Het niveau van cybersecurity in het mkb is nog altijd onder de maat. Dat komt naar voren in een onderzoek van Baker Tilly, waaruit onder meer blijkt dat de helft van de ondernemers niet eens de aangeboden updates op hun computers draait, vertelt Martin van Ernst, die al meer dan vijf jaar partner is bij Baker Tilly: “Hierdoor is de digitale weerbaarheid van kleine en middelgrote organisaties nog altijd niet op het gewenste niveau.”

Volgens Van Ernst is het maken van een kleine fout binnen het informatiebeveiligingswezen niet ongewoon, terwijl de gevolgen hiervan zeer groot kunnen zijn: “Regelmatig liggen gevoelige data – zoals persoonsgegevens – op straat. Of wordt de omgeving digitaal gegijzeld via zogenaamde ransomware en ligt de operatie stil. Ondernemers weten op zo’n moment niet waar ze moeten beginnen.”

De Baker Tilly professional legt uit dat ondernemers met hun handen in het haar zitten name met omdat ze niet beschikken over voldoende kennis en bovenal denken dat ze het toch nooit goed doen: “Juist die houding tegenover informatiebeveiliging maakt mkb-bedrijven extra kwetsbaar voor bijvoorbeeld datalekken of het niet beschikbaar zijn van dienstverlening. Een aantal basisactiviteiten op het gebied van informatiebeveiliging kan echter al veel problemen voorkomen.”

Toepassen van beveiligingsupdates

Het tijdig bijwerken van gebruikte software met aangeleverde updates is een basisactiviteit waarmee ondernemers betrekkelijk eenvoudig grote stappen kunnen zetten, vertelt Van Ernst: “Beveiligingsupdates moet je zien als digitale hygiëne. Vergelijk het met je handen wassen om zo te voorkomen dat je ziek wordt van de bacteriën. De bekende beveiligingslekken in software zijn het meest gebruikte startpunt als organisaties worden aangevallen.”

Naast het periodiek bijwerken van software is het ook van belang dat ondernemers een periodieke kwetsbaarheidscan uitvoeren op hun IT-omgeving om te controleren of alle updates ook daadwerkelijk goed zijn doorgevoerd. “Beveiligingsupdates worden als ingewikkeld ervaren, maar zijn eenvoudig uit te besteden. En meestal zijn de kosten hiervan niet al te hoog”, licht van Ernst toe.

Kies de juiste IT-partner

Van Ernst geeft aan dat uitbesteding van IT-beheer in het kader van cybersecurity in zijn ogen een hoge prioriteit verdient. “Enerzijds omdat je als ondernemer bij uitbesteding nog steeds zelf de verantwoordelijkheid draagt om de kwaliteit van geleverde diensten te bewaken. Anderzijds doordat het uitbesteden van het beheer van IT-voorzieningen toeneemt en er daardoor veel IT-serviceorganisaties op de markt zijn gekomen.”

Vooral veel kleinere IT-serviceorganisaties blijken vaak zelf nog zeer onvolwassen op het gebied van cybersecurity, laat Van Ernst weten: “De ondernemer verwacht echter dat deze serviceorganisaties weten wat ze doen. Maar de ervaring leert dat niet helaas niet altijd het geval is. Een periodieke scan op het doorvoeren van updates is een goede basisactiviteit, waarmee je de kwaliteit van je IT-leverancier kunt bewaken.”

Het belang van back-ups

Een tweede basisactiviteit waarmee veel verbetering kan worden gerealiseerd is het regelmatig maken van back-ups van data en bedrijfssoftware. “Deze back-ups zijn het enige wapen tegen betaling van losgeld als een organisatie wordt geraakt door ransomware. In de praktijk staan veel back-ups echter ‘gewoon’ op de fileserver, waardoor ze niet zijn afgeschermd tegen deze dreiging. Door back-ups bij voorkeur offline, of in ieder geval goed beveiligd, op te slaan, kunnen ze niet gegijzeld worden. Ten slotte is het belangrijk periodiek te controleren of met de back-ups de bedrijfsvoering hersteld kan worden. Van grote waarde als een IT-omgeving onbeschikbaar is geraakt.”

A never ending story

Cybersecurity is een continu bedrijfsproces en vereist voortdurend aandacht, benadrukt Van Ernst tot besluit: “De ondernemer moet hier ook naar handelen door bijvoorbeeld een risico-inventarisatie te maken. Welke risico’s zou een organisatie kunnen lopen en wat zijn de consequenties? Door vervolgens te acteren op relevante risico’s én periodiek te controleren, wordt het digitaal beveiligingen van de organisatie business as usual.”


Bron: https://www.consultancy.nl/nieuws/27107/cybersecurity-in-het-mkb-is-nog-altijd-onder-de-maat