Dat cybercriminaliteit toeneemt is helaas een feit. Dat je als mkb-onderneming een doelwit bent voor aanvallen kunnen we ook als een feit benoemen. Je denkt misschien dat je niet waardevol genoeg bent voor deze criminelen, maar niets is minder waar. Er valt voor criminelen vaak al gemakkelijk geld te verdienen door je data te blokkeren tot je betaalt. Dan hoeft die data voor de criminelen zelf nog niets eens waardevol te zijn om bijvoorbeeld door te verkopen, zolang jij maar betaalt.
De gevolgen kunnen desastreus zijn. Grote kans dat je bij een cyberaanval enkele uren tot meerdere dagen stil ligt waarbij je omzet misloopt. Je riskeert een boete als er data op straat komt te liggen. En je zou zelfs je eigen klanten of relaties datzelfde kunnen laten overkomen als er vanuit jouw e-mailadres malafide e-mails worden gestuurd naar je relaties, mensen die jou als afzender vertrouwen.
Kortom, het regelen van goede beveiliging is vandaag de dag een must.
Maar wanneer ben je nu écht goed beveiligd?
Wanneer kan je met zekerheid stellen dat je het goed geregeld hebt?
Een goede beveiliging bestaat uit het organiseren van de volgende componenten:
1. De tools:
denk aan Multi Factor Authenticatie, een back-up van je data, het up-to-date houden van je hard- en software. Meestal zaken die je IT-partner voor je regelt.
2. Processen:
waar staat je meest waardevolle data en hoe ga je daarmee om in de dagelijkse werkzaamheden? Hoe bepaal je wie waar rechten toe krijgt?
3. Het gedrag van je medewerkers:
herkennen jouw medewerkers gemakkelijk een malafide e-mail dat er een pakket voor ze klaarligt of dat deze inkoopfactuur niet écht van dat bedrijf komt?
4. Beheer en monitoring:
mocht er ondanks alle maatregelen om je IT-omgeving te beveiligen toch iets gebeuren, moet je het zo snel mogelijk opmerken en op de juiste manier ingrijpen.
Je IT-partner bevestigt wellicht dat de techniek geregeld is. In de basis. Want ook voor processen zouden technische oplossingen kunnen worden ingezet. Hoe weet je nu hoe je invulling moet geven aan deze componenten en waar je je IT-partner om hulp zou kunnen vragen? Zodat je ook een pasklaar antwoord hebt voor je accountant en voor eventuele opdrachtgevers die dezelfde eisen stellen? Nog belangrijker: zodat er geen sprake is van schijnveiligheid, maar dat je als ondernemer rust hebt bij de gedachte dat je zaken goed geregeld hebt.
Een Security Framework geeft aan welke securitymaatregelen een bedrijf zou moeten nemen afhankelijk van de grootte van het bedrijf en de risico’s die het loopt. Het framework geeft niet aan hoe je dat moet doen of met wat voor oplossing. Daar kunnen wij je bij helpen, ofwel met pasklare oplossingen, begeleiding of een goed advies.
Er bestaan veel verschillende soorten Security Frameworks:
1.
Een groot IT-bedrijf als Microsoft kiest bijvoorbeeld voor de zwaarste categorie, de Risk Frameworks. Dit betekent een grote continue investering maar dat past ook bij de grootte van een bedrijf als Microsoft en de risico’s die zij lopen.
2.
Het werken met een Risk Framework is voor ons, WSB Solutions, een stap te ver. Wij hebben gekozen om gebruik te maken van een Program Framework; wij voldoen aan de eisen die de bekende beveiligingsnorm ISO27001:2017 stelt. Wij zijn een ICT-bedrijf en lopen daardoor grotere risico’s dan het gemiddelde mkb-bedrijf; voor ons reden om te kiezen voor ISO27001.
3.
Voor de meeste niet-ICT bedrijven gaat ISO27001 te ver. Wij adviseren onze (mkb-)klanten daarom gebruik te maken van CIS18, een Control Framework dat pragmatisch en handzaam is.
De CIS Controls is een lijst met 18 maatregelen, verdeeld over een drietal groepen: basic, foundational en organizational. De gedachte is dat wanneer een organisatie de basis al op orde heeft (dus de groep basic), het grootste gedeelte van alle cyber-ellende voorkomen kan worden.
Het resultaat van het gebruiken van een dergelijke framework geeft je een pasklaar antwoord. Indien ernaar wordt gevraagd kun je namelijk zeggen dat jullie daarvoor gebruikmaken van de CIS Controls, waarna je kunt aanreiken hoe je de specifieke controls hebt ingeregeld. Zelf of samen met je IT-partner. En je kunt er gerust op zijn dat je het goed geregeld hebt.
Blijven er risico’s bestaan?
Helaas wel; al heb je het met de invulling van de controls terug kunnen brengen naar minimaal / bijna nul, het is nooit een garantie. Wil je kunnen blijven monitoren of je beveiliging ook na implementatie goed geregeld blijft? Lees hier verder over onze Managed Security dienst.