De meest gemaakte cyber security fouten – en hoe je ze voorkomt (2)

In de vorige blog hebben we enkele tips gegeven over hoe uw personeel kan bijdragen aan een optimale cyber security culture. In dit vervolg bieden we enkele tips waarmee u als manager uw eigen gedrag en bedrijfsbeleid kunt aanscherpen.

Geen goede back-ups maken (of zelfs helemaal geen)

Nog een fout die zeer vaak voorkomt: geen goede back-ups maken van de systemen, waardoor de beschadigde of verwijderde bestanden na een aanval niet meer te herstellen zijn. Hoewel steeds meer bedrijven momenteel back-upmaatregelen invoeren, is de neiging groot om deze eenmaal in te stellen en daarna weer te vergeten. Vaak ontdekken zij dan pas dat er iets mis mee is als het al te laat is. Ons advies is om elke dag een off-site back-up van uw systemen te maken en de kwaliteit van de back-ups regelmatig te controleren. Niets is erger dan ontdekken dat je systeem niet meer werkt en je gemaakte back-ups in feite waardeloos zijn.

Onvoldoende toegangscontrole

Een ander punt dat we vaak zien bij kleine bedrijven, is dat de toegangsgegevens voor systemen en data achteloos worden doorgegeven. Uiteindelijk beschikt zo iedereen over de inloggegevens voor alle systemen, soms zelfs inclusief de administrator-bevoegdheden. Hoewel dit het dagelijkse werk misschien gemakkelijker maakt, verhoogt hierdoor ook de kans op een inbreuk, ben je kwetsbaar voor ontevreden werknemers en is het bij problemen moeilijk om de verantwoordelijke op te sporen. Het gebruik van algemene inloggegevens is bijna nooit te verantwoorden. Iedereen dient dus een individuele login te hebben, enkel voor de systemen die zij nodig hebben en de benodigde verificaties. Het is beter om met een laag toegangsniveau te beginnen en deze alleen te verhogen indien nodig. Zorg ook dat werknemers moeten inloggen met hun werkmail, waar u de uiteindelijke controle over hebt. Toegangsniveaus dienen continu bijgehouden te worden zodat niemand inloggegevens heeft die hij niet nodig heeft. Zodra werknemers het bedrijf verlaten, moet de toegang tot systemen automatisch worden ingetrokken en de gegevens aangepast.

Software niet updaten

We ergeren ons allemaal aan die eindeloze pop-ups die ons vertellen het systeem of programma bij te werken. Maar wie dit niet doet, maakt zich kwetsbaarder voor een aanval. Betrouwbare patches en software updates, bijvoorbeeld voor je besturingssysteem, WordPress website of antivirussoftware, bevatten vaak essentiële beveiligingsupgrades die bescherming bieden tegen nieuwe en veranderende risico’s. Door automatische updates van betrouwbare aanbieders in te schakelen, zorg je dat deze regelmatig geïnstalleerd worden. Vergeet hierbij niet de zogenaamde “3e Partij Software”.

Geen rampenplan

Tot slot, maar niet minder belangrijk: te veel kleine bedrijven zijn te traag en onvoldoende voorbereid om dreigingen tijdig te herkennen en erop te reageren. Die reactie kan een zeer grote invloed hebben op de schade ─ aan apparatuur, financiën of het imago ─ die uiteindelijk geleden wordt. Wanneer een aanval of breuk plaatsvindt, moet duidelijk zijn wie verantwoordelijk is voor de besluitvorming en de lancering van een responsplan. Het is ook van levensbelang om te weten wie benaderd moet worden voor advies op juridisch, IT-forensisch en PR-gebied en hoe u cliënten gaat benaderen. Ook het afsluiten van een cyberverzekering kan van onschatbare waarde zijn, ter vergoeding van eventuele juridische kosten en compensaties plus andere uitgaves die als gevolg van de aanval nodig zijn. Cyber security is typisch zo’n aspect waarbij de waarde van voorzorgsmaatregelen pas duidelijk wordt als het te laat is ─ om vervolgens te willen dat u meer had gedaan. Besef dus dat enkele simpele maatregelen vandaag heel wat ellende voor uzelf en uw bedrijf kunnen besparen in de toekomst. Lees ook deel 1 van dit blog