De meest gemaakte cyber security fouten – en hoe je ze voorkomt (1)

Ben Rose vertelde aan smallbusiness.co.uk welke cyber security-fouten het meest gemaakt worden door kleine bedrijven en – nog belangrijker – hoe deze te voorkomen zijn. Cyberaanvallen en het lekken van data behoren tot de grootste risico’s waar kleine bedrijven momenteel voor staan. Volgens een recente studie van Jupiter Research is de helft van deze bedrijven hier in het laatste jaar slachtoffer van geworden. Ondanks deze groeiende dreiging blijven veel mkb-ondernemers geloven dat dit hen niet zal overkomen. Dezelfde studie geeft aan dat driekwart zichzelf momenteel voldoende beveiligd noemt en 86% beweert voldoende veiligheidsmaatregelen te hebben genomen. Velen geloven daarnaast dat zij simpelweg te klein zijn om risico te lopen. Het is begrijpelijk dat cyber security onderaan de prioriteitenlijst belandt van kleine bedrijven, die vaak niet de tijd, middelen en expertise hebben van een grotere organisatie. Soms krijgt een procedure onvoldoende aandacht; een alarmsignaal is snel gemist en voor je het weet, zit je midden in een crisissituatie. Vandaar deze lijst van de meest voorkomende cyber security-vergissingen die we zien bij kleine ondernemingen. En ook niet onbelangrijk: hoe je ze voorkomt!

Een niet-technisch persoon verantwoordelijk maken voor security

Een van de cruciale fouten die we vaak zien, is dat bedrijven een werknemer zonder technische expertise verantwoordelijk maken voor de veiligheid van hun systemen. Daardoor hebben zij geen goed begrip van de aard van de risico’s en van de manier waarop technologie en procedures hiertegen bescherming bieden. Er zijn vele verschillende cyberrisico’s die bovendien continu veranderen, dus het is essentieel om een expert te hebben die zich volledig richt op de veranderende veiligheidsbehoeftes. Is een Security Officer of CTO aannemen geen optie en beschikt geen van uw bestaande teams over technische expertise? Overweeg dan een externe adviseur in te schakelen om de kenniskloof te dichten.

Onvoldoende betrokkenheid van senior-management

De tegenovergestelde fout is dat vele kleine ondernemers de beveiliging overdragen aan een IT-specialist om hier vervolgens nooit meer aan denken. Maar voor een effectief security-beleid is het essentieel dat de gehele organisatie bijdraagt, te beginnen bij de top. De directie is immers niet alleen een geliefd doelwit voor cyberaanvallen – via een phishing-methode die bekendstaat als ‘whaling’ – maar uiteindelijk ook de hoofdverantwoordelijke voor de bescherming van bedrijfs-en cliëntgegevens. Mocht daar iets mis mee gaan, dan is de directie bestuurlijk aansprakelijk.

Slecht wachtwoordbeleid

Het aantal datalekkages als gevolg van slecht wachtwoordbeleid is inmiddels niet meer te tellen. Ze worden niet vaak genoeg geüpdatet, dezelfde wachtwoorden worden gebruikt voor meerdere accounts of de wachtwoorden zijn te gemakkelijk te achterhalen. ‘Wachtwoord1’, ‘123456’ en ‘bedrijfsnaam’ zijn typische voorbeelden die vermeden moeten worden. Gebruik in plaats daarvan persoonlijke certificatie of wachtwoorden die minstens elke zestig dagen veranderd worden en uit een combinatie van letters, cijfers en symbolen bestaan. Deze kunnen bewaard worden in een beveiligde password manager of keychain software. Gebruik ook niet hetzelfde wachtwoord voor elke applicatie, maar kies een uniek wachtwoord. Indien mogelijk kan het instellen van een tweede verificatiestap nog een extra beveiligingslaag bieden.

Werknemers onvoldoende betrekken

Hoeveel andere beveiligingsmaatregelen je ook invoert, uw werknemers kunnen met hun gedrag alle inspanning tenietdoen. Een recent onderzoek van IBM wijst uit dat zestig procent van alle gegevenslekkages het gevolg is van menselijke fouten. Veelvoorkomende vergissingen zijn het mailen van bijlages met gevoelige gegevens naar de verkeerde persoon, per ongeluk ransomware downloaden via een verdachte link in zogenaamde ‘Phising mails’ of medewerkers die achteloos data of bedrijfswachtwoorden doorgeven. De beste oplossing voor deze kwestie is het opstellen én communiceren van een cyber- en databeveiligingsbeleid, waarin wordt geformuleerd wat van werknemers verwacht wordt en hoe zij kunnen zorgen dat bedrijfsgegevens en -systemen veilig blijven. Dit beleid kan vervolgens onderdeel worden van het instructie- en evaluatieproces voor alle werknemers, zodat zij de risico’s en hun verantwoordelijkheden goed begrijpen. Daarmee geef je als bedrijf ook duidelijk aan dat je databeveiliging serieus neemt. Lees ook deel 2 van dit blog.