Cybersecurity in het mkb is nog altijd onder de maat

06 februari 2020 Consultancy.nl

Kleine en middelgrote organisaties kunnen nog veel verbeteringen realiseren als het gaat om cybersecurity. Dat stelt Martin van Ernst, Partner IT Advisory bij Baker Tilly. 

Het niveau van cybersecurity in het mkb is nog altijd onder de maat. Dat komt naar voren in een onderzoek van Baker Tilly, waaruit onder meer blijkt dat de helft van de ondernemers niet eens de aangeboden updates op zijn computers draait, vertelt Martin van Ernst, die al meer dan vijf jaar partner is bij Baker Tilly: “Hierdoor is de digitale weerbaarheid van kleine en middelgrote organisaties nog altijd niet op het gewenste niveau.” 

Volgens Van Ernst is het maken van een kleine fout binnen het informatiebeveiligingswezen niet ongewoon, terwijl de gevolgen hiervan zeer groot kunnen zijn: “Regelmatig liggen gevoelige data – zoals persoonsgegevens – op straat. Of wordt de omgeving digitaal gegijzeld via zogenaamde ransomware en ligt de operatie stil. Ondernemers weten op zo’n moment niet waar ze moeten beginnen.” 

De Baker Tilly-professional legt uit dat ondernemers met hun handen in het haar zitten name met omdat ze niet beschikken over voldoende kennis en bovenal denken dat ze het toch nooit goed doen: “Juist die houding tegenover informatiebeveiliging maakt mkb-bedrijven extra kwetsbaar voor bijvoorbeeld datalekken of het niet beschikbaar zijn van dienstverlening. Een aantal basisactiviteiten op het gebied van informatiebeveiliging kan echter al veel problemen voorkomen.”

Martin van Ernst - Baker Tilly

Toepassen van beveiligingsupdates

Het tijdig bijwerken van gebruikte software met aangeleverde updates is een basisactiviteit waarmee ondernemers betrekkelijk eenvoudig grote stappen kunnen zetten, vertelt Van Ernst: “Beveiligingsupdates moet je zien als digitale hygiëne. Vergelijk het met je handen wassen om zo te voorkomen dat je ziek wordt van de bacteriën. De bekende beveiligingslekken in software zijn het meest gebruikte startpunt als organisaties worden aangevallen.” 

Naast het regelmatig bijwerken van software is het ook van belang dat ondernemers een periodieke kwetsbaarheidsscan uitvoeren op hun IT-omgeving om te controleren of alle updates ook daadwerkelijk goed zijn doorgevoerd. “Beveiligingsupdates worden als ingewikkeld ervaren, maar zijn eenvoudig uit te besteden. En meestal zijn de kosten hiervan niet al te hoog”, licht van Ernst toe. 

Kies de juiste IT-partner

Van Ernst geeft aan dat uitbesteding van IT-beheer in het kader van cybersecurity in zijn ogen een hoge prioriteit verdient. “Enerzijds omdat je als ondernemer bij uitbesteding nog steeds zelf de verantwoordelijkheid draagt om de kwaliteit van geleverde diensten te bewaken. Anderzijds doordat het uitbesteden van het beheer van IT-voorzieningen toeneemt en er daardoor veel IT-serviceorganisaties op de markt zijn gekomen.” 

Vooral veel kleinere IT-serviceorganisaties blijken vaak zelf nog zeer onvolwassen op het gebied van cybersecurity, laat Van Ernst weten: “De ondernemer verwacht echter dat deze serviceorganisaties weten wat ze doen. Maar de ervaring leert dat dat niet helaas niet altijd het geval is. Een periodieke scan op het doorvoeren van updates is een goede basisactiviteit, waarmee je de kwaliteit van je IT-leverancier kunt bewaken.” 

Het belang van back-ups

Een tweede basisactiviteit waarmee veel verbetering kan worden gerealiseerd is het regelmatig maken van back-ups van data. “Deze back-ups zijn het enige wapen tegen betaling van losgeld als een organisatie wordt geraakt door ransomware. In de praktijk staan veel back-ups echter ‘gewoon’ op de fileserver, waardoor ze niet zijn afgeschermd tegen deze dreiging. Door back-ups bij voorkeur offline, of in ieder geval goed beveiligd, op te slaan, kunnen ze niet gegijzeld worden. Ten slotte is het belangrijk periodiek te controleren of met de back-ups de bedrijfsvoering hersteld kan worden. Van grote waarde als een IT-omgeving onbeschikbaar is geraakt.” 

A never ending story

Cybersecurity is een continu bedrijfsproces en vereist voortdurend aandacht, benadrukt Van Ernst tot besluit: “De ondernemer moet hier ook naar handelen door bijvoorbeeld een risico-inventarisatie te maken. Welke risico’s zou een organisatie kunnen lopen en wat zijn de consequenties? Door vervolgens te acteren op relevante risico’s én periodiek te controleren, wordt het digitaal beveiligen van de organisatie business as usual.”


Profiel

Meer nieuws over

×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cegeka Consulting Cmotions COMATCH Conclusion Count & Cooper CPMview De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting Flowant flowresulting FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group NEWCRAFT Node1 Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ People Change PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Wellington Redwood Quintop Raad van Toekomst ResidentieProfs RGP Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Volt Strategy Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Xebia Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup
×
×
×