Nu MKB's steeds meer risico lopen op cyberaanvallen, bieden we tips en strategieën die bedrijfsleiders kunnen gebruiken om hun bedrijf te beschermen. Deze tips zijn handig voor zowel MSP's, als hun klanten.
Het is verleidelijk om te denken dat cyber security iets is voor grotere organisaties, maar kleine en middelgrote bedrijven (MKB's) moeten oppassen dat ze niet in de val trappen door te denken dat ze te klein zijn om door hackers te worden opgemerkt. Hiscox's Cyber Readiness Report 2019 onthulde dat het aantal kleine en middelgrote bedrijven dat ten minste één aanval meldt, jaar na jaar is blijven stijgen, tot 47% voor degenen met minder dan 50 werknemers en 63% voor degenen met 50 tot 250 personeel.
Waarom hebben kleine bedrijven cyber security nodig?
Het is algemeen bekend dat kleine bedrijven vaak op zeer beperkte middelen draaien. Dit kan betekenen dat ze het gevoel hebben dat zij niet de tijd of het budget hebben om beveiligingsmaatregelen in dezelfde mate te prioriteren als de rest van hun dagelijkse activiteiten. Als gevolg hiervan wordt security onderdeel van een rol, in plaats van een toegewijde functie binnen de organisatie, daarnaast raken trainings- en software risico's verouderd en wordt data security uiteindelijk gezien als een bijzaak.
Om dit probleem op te lossen, moeten kleine bedrijven ervoor zorgen dat cyber security dezelfde hoge prioriteit krijgt, zoals fysieke beveiliging van kantoorruimtes heeft. Om dit te doen, is het essentieel dat best practices worden gedefinieerd en regelmatig worden bijgewerkt in een cyber security plan, speciaal voor kleine bedrijven.
Het verbeteren van de beveiliging betekent niet noodzakelijk enorme kosten, maar het vereist wel de focus van een bedrijf om te voorkomen dat het het volgende slachtoffer wordt van een cyberaanval. Met best practices op het gebied van cyber security kunnen kleine en middelgrote bedrijven zowel hun bescherming, als de bedrijfscultuur rond het belang en de implementatie van effectieve beveiligingsmaatregelen verbeteren.
Wat zijn de best practices voor de beveiliging van kleine bedrijven?
Om ervoor te zorgen dat een cyber security beleid onderdeel wordt van de bedrijfscultuur, moet het grondig worden gedocumenteerd en ondersteund met schema's en checklists, zodat de nieuwe processen worden geïmplementeerd en het personeel zich bewust is van hun verantwoordelijkheden.
Een eenvoudige maar effectieve maatregel is het beperken van toegangsrechten tot gedeelde bestanden en essentiële applicaties. Dit minimaliseert het aantal mogelijke routes naar gevoelige gegevens. Toegang mag alleen worden verleend aan degenen die het nodig hebben voor hun werk, en het moet worden ingetrokken wanneer het niet langer nodig is. Dit betekent dat niemand algemene beheerdersrechten mag hebben, alleen op basis van status.
Let ook op het instellen van processen om de toegang in te trekken zodra een werknemer vertrekt of een contract met een freelancer of een andere derde partij eindigt.
De mantra 'gebruik een sterk wachtwoord' is nu net zo gebruikelijk als 'maak een back-up van je data'. Dit geldt met name voor kleine bedrijven die ransomware-aanvallen willen vermijden, waarbij de hacker gegevens zal stelen en versleutelen en dreigt deze te vernietigen, wanneer geen vergoeding wordt betaald voor de teruggave. Zonder de garantie dat de gegevens in een bruikbare staat worden teruggegeven, komen kleine bedrijven voor een dilemma te staan waarbij ze zowel losgeld als voor downtime kunnen betalen, wat ze zich beiden niet kunnen veroorloven.
Deze situatie kan eenvoudig worden vermeden door uitgebreide back-ups te maken, zodat gegevens kunnen worden hersteld, waardoor mogelijke financiële schade en reputatieschade tot een minimum worden beperkt, evenals de stress die werknemers voelen tijdens een ransomware aanval.
Cloudservices zijn een populaire optie voor back-ups. De cloud maakt het niet alleen mogelijk om overal toegang te hebben tot documenten, maar de beveiliging die deze services bieden, is waarschijnlijk veel geavanceerder, waardoor ze een betaalbare manier zijn om de gegevensbeveiliging aanzienlijk te verbeteren.
Houd rekening met BYOD en risico's voor werken op afstand
Het toevoegen van toegangspunten aan een netwerk verhoogt het potentiële risico op een inbreuk, simpelweg omdat er meer mogelijkheden zijn voor cybercriminelen om misbruik te maken. Met dat in gedachten kunnen trends in de richting van niet-traditioneel kantoorwerk als een punt van zorg worden beschouwd - hoewel het belangrijk is op te merken dat werken op afstand al vele jaren toeneemt.
Het Mobile Workforce Report 2018 van Avast Business toonde aan dat personeel het gevoel had dat thuiswerken de productiviteit verhoogde en de stress verminderde tot het punt dat 52% van het personeel van kleine bedrijven zei dat ze liever een loonsverlaging zouden krijgen dan beperkt te blijven tot werken op kantoor.
Dit probleem is actueler geworden door de plotselinge toename van werken op afstand als gevolg van COVID-19. Omdat de meeste kantoormedewerkers thuiswerken, zijn persoonlijke apparaten en wifi nu een integraal onderdeel van de moderne werkomgeving, waardoor het personeel taken kan uitvoeren buiten de grenzen van een traditionele werkdag.
Dus hoe kan dit evenwicht tussen een verhoogd risico en de prevalentie van persoonlijke apparaten en werken op afstand worden gevonden? Het simpele antwoord is het geven van duidelijke richtlijnen voor het gebruik van persoonlijke apparaten. Een 'Bring Your Own Device' (BYOD) -beleid moet worden opgenomen in jouw best practices voor gegevensbeveiliging, zodat al je medewerkers een hoog beveiligingsniveau moeten handhaven op elk apparaat dat toegang heeft tot de documenten en het netwerk van het bedrijf - vanaf het installeren van beveiligingssoftware tot het toepassen van patches zodra deze beschikbaar zijn.
Training en onderwijs
Begeleiding opnemen in documentatie is één ding, maar om het als een onderdeel van de dag te verankeren, zijn training en opleiding van vitaal belang. In een klein bedrijf worden de verantwoordelijkheden vaak gedeeld, en hetzelfde moet gelden voor security om effectief te blijven. Iedereen met een account of apparaat dat op het (bedrijfs)netwerk is aangesloten, moet worden opgeleid tot een niveau waarop iedereen bekend is met het security beleid en hoe de best practices kunnen worden geïmplementeerd.
Medewerkers zullen verschillende achtergronden en vaardigheidsniveaus hebben als het om technologie gaat. Om te voorkomen dat beveiligingsproblemen ontstaan, moeten alle personeelsleden weten hoe ze hun apparaten moeten updaten, phishing-pogingen kunnen herkennen en de procedures kennen om problemen te signaleren.
Werknemers moeten ook instemmen zich aan het beleid te houden en in ruil daarvoor moeten werkgevers zorgen dat opleidingen regelmatig worden bijgewerkt om de evolutie van cyber security weer te geven. Dit beleid moet duidelijk en transparant worden uitgelegd, vooral als ze betrekking hebben op het gebruik van persoonlijke apparaten.
Niemand vindt het leuk om wachtwoorden te wijzigen. Maar sterke, unieke wachtwoorden zijn cruciaal om de security te verbeteren. Hoewel er veel belangrijk advies is over het maken van sterke wachtwoorden, is het een fundamentele regel om wachtwoorden in geen geval opnieuw te gebruiken. Het maakt het misschien gemakkelijker om het te onthouden, maar als het toch in de handen van een hacker terechtkomt, hebben ze toegang tot elk account dat hetzelfde wachtwoord deelt. Om gemak en veiligheid in evenwicht te brengen, kan een wachtwoordbeheer programma worden gebruikt om complexe wachtwoorden te onthouden, en ze regelmatig te verversen, wat betekent dat de gebruiker slechts één wachtwoord tegelijk hoeft te onthouden en de beveiliging van het bedrijf automatisch verbeterd.
Tweefactorauthenticatie (2FA) komt steeds vaker voor bij banken, online winkels en sociale media. Deze extra beveiligingslaag vereist dat de gebruiker zowel een wachtwoord kent als een unieke code opgeeft, die vaak per sms of e-mail wordt verzonden, om te verifiëren dat de inlogpoging legitiem is. Het personeel moet worden aangemoedigd om dit in te schakelen voor alle diensten waar dit mogelijk is.
2FA kost niets en is een heel eenvoudige manier om de beveiliging te vergroten. Opleiding en implementatie zullen ook snel verlopen, aangezien veel personeelsleden waarschijnlijk bekend zijn met deze functie op hun persoonlijke account.
Software en tools
Met een grote verscheidenheid aan beschikbare beveiligingstools, kan het moeilijk zijn om te bepalen welke essentieel en de investering waard zijn, en welke niet. Afgezien van de hierboven genoemde wachtwoordmanagers en cloudback-ups, welke andere tools kunnen een groot verschil maken voor jouw kleine of middelgrote bedrijf?
Virtual Private Networks (VPN's) zijn een steeds vaker voorkomende beveiligingsmaatregel voor huishoudelijke gebruikers. Het creëert een gecodeerde ‘tunnel’ waardoor gegevens en online activiteiten kunnen reizen zonder dat ze door derden worden bekeken of worden herleid tot het IP-adres van de gebruiker. Eenmaal geïnstalleerd, is een VPN vaak net zo eenvoudig te activeren als een schakelaar om te zetten, waardoor het ideaal is voor externe medewerkers die toegang hebben tot gevoelige gegevens.
Een firewall is een essentiële eerste verdedigingslinie. Zoals de naam al doet vermoeden, vormt een firewall een barrière tussen je netwerk en cyber attacks. Ze kunnen in meerdere configuraties worden gebruikt, zowel intern als extern, en zouden een vereiste moeten zijn van elk extern werk beleid voor alle apparaten die verbinding maken met het bedrijfsnetwerk.
Vanwege hun bekendheid gaan veel mensen ervan uit dat phishing-e-mails gemakkelijk te identificeren zijn. In werkelijkheid komen phishing-aanvallen nog steeds veel voor en worden ze steeds geavanceerder. Naast training van het personeel blijft anti malware software op netwerk- en apparaten niveau essentieel om de impact van menselijke fouten te minimaliseren.
Software kan alleen het meest effectief zijn als het regelmatig wordt bijgewerkt om rekening te houden met nieuwe kwetsbaarheden of soorten aanvallen. Ervoor zorgen dat op elk apparaat - van printers en laptops tot smartphones - de nieuwste patches en updates worden toegepast, kan een ontmoedigende taak zijn voor een grote onderneming, maar is zeer haalbaar in een klein of middelgroot bedrijf.
Gemeenschappelijke apparaten, zoals servers, moeten worden bijgewerkt door het personeel dat de IT-beveiliging beheert als onderdeel van hun rol, terwijl andere werknemers verantwoordelijk moeten zijn voor hun eigen apparaten. Het afdwingen van deze verantwoordelijkheid door middel van training en het security beleid van het bedrijf kan ervoor zorgen dat bekende kwetsbaarheden in software niet leiden tot een vermijdbare inbreuk.
Bouw een holistische beveiligingsstructuur
Zodra je deze best practices op het gebied van security in jouw bedrijf implementeert, is het werk nog maar net begonnen. Door ervoor te zorgen dat elke werknemer buy-in krijgt, wordt het security bewustzijn dagelijks in overweging genomen en wordt het onderdeel van de bedrijfscultuur, wat cruciaal is voor het verbeteren van de algehele beveiliging en het geven van ultieme gemoedsrust.
Cyberaanvallen evolueren continu, wat betekent dat security oplossingen gelijke tred moeten houden om effectief te blijven. Kennis over de nieuwste aanvallen en de daaruit voortvloeiende security maatregelen is van vitaal belang voor het begrip en de beveiliging van uw team, maar met weinig tijd over, zijn bedrijfseigenaren zelden in staat om zelf cyber security experts te worden. Dit maakt het kiezen van de juiste software des te belangrijker. Hoewel gratis beveiligingstools rudimentaire scans kunnen uitvoeren, hebben ze niet de middelen om continu te controleren op nieuwe bedreigingen en kwetsbaarheden. Bekijk in plaats daarvan naar betaalde services als een betaalbare manier om ervoor te zorgen dat de security van jouw netwerk altijd up-to-date is.
Het combineren van nieuwe processen, regelmatige training en software-updates voor de nieuwste bedreigingen vereist werk, maar de resulterende holistische strategie kan aanzienlijke verbeteringen aanbrengen in de security van jouw bedrijf.
Vind je het lastig om jouw klanten goed te beveiligen? Of heb je hulp nodig bij de security van jouw eigen MSP? Portland helpt je verder. Plan een gesprek in met één van onze security adviseurs en kijk samen naar hoe je de security van jouw MSP kan verbeteren en ontdek welke oplossing je hier het best bij helpt.