Deze vraag stelde Gabriel Friedlander onlangs via LinkedIn. Meer dan 150 beveiligingsexperts hebben de vraag van Gabriel beantwoord, waardoor hij in staat was een handzaam advies uit te brengen. Omdat de definitie van MKB in Nederland vrij breed is ter verduidelijking: de case ging over een eigenaar van een klein restaurant, dus heb je een wat grotere organisatie, dan zou ik wel rekening houden met andere budgetten.

Ga niet zelf lopen prutsen

Als je zelf geen beveiligingsdeskundige bent, zoek dan iemand die je kan helpen. Het risico dat zaken niet goed gaan wanneer je zelf gaat experimenteren is te groot, partner met een adviseur of bedrijf. Een aantal criteria om rekening mee te houden bij het selecteren van een partner:

  1. Het is beter om iemand te zoeken die niet is gelieerd aan een enkele leverancier, maar meerdere oplossingen kan bieden;
  2. Niet elke IT-er is een beveiligingsexpert, dus zorg ervoor dat je samenwerkt met iemand met voldoende expertise.
  3. Je kunt met een specialist samenwerken, maar ook met een bedrijf
  4. Vraag hoe de partner zijn eigen informatiebeveiliging geregeld heeft. Gebruiken ze zelf de systemen en methodieken die ze adviseren?

 

Geen twee organisaties zijn hetzelfde

De bereidwilligheid om risico’s te lopen verschilt van bedrijf tot bedrijf. Hoeveel geld en andere middelen je in informatiebeveiliging investeert hangt hiermee samen. Stel je een aantal vragen voordat je aan de slag gaat met informatiebeveiliging.

  1. Hoe verdient je organisatie geld? Wat zijn de kritieke processen of systemen die tot grote schade kunnen leiden wanneer ze onbeschikbaar worden?
  2. Hoeveel downtime kun je jezelf permitteren voordat het desastreuze gevolgen heeft?
  3. Wie heeft toegang tot bedrijfskritische systemen en processen en wat gaat er mis als zij gehackt worden?
  4. Zijn er gebruikers die buiten het kantoor toegang hebben tot bedrijfskritische systemen en processen? Denk daarbij niet alleen aan medewerkers, maar ook aan leveranciers.
  5. Zijn er wetten of voorschriften waaraan het bedrijf moet voldoen? Denk aan GDPR, ISO27001 en NEN7510.

Hou ook in je achterhoofd dat je niet van de een op andere dag van 0% naar 100% informatiebeveiliging kunt gaan. Richt je eerst op de belangrijkste risico’s en pas daarna geleidelijk andere zaken aan.

Basic security

Wanneer je € 3000,- tot € 5.000,- per jaar te besteden hebt, dan kun je denken aan de volgende maatregelen en middelen om je informatiebeveiliging op orde te brengen:

  1. Backups
  2. Beperk internettoegang van medewerkers en systemen
  3. Maak medewerkers bewust van de risico’s bij het gebruikt van IT-systemen
  4. Maak gebruik van tweestapsverificatie
  5. Richt rollen en rechten zo in, dat medewerkers alleen kunnen wat ze moeten kunnen
  6. Installeer een firewall in je netwerk
  7. Richt asset- en patchmanagement in
  8. Gebruik password policies
  9. Richt uit-dienst processen in zodat oud-medewerkers geen toegang tot systemen meer hebben
  10. Scan op kwetsbaarheden in je netwerk
  11. Gebruik anti-virus software
  12. Zorg ervoor dat leveranciers hun zaken ook op orde hebben
  13. Laat je inkomende emails checken op spam, virussen en malware
  14. Gebruik VPN als mensen extern moeten kunnen werken

 

Geavanceerde security

Wanneer je € 5.000,- tot € 10.000,- per jaar te besteden hebt, dan kun je denken aan de volgende aanvullende maatregelen en middelen.

  1. Combineer logs en zorg voor inzicht
  2. Gebruik end point detection and response software ipv anti-virus
  3. Laat periodiek penetratietesten uitvoeren
  4. Sta medewerkers alleen bezoek aan websites toe die nodig zijn voor het werk
  5. Gebruik data loss protection
  6. Zorg voor een incident respons plan

Gabriel gaat in zijn rapport meer gedetailleerd in op voorgaande 20 maatregelen. De nummering kan een prioritering suggereren, dat is niet de bedoeling. Begin met hetgeen dat de het grootste risico voor jouw organisatie afdekt.

Meer informatie?

Wil je hier meer over weten? Neem dan contact met ons op, of met een van onze partners.

Contact met Guardian 360 Vind partner


Bronnen

https://www.linkedin.com/posts/gabrielfriedlander_how-would-you-spend-10k-yearly-on-cyber-ugcPost-6567026850097311744-FASA/

https://api.wizer-training.com/how-would-you-spend-$10k-yearly-on-cyber-security.pdf