Veel organisaties ervaren cybersecurity als complex. Toch is het belangrijkste uitgangspunt heel eenvoudig: begin altijd bij de basis. Met enkele relatief simpele maatregelen dekt u namelijk een groot deel van de cyberrisico’s af. Hoe ziet zo’n basisbeveiliging er in de praktijk uit? En hoe bepaalt u welke maatregelen prioriteit hebben voor uw bedrijf?
De bouw van een huis begint niet met de badkamer, maar bij de fundering. Dat is voor iedereen logisch. Toch is dit precies wat er vaak misgaat als organisaties keuzes moeten maken voor hun IT-security. Zij investeren in dure oplossingen met een heel specifiek doel, terwijl cruciale basismaatregelen niet genomen zijn.
Cybersecurity is ook complex, zeker in deze sterk gedigitaliseerde wereld. Organisaties moderniseren hun IT-omgeving en experimenteren bijvoorbeeld met nieuwe technologieën zoals het Internet of Things. Steeds meer mensen werken bovendien vanuit huis. Het zijn allemaal ontwikkelingen waardoor het aanvalsoppervlak groeit. Cybercriminelen breiden hun wapenarsenaal ook continu uit. Van phishing en ransomware tot netwerkaanvallen en cryptojacking: het is onmogelijk om elk cyberrisico af te dekken.
Belang van basisbeveiliging
Wel kan elke organisatie de risico’s fors beperken door de basis op orde te brengen. Bij de meeste cyberaanvallen maken criminelen gebruik van eenvoudige methoden. Ze sturen bijvoorbeeld een phishingmail om inloggegevens los te peuteren. Of ze breken in via een bekende kwetsbaarheid in software. Met enkele basismaatregelen zijn deze aanvallen af te weren. Zo beschermt e-mailsecurity tegen phishingmails en voorkomt een strikt patchbeleid dat beveiligingsupdates worden uitgesteld.
Helaas wordt het basisniveau voor cybersecurity vaak niet gehaald, zo blijkt uit het Cybersecuritybeeld Nederland 2020. “De weerbaarheid tegen digitale dreigingen is nog niet overal op orde”, waarschuwt de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). “Partijen zijn daardoor extra kwetsbaar voor cyberincidenten. Dat geldt zeker wanneer onvoldoende basismaatregelen zijn getroffen, die eerste barrières opwerpen tegen aanvallen, schade beperken en herstel eenvoudiger maken wanneer incidenten zich toch voordoen.”
Hoe richt ik mijn basisbeveiliging in?
Sommige securitymaatregelen zijn voor elke organisatie essentieel. Denk hierbij aan het maken van online en offline back-ups en het tijdig installeren van patches. Maar de verdere invulling van de basisbeveiliging verschilt per bedrijf. KPN Security adviseert het volgende stappenplan om de prioriteiten voor uw organisatie te bepalen:
1. Identificeer uw belangrijkste (bedrijfs)assets
Elke organisatie heeft zo zijn eigen ‘kroonjuwelen’. Voor een webwinkel moet de website bijvoorbeeld altijd online zijn, anders kunnen klanten geen bestellingen plaatsen. Ook mogen de persoons- en betaalgegevens van die klanten niet op straat komen te liggen. Basisbeveiliging is er in de eerste plaats op gericht deze cruciale bedrijfsmiddelen te beschermen.
2. Identificeer uw belangrijkste bedreigingen
Bepaal vervolgens wat de grootste bedreigingen voor deze kroonjuwelen zijn. In het geval van de webwinkel kunt u denken aan Distributed Denial of Service (DDoS)-aanvallen waardoor de website tijdelijk niet beschikbaar is. Daarnaast mogen cybercriminelen geen toegang krijgen tot uw systeem met klantgegevens, bijvoorbeeld via een phishingaanval.
3. Onderzoek de impact van incidenten
Breng in kaart wat de concrete gevolgen zijn van zo’n incident. Als de website offline is, loopt de webwinkel uit het voorbeeld omzet mis. Een datalek met klantgegevens leidt mogelijk tot een boete van de Autoriteit Persoonsgegevens als de informatiebeveiliging niet op orde was. Beide incidenten kunnen ook schadelijk zijn voor de reputatie van de webwinkel.
4. Stel een passend budget vast
U heeft nu een risicoanalyse uitgevoerd. Maar voordat u de maatregelen selecteert waarmee u de belangrijkste risico’s afdekt, moet u eerst weten hoeveel budget er beschikbaar is voor cybersecurity. Geen enkele organisatie beschikt over de financiële middelen om alle mogelijke maatregelen te treffen. Het budget helpt u om scherpe keuzes te maken.
5. Selecteer, test en evalueer de oplossingen
Met een duidelijk beeld van de risico’s en uw budget kunt u de juiste oplossingen selecteren. Een aantal voorbeelden van effectieve securitymaatregelen:
Vormen DDoS-aanvallen het grootste risico voor de continuïteit van uw organisatie? Dan staat een Anti-DDoS-dienst hoog op uw prioriteitenlijst. Dat geldt voor webwinkels, maar ook voor andere online dienstverleners met bijvoorbeeld klantportalen of apps.
Wordt uw bedrijf bestookt met phishingmails, en is e-mail absoluut cruciaal voor uw bedrijfsvoering? Begin dan met e-mailbeveiliging. Daarmee onderschept u niet alleen spam en malware, maar houdt u ook phishingmails en pogingen tot CEO-fraude tegen.
Maakt u zich met name zorgen over een besmetting met ransomware en andere malware? Overweeg dan om als eerste alle laptops, desktops en servers van endpointsecurity te voorzien. Dit beschermt tegen malware die zich direct op het apparaat nestelt.
Cybercriminelen verfijnen hun aanvalsmethoden continu. Een IT-omgeving die vandaag veilig is, zal morgen wellicht al enkele zwakke plekken kennen. Cybersecurity is dan ook geen eenmalige oefening, maar een voortdurend proces waarbij u de maatregelen test, evalueert en aanscherpt. Alleen dan blijft uw basisbeveiliging structureel op niveau.
Samen de basis op orde brengen
Bovenstaand stappenplan is slechts een globale weergave van hoe u tot een solide basisbeveiliging komt. KPN Security helpt u hier graag bij. Bent u benieuwd of u de juiste basismaatregelen al heeft getroffen? Meld u dan nu gratis aan voor onze interactieve kennissessie.
Aanmelden
