De 6 meest gemaakte security-fouten in het mkb

Eén op de vijf Nederlandse mkb-bedrijven is weleens slachtoffer geweest van cybercriminaliteit. Bovendien hebben mkb-ondernemers in Europa veel vaker te lijden onder ransomware dan hun collega’s elders in de wereld. Dat security belangrijk is, zal elke ondernemer anno 2019 wel beamen. Maar waarom gaat het dan toch nog zo vaak mis? De zes meest voorkomende security-fouten op een rij.

1. Menselijk handelen

Vergeet even de systemen, de virusscanners, de firewalls. Het grootste cyberrisico binnen het mkb is menselijk handelen. Het zijn vaak medewerkers die op verkeerde links klikken. Toch werken maar weinig bedrijven actief aan het vergroten van het bewustzijn op de werkvloer. Ondernemers doen er goed aan om ook zélf op de hoogte te blijven van de ontwikkelingen op het gebied van security. Een mooi startpunt daarvoor is de website security.nl.

2. Te weinig testing

Hoe staat het met de beveiliging van bedrijfscruciale data en systemen in uw organisatie? Wel goed, denkt u misschien. Want u heeft antivirusscanners, spamfilters, back-ups en een firewall. Maar werken ze? Vaak wordt er bij bedrijven veel opgetuigd, maar weinig getest. Hierdoor valt de praktijk nog weleens tegen: u wordt ondanks alles slachtoffer van een ransomware-aanval, of informatie gaat tóch verloren. Met pen testing kunt u onderzoeken of uw systemen bestand zijn tegen kwaadwillende buitenstaanders.

3. Geen noodplan

Veel bedrijven hebben geen processen vastgelegd voor het omgaan met een cyberaanval. Ze nemen wel maatregelen om aanvallen te voorkomen, maar niet om ze op te lossen. Vervolgens moeten er op stel en sprong beslissingen genomen worden over zaken waarover nooit eerder goed is nagedacht. Het gevolg? Bedrijfsprocessen liggen langer stil dan nodig.

4. Gebrekkige fysieke beveiliging

De fysieke beveiliging laat regelmatig te wensen over. Bij veel bedrijven kunnen buitenstaanders zomaar naar binnen lopen of zelfs toegang krijgen tot werkplekken van medewerkers. Organisaties moeten beter nadenken over hun hun fysieke beveiliging. Te denken valt aan een receptie waar bezoekers zich moeten melden, het uitgeven van passen en/of het begeleiden van mensen tijdens hun bezoek. Vergeet niet: veel medewerkers zijn onvoldoende getraind en laten hun computer (en dus belangrijke documenten) meerdere keren per dag onvergrendeld achter. Zo maken bedrijven het makkelijk voor kwaadwillende mensen om schade te veroorzaken.

5. Enkelvoudige authenticatie

Bedrijven passen vaak geen meervoudige authenticatie toe voor de belangrijkste systemen. Meervoudige authenticatie betekent dat gebruikers niet alleen met een wachtwoord toegang krijgen, maar dat hun identiteit wordt geverifieerd, bijvoorbeeld via sms of e-mail. Systemen met enkelvoudige authenticatie zijn makkelijker te hacken.

6. Onvoldoende overzicht

Hoe groter een organisatie, hoe diffuser het zicht op rechten en toegang onder medewerkers. Niet zelden hebben bedrijven zeer gebrekkig inzicht in wie er allemaal toegang hebben tot (bedrijfsgevoelige) data, systemen en applicaties. Zolang dit onduidelijk blijft voor leidinggevenden, kunnen gegevens makkelijker worden gestolen en zijn problemen minder snel opgelost.

Afsluitend: 3 tips voor betere veiligheid

1. ISO 27001 certificatie: begin het traject voor ISO 27001-certificering om veiligheidsmaatregelen te borgen in uw organisatie.
2. Risicoanalyse: voer minimaal één keer per jaar een risicoanalyse uit. Zo krijgt u een beter beeld van uw IT-omgeving en waar nog winst te behalen is.
3. Train uw medewerkers: leer medewerkers bewust omgaan met mailberichten. Zorg dat ze weten waar ze terechtkunnen met hun vragen of twijfels.