Cybersecurity mkb nog altijd ondermaats: ‘50% ondernemers draait niet eens updates’

Het niveau van cybersecurity in het mkb is nog altijd onder de maat. Uit onderzoek van Baker Tilly blijkt dat de helft van de ondernemers niet eens de aangeboden updates op hun computers draait. Hierdoor is de digitale weerbaarheid van kleine en middelgrote organisaties nog altijd niet op het gewenste niveau.

Een kleine fout in informatiebeveiliging is snel gemaakt, maar heeft vaak grote gevolgen. Regelmatig liggen gevoelige data, zoals persoonsgegevens, op straat. Of wordt de omgeving digitaal gegijzeld via zogenaamde ransomware en ligt de operatie stil. Ondernemers weten op zo’n moment niet waar ze moeten beginnen. De kennis ontbreekt en ondernemers denken dat ze het toch nooit goed genoeg is. Juist die houding tegenover informatiebeveiliging maakt mkb-bedrijven extra kwetsbaar voor bijvoorbeeld datalekken of het niet beschikbaar zijn van dienstverlening. Een aantal basisactiviteiten op het gebied van informatiebeveiliging kan echter al veel problemen voorkomen.

Toepassen van beveiligingsupdates

Het tijdig bijwerken van gebruikte software met aangeleverde updates is zo’n basisactiviteit. Beveiligingsupdates moet je zien als digitale hygiëne. Vergelijk het met je handen wassen om zo te voorkomen dat je ziek wordt van de bacteriën. De bekende beveiligingslekken in software zijn het meest gebruikte startpunt als organisaties worden aangevallen. Naast het periodiek bijwerken van software is het ook van belang om een periodieke (kwetsbaarheid)scan uit te voeren op een IT-omgeving om te controleren of alle updates ook daadwerkelijk goed zijn doorgevoerd. Beveiligingsupdates worden als ingewikkeld ervaren, maar zijn eenvoudig uit te besteden (tegen beperkte kosten).

Wees kritisch op IT-serviceorganisaties

Uitbesteding van IT-beheer behoeft overigens wel de nodige aandacht. Enerzijds omdat je als ondernemer bij uitbesteding nog steeds zelf de verantwoordelijkheid draagt om de kwaliteit van geleverde diensten te bewaken. Anderzijds doordat het uitbesteden van het beheer van IT-voorzieningen toeneemt en er daardoor veel IT-serviceorganisaties op de markt zijn gekomen. Vooral veel kleinere IT-serviceorganisaties blijken vaak zelf nog zeer onvolwassen op het gebied van cybersecurity. De ondernemer verwacht echter, dat deze serviceorganisaties weten wat ze doen. Een periodieke scan op het doorvoeren van updates is een goede basisactiviteit, waarmee je de kwaliteit van je IT-leverancier kunt bewaken.

Goed beveiligen van gemaakte back-ups

Een tweede basisactiviteit is het regelmatig maken van back-ups van data en bedrijfssoftware. Deze back-ups zijn het enige wapen tegen betaling van losgeld als een organisatie wordt geraakt door ransomware. In de praktijk staan veel back-ups echter ‘gewoon’ op de fileserver, waardoor ze niet zijn afgeschermd tegen deze dreiging. Door back-ups bij voorkeur offline, of in ieder geval goed beveiligd, op te slaan, kunnen ze niet gegijzeld worden. Ten slotte is het belangrijk periodiek te controleren of met de back-ups de bedrijfsvoering hersteld kan worden. Van grote waarde als een IT-omgeving onbeschikbaar is geraakt.

Continu proces

(Digitale) beveiliging is een continu bedrijfsproces en vereist voortdurend aandacht. De ondernemer moet hier ook naar handelen door bijvoorbeeld een risico-inventarisatie te maken. Welke risico’s zou een organisatie kunnen lopen en wat zijn de consequenties? Door vervolgens te acteren op relevante risico’s én periodiek te controleren, wordt het (digitaal) beveiligingen van de organisatie business as usual. Door: Martin van Ernst Martin van Ernst is Partner IT Advisory bij Baker Tilly