cyberincidenten op een snelle, professionele en gepaste manier kunnen worden opgelost. Hierbij kan een tool die verdachte (netwerk- en systeem)activiteiten of beveiligingslekken monitort van meerwaarde zijn.

Stap 5 – Beveilig toegang tot systemen

Door het opstellen van een adequaat wachtwoordbeleid wordt ongewenste toegang tot systemen beperkt. Hierbij is multi-factor authenticatie van belang, waarbij er bovenop de gebruikersnaam en wachtwoord combinatie nog een extra authenticatie handeling uitgevoerd moet worden. Het gebruik van persoonlijke informatie, hergebruiken van wachtwoorden en het delen van wachtwoorden met collega’s dient voorkomen te worden.

Stap 6 – Zorg dat alle hardware en software up-to-date is

Het gebruik van verouderde hardware en software vormt risico’s. Door middel van het regelmatig updaten van de aanwezige software en hardware en het implementeren van een antivirus op alle apparaten worden risico’s beperkt. Tevens is het beheer van mobiele apparaten van belang. Gegevens op deze apparaten dienen versleuteld te worden, bijvoorbeeld middels full-disk encryptie (Bitlocker), en dienen beveiligd verstuurd te worden,  bijvoorbeeld middels een VPN. Een mobile device management (MDM) oplossing kan helpen bij het beperken van risico’s omtrent het beheer van mobiele apparaten, zodat deze op afstand getraceerd en eventueel gewist kan worden.

Stap 7 – Beveilig uw netwerk

Het implementeren van email- en internetbeveiliging tools zorgt ervoor dat spam en phishing mails geblokkeerd worden. Daarnaast is een solide firewall van belang om het netwerkverkeer te managen en zo kritieke systemen te beschermen.

Stap 8 – Verbeter de fysieke beveiliging

Adequate fysieke beveiligingsmaatregelen zijn benodigd om toegang tot kritieke systemen en informatie die daar staat opgeslagen te beschermen. Bovendien dient bedrijfsapparatuur, bijvoorbeeld een laptop en telefoon, nooit onbeheerd achter te worden gelaten in een auto.

Stap 9 – Beveilig back-ups

Om in staat te zijn om bedrijfsinformatie te herstellen, bijvoorbeeld na een ransomware-aanval, dienen back-ups onderhouden te worden. Back-ups dienen indien mogelijk automatisch en regelmatig plaats te vinden en los van de productieomgeving opgeslagen te worden. Het versleutelen van back-ups verhoogt de beveiliging, voornamelijk bij het verplaatsen van data.

Stap 10 – Maak gebruik van de cloud

Door gebruik te maken van clouddiensten kunnen mkb’ers hun middelen beter benutten, gemakkelijk op- en afschalen, de beschikbaarheid van informatie beter borgen en kunnen ze dezelfde technologie als grotere organisaties benutten. De keuze voor een cloud provider, public cloud, private cloud en hybride cloud dient goed overwogen te worden op basis van de behoefte van de organisatie.

Stap 11 – Beveilig online websites

Het is essentieel dat mbk’ers hun websites adequaat inrichten en beveiligen, zodat gevoelige informatie beschermd wordt. Door regelmatig de veiligheid van de websites te testen kunnen potentiële kwetsbaarheden geïdentificeerd worden.

Stap 12 – Vind en deel informatie

Het delen van informatie omtrent cyberrisico’s is een effectief middel in het gevecht tegen cybercriminaliteit. Organisaties die te maken hebben gehad met cybercriminaliteit kunnen hun ervaringen delen, zodat deze in de toekomst voorkomen kunnen worden.

Dit stappenplan is gebaseerd op het 2021 Cybersecurity for SME’s rapport van ENISA (European Union Agency for Cybersecurity).

Meer informatie

Heeft u vragen naar aanleiding van dit artikel? Van Oers IT Advies staat klaar om u te helpen bij het op orde brengen van cybersecurity, zodat u niet voor ongewenste verrassingen komt te staan.

Bas Houtepen
Bas Houtepen
Senior IT & Cybersecurity consultant
  • icon
Bas Houtepen
Bas Houtepen
Van Oers IT Advies
Vul het contactformulier in en wij nemen zo snel mogelijk contact met u op.

  • Ik ga akkoord met de privacyverklaring.

  • Dit veld is voor validatie doeleinden en moet ongewijzigd blijven.

Schrijf u in voor de nieuwsbrief

  • Dit veld is voor validatie doeleinden en moet ongewijzigd blijven.

Bas Houtepen
Bas Houtepen | Senior IT en Cybersecurity consultant
Wilt u meer informatie over dit onderwerp?
Neem contact op met onze specialisten via onderstaand telefoonnummer of e-mailadres. Zij helpen u graag verder.