Hoe weet je zeker of jouw IT-beheerder je basisbeveiliging bewaakt?

9 vragen die ondernemers moeten stellen aan hun IT-beheerder/leverancier

woensdag 25 november 2020

Verschillende onderzoeken wijzen op een verontrustende blinde vlek bij veel ondernemers in het midden- en kleinbedrijf (mkb). Uit onderzoek van GfK bleek bijvoorbeeld dat 79% van de ondernemers voor hun basisbeveiliging vertrouwt op hun IT-leverancier, terwijl slechts 22% van die leveranciers aangeeft hier de verantwoordelijkheid voor te dragen. 58% van de mkb-klanten is zo onvoldoende beschermd en dit levert een aanzienlijk bedrijfsrisico op. Ondernemers tasten blijkbaar nog vaak in het duister bij wie ze de zorg voor hun basisbeveiliging hebben uitbesteed. En dat baart zowel IT-leveranciers als security-experts zorgen.

Ondernemers hoofdelijk aansprakelijk

Bestuurders zijn sinds 2018 verplicht om datalekken te melden (AVG, 2018). Ook kan een bestuurder die bekend was met een datalek, onbehoorlijk bestuur verweten worden. Daarnaast kan een bestuurder ook persoonlijk worden aangesproken door betrokkenen van wie er gegevens gelekt zijn. Het is dus belangrijk dat ondernemers makkelijk kunnen toetsen of hun IT-leverancier ook kan garanderen dat hun basisbeveiliging op orde is, – of dat hier aanvullende afspraken of expertise voor nodig is.

Daarom hebben we in overleg met IT-leveranciers en security-experts de belangrijkste vragen geformuleerd die ondernemers moeten stellen aan hun IT-beheerder en/of -leverancier om te borgen dat hun basisbeveiliging op orde is of dat er aanvullende dienstverlening nodig is.

1. Hoe – en waar – wordt mijn data opgeslagen?

Het kan veel verschil uitmaken waar de data van je onderneming opgeslagen wordt. Gebruikt een leverancier eigen servers, wordt je data in de cloud of lokaal opgeslagen (bijvoorbeeld door servers bij de ondernemer in het netwerk te plaatsen)? Vraag aan je IT-beheerder waarom hij voor een bepaalde oplossing heeft gekozen en houd daarbij rekening met het feit dat cloudoplossingen soms in het buitenland (of buiten Europa) gehost worden. Voor bepaalde typen data kan dit laatste ongewenst zijn. Bedenk dat de lokale wetgeving van het land waar je data opgeslagen van toepassing is. En die kan op het gebied van privacy en security afwijken van de Nederlandse – of Europese – wetgeving.

2. Voldoen we aan certificeringseisen en regelgeving zoals de AVG?

Je bent als eigenaar van de data verantwoordelijk en dus moet je voldoen aan de AVG. Dat houdt onder andere in dat je een verwerkersovereenkomst moet hebben met de leverancier die verantwoordelijk is voor je dataopslag of dienstverlening. Afhankelijk van het type data, de sector waarin je actief bent en de eisen van je klanten kunnen daar nog extra voorwaarden voor gelden. Zo vragen veel bedrijven om een ISO- of NEN-certificering. Om daaraan te kunnen voldoen dienen alle partijen in de keten daaraan te voldoen. Ook je IT-leverancier en de achterliggende partijen die zij weer inzetten om je diensten te kunnen leveren.

3. Hoe wordt onze data geback-upt?

Niets is zo vervelend als een bedrijf dat van de een op de andere dag volledig stil ligt na een storing of een cyberaanval. Het hebben van een goed ingeregeld backup-proces kan veel tijd en problemen schelen. Daarbij komt het soms nog wel eens voor dat partijen gebruikmaken van een oplossing die alleen de laatste paar backups bijhoudt. In het geval van een cyberaanval kan het zo zijn dat men al weken – en soms maanden – toegang heeft tot de systemen. Het terugzetten van de backup van vorige week biedt dan weinig soelaas; kwaadwillenden zijn tenslotte al binnen en de data die wordt terugzet is ook aangetast. Hou daarbij ook rekening met het feit dat je als ondernemer verantwoordelijk bent voor de veilige opslag (ook de backups) van je data.

Hoe staat het nou echt met de veiligheid van je bedrijf?

4. Is er een ‘disaster recovery’ of bedrijfscontinuïteitsplan?

In het geval van cybersecurity is het niet de vraag ‘of’, maar ‘wanneer’ je bedrijf slachtoffer wordt. Het is onmogelijk om 100% veiligheid te garanderen. Zeker niet in een wereld die continu verandert en waar dagelijks nieuwe aanvallen bekend worden. Het is belangrijk dat je IT-beheerder een plan heeft voor het moment dat het misgaat en dit regelmatig toetst aan het huidige ‘dreigingslandschap’. Alleen zo kun je als ondernemer gerust zijn op het feit dat men voorbereid is om in te grijpen als het misgaat.

5. Wat is de oplossing voor het scannen naar kwetsbaarheden in het kantoornetwerk?

Kwetsbaarheden kunnen voor komen op allerlei gebieden en zijn niet alleen te voorkomen door regelmatig je besturingssysteem te updaten. Op een kantoor staan vaak meerdere apparaten die een verbinding met het netwerk – en/of de buitenwereld – kunnen maken. Denk daarbij aan printers, fileservers, IoT-apparaten, camera’s, netwerkapparatuur, VoIP-telefoons, etc. Al deze apparaten kunnen kwetsbaarheden bevatten die voor een aanvaller een ingang kan vormen. Het is daarom belangrijk om deze apparatuur regelmatig te scannen op de nieuwste kwetsbaarheden.

Een vervolgvraag is natuurlijk “En wat gebeurt er als jullie een kwetsbaarheid vinden?”. Want weten dat er een probleem is, is goed, maar daarna moet het wel opgelost worden. Bijvoorbeeld door de software op het apparaat te updaten of door aanpassingen te doen in het netwerk.

6. Hoe worden onze netwerkapparaten – zoals laptops, beschermd?

In de huidige wereld is alleen een virusscanner onvoldoende voor het beveiligen van een bedrijfsnetwerk. Een zogenaamde ‘endpoint protection’-oplossing beveiligt je apparatuur, zoals computers, mobiele apparaten en servers, tegen aanvallen. Een endpoint protection-oplossing signaleert aanvallen, houdt ze tegen en biedt een beheerder de mogelijkheid om vanuit een centrale omgeving de veiligheid te monitoren. Ook kan de beheerder in geval van verlies of diefstal, het apparaat op afstand wissen of blokkeren.

7. Hoe garanderen jullie de veiligheid van onze website?

Vrijwel ieder bedrijf heeft een website. Soms is een website het visiteplaatje van de onderneming, in andere gevallen verloopt bijna de hele dienstverlening via de website. Dat een website bereikbaar is en goed werkt is vandaag de dag cruciaal voor ondernemers.

Dat maakt een website dan ook een interessant doelwit voor aanvallers. Niet alleen kunnen cybercriminelen met het platleggen van een bedrijfswebsite een ondernemer onder druk zetten, ook kunnen ze op die manier data verkrijgen over de klanten, partners en leveranciers van een bedrijf. Naast dat je wil voorkomen dat je melding van een datalek moet doen bij de Autoriteit Persoonsgegevens, wil je je klanten ook niet moeten vertellen dat hun gegevens op straat liggen. Daarom is het belangrijk dat je informeert naar de oplossingen die een websitebeheerder heeft om de veiligheid te garanderen. Wordt je site regelmatig gescand op kwetsbaarheden, wordt de technische infrastructuur gemonitord en updaten ze de software regelmatig? Denk daarbij aan je content management system, zoals Joomla of WordPress.

8. Wat is het communicatieproces bij incidenten?

Zoals al eerder aangegeven is het niet zozeer de vraag ‘of’ maar ‘wanneer’ je IT-infrastructuur of website onder vuur komt te liggen. Informeer bij je leverancier wat voor afspraken zij hebben voor het geval dat dit gebeurt. Informeert men je direct bij incidenten, ook als ze nog gaande zijn, of pas na afloop, als de problemen verholpen zijn? Krijg je een uitgebreid rapport van elk incident of alleen maar een melding dat het opgelost is? En belangrijker nog: voegt men bij zware verstoringen ook een ‘lessons learned’ toe? Dat dingen misgaan is niet altijd te voorkomen, maar een goede IT-dienstverlener leert van de fouten en past de processen en systemen aan. Zo voorkomen ze dat de fout nog een keer gemaakt wordt. En natuurlijk mag je verwachten dat hierover met jou transparant gecommuniceerd wordt.

9. Waaruit bestaat jullie dienstverlening?

Voor veel ondernemers is IT-dienstverlening een noodzakelijk kwaad. “Als de laptops maar opstarten en de e-mail werkt is het in de meeste gevallen goed. Toch?” Wees je ervan bewust dat besparen op de kosten voor IT-dienstverlening een groot risico vormt. Voer je bepaalde taken zelf uit? Of is het beter deze uit te besteden aan een IT-dienstverlener? Een dienstverlener die maar een paar uur per week kan factureren om problemen op te lossen beperkt zich tot het absoluut noodzakelijke, en dat is het in de lucht houden van de systemen. Voor onderhoud, veiligheid en bredere maatregelen is in dat geval te weinig ruimte. Informeer bij je IT-beheerder wat er allemaal mogelijk is binnen de afgenomen diensten en bepaal samen met hem wat een goede balans is tussen veiligheid en kosten. Niet iedere ondernemer heeft de financiële middelen om 24/7 een Security Operations Center draaiende te houden. In dat geval is het raadzaam om met je leverancier om tafel te gaan om te kijken wat de mogelijkheden zijn.

Onthoud daarbij dat de kosten die ontstaan als je bedrijf een dag of misschien zelfs een aantal weken ‘plat’ gaat, vaak vele malen hoger liggen dan de kosten voor beheer en onderhoud van je IT-infrastructuur en beveiliging.

Direct contact met een security-expert?

Wil je na het lezen van deze info overleggen met een security-expert? Wij helpen je graag! Neem contact op met onze security expert Frans Nieuwland via +31 85 006 11 70  of support@cybersterk.nl.

Deel dit artikel
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn