1. Denk als een crimineel
Bekijk je eigen organisatie en data vanuit de ogen van een boef. Wat zou je willen hebben? Waar zou je geld aan kunnen verdienen? Welke informatie van je bedrijf is geld waard? En hoe kom je relatief makkelijk binnen?
Door op deze manier te denken, krijg je snel inzicht in wat je te verliezen en dus te beschermen hebt. Ga vervolgens na hoe de digitale beveiliging binnen je bedrijf is geregeld. Kijk daarbij niet alleen naar technische maatregelen, maar ook naar de kennis van je medewerkers/collega’s. Snappen zij wat ze wel en niet mogen delen? Staat bij veelgebruikte processen de veiligheid voorop?
Je kunt ook een zogenoemde ‘ethische hacker’ inschakelen. Zo iemand probeert opzettelijk in te breken en test op deze manier je systemen op zwakke plekken. Een hack in je systeem gebeurt zo op een veilige manier.
2. Check je website
Een website zegt veel over hoe serieus een bedrijf de digitale beveiliging neemt. Het is als het ware een visitekaartje voor andere processen binnen de organisatie. Voor een steeds grotere groep klanten en leveranciers is een goede beveiliging een voorwaarde om zaken te doen. Commercieel gezien is het daarom handig om met cyber security aan de slag te gaan.
Daarnaast is het goed om je te bedenken, dat je met een onvoldoende beveiligde site niet alleen je eigen bedrijf, maar ook werknemers, leveranciers en klanten in gevaar kunt brengen. De website vormt immers vaak een centrale functie in het verbinden van deze partijen. Als het dataverkeer bijvoorbeeld niet goed versleuteld is, kunnen hackers inbreken in het bestelproces van een webshop of de afhandeling van een contactformulier. Op deze manier hebben ze niet alleen toegang tot de namen en adressen van klanten, maar kunnen ze ook bij betaalgegevens komen.
3. Voel je IT’er aan de tand
Een onvoldoende beveiliging komt maar zelden voort uit onverschilligheid. Er gaat veel mis door onterechte verwachtingen. Maar al te vaak nemen bedrijven een pakket af bij bijvoorbeeld een webshop- of hostingpartij en gaan er daarmee vanuit dat alles geregeld is. Dit blijkt een gevaarlijke aanname.
Het is daarom aan te raden om expliciet bij je leverancier(s) na te vragen welke beveiligingsmaatregelen zij voor je treffen. En laat eens door een externe partij op hoofdlijnen checken hoe je bedrijf ervoor staat als het gaat om cyberbeveiliging. Dat hoeft echt geen hele audit te zijn. Met een kleine tijdsinspanning en wat simpele aanpassingen kun je vaak al heel veel winst behalen. Uiteindelijk ben je als ondernemer of bestuurder toch zelf verantwoordelijk voor de veiligheid van je bedrijf. Het is daarom slim om altijd de regie te houden, ook als je zaken uitbesteedt.
4. De AVG; hoe staat het daarmee?
De Algemene Verordening Gegevensbescherming (AVG): als ondernemer kun je er niet omheen. Met de komst van de AVG heb je als ondernemer namelijk meer verantwoordelijkheden gekregen op het gebied van privacy en de bescherming van persoonsgegevens die je verwerkt. Bijvoorbeeld die van je klanten of medewerkers. De Autoriteit Persoonsgegevens controleert op naleving van de privacywet en heeft de eerste AVG-boete inmiddels uitgedeeld. Toch hebben veel bedrijven hun privacyzaken nog niet op orde en dat is zorgelijk. Want keer het maar eens om: je bent zelf ook klant bij bedrijven. Je verwacht toch ook dat zij zorgvuldig omgaan met je gegevens? Niemand wil dat zijn of haar gegevens op straat belanden.
Heb je je privacyzaken op orde?
De AVG dwingt je om goed na te denken over je bedrijfsvoering. Welke persoonsgegevens verwerk je? En hoe bescherm je deze gegevens? Denk ook na of je de gegevens die je van je klanten vraagt écht nodig hebt. Want in algemene zin geldt: hoe minder data je verzamelt, hoe makkelijker je aan de privacywetgeving kunt voldoen en hoe minder schade er is bij een hack of datalek.
Let wel, het is niet zo dat bedrijven die voldoen aan de AVG niet getroffen kunnen worden door een hack of datalek. Maar door je medewerkers bewust te maken van het belang van privacy en de juiste maatregelen te nemen, wordt de kans op een hack in je systeem wel een stuk kleiner. Zorg dus dat de privacyhuishouding binnen je bedrijf op orde is en blijft.
Maak van privacy een unique selling point
De toezichthouder wordt overspoeld met privacyklachten; mensen maken zich duidelijk zorgen over hun privacy. Daarom zijn ze nóg kritischer en eisen ze van een bedrijf waar ze zaken mee doen dat het zorgvuldig omgaat met hun persoonlijke gegevens. Als het misgaat, door bijvoorbeeld een datalek, kan dit leiden tot verlies van klanten en een beschadiging van je imago. Bedrijven die hun privacyzaken goed op orde hebben en voldoen aan de AVG, maken van privacy juist een verkoopargument. Op deze manier laat je zien dat je je klanten en leveranciers serieus neemt en dat hun gegevens veilig zijn bij jou.
5. Wees strikt met wachtwoorden (of -zinnen!)
Dat lijkt een open deur, maar in de praktijk zien we hier nog veel misgaan: hetzelfde wachtwoord voor meerdere accounts, zwakke keuzes als ‘welkom123’ of zelfs hele afdelingen die met één wachtwoord werken. Een strikt wachtwoordbeleid is echt belangrijk en een quick win om het criminelen moeilijker te maken om in je systemen te komen. Een wachtwoordmanager kan je daarbij helpen.
6. Stippel een noodplan uit
Je hoopt op het beste, maar bereid je voor op het einde van je ehh … bedrijf. Nee, zonder gekkigheid, hopelijk doe je dat. Een hack of datalek zal met een beetje geluk niet direct het einde van je bedrijf betekenen (zeker niet als je de hier beschreven stappen uitvoert), maar de gevolgen van een hack of datalek kunnen erg ver reiken. Het kan je zorgvuldig opgebouwde reputatie beschadigen of een lelijke deuk maken in je anders zo standvastige omzet. Juist hier komt een noodplan goed van pas, zodat je deze gevolgen kunt voorkomen. En niet alleen voor je eigen bedrijf… Onthoud dat niet alleen jij, maar je klanten en partners net zo goed gehackt zijn.
Lees het verhaal van Xander Koppelmans: 'Failliet na hack: ‘Mijn bedrijf is in één klap weggevaagd’,
Vechten, vluchten of bevriezen
Je oefent in je bedrijf voor echte branden, toch? Waarom dan niet voor online branden? Je kunt moeilijk van je personeel verwachten dat ze goed handelen zonder een behoorlijke training. Schrijf je noodplan uit, bedenk protocollen per incident en deel het spreekwoordelijke ‘gele vestje’ uit. En nog belangrijker, maak deze informatie toegankelijk voor iedereen op de werkvloer en bespreek het regelmatig.
Onverwachte situaties
De wereld van hacks en malware ontwikkelt zich razendsnel. Nieuwe varianten ransomware schieten als paddenstoelen in de herfst uit de grond. En cybercriminelen houden als geen ander van een middagje brainstormen: “Welk bedrijf zullen we nu eens klonen om een leuke, overtuigende phishingmail te sturen?” We snappen het: je kunt zich niet op alles honderd procent voorbereiden. Maar wat je wel kunt doen, is een noodknop inbouwen. Zet het telefoonnummer van je IT’er bij je favorieten in je contactenlijst. Voor een ondernemer is hij één van de belangrijkste contactpersonen. Gaat je belletje direct naar voicemail? Voeg dan de Cyberwacht toe aan je contactenlijst: de telefonische spoeddienst bij hacks voor ondernemend Nederland. Gewoon voor de zekerheid, voor als je IT’er er even tussenuit is voor bijvoorbeeld een sabbatical in Thailand.
Noodplan en datalek melden
Als er onverhoopt een datalek ontstaat binnen je bedrijf, is het belangrijk dat je snel handelt. Zorg dus dat je een noodplan klaar hebt liggen. Daarmee kun je de schade voor de betrokkenen zo veel mogelijk beperken, maar ook die voor je eigen bedrijf. Een datalek kan namelijk resulteren in reputatieschade en het vertrouwen van je klanten in gevaar brengen.
Wanneer er een datalek is ontstaan, neem je uiteraard eerst alle nodige maatregelen om ergere schade te voorkomen. Denk bijvoorbeeld aan het op afstand wissen van een laptop, het offline halen van een bestand of het vragen aan de verkeerde ontvanger of hij de brief of e-mail wil verwijderen.
Registratie- en meldplicht
De AVG stelt strenge eisen aan de registratie van datalekken. Alle datalekken moeten worden gedocumenteerd in een datalekregister. Naast de registratieplicht van datalekken is er ook een meldplicht. Je moet een ernstig datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens. In sommige gevallen moeten de betrokkenen (degenen van wie gegevens zijn gelekt) ook op de hoogte worden gesteld van het lek.
ABN AMRO biedt ondernemers een gratis datalekregister én ondersteuning bij datalekken aan via Privacy Zeker. Interesse? Meld je dan direct gratis aan voor Privacy Zeker Start: jouw cyber- en AVG-startpakket.
Met deze zes stappen van Perfect Day, Privacy Zeker en de Cyberwacht ben je al een eind op weg met je cybersecurity. Wil je helemaal zeker zijn dat je bedrijf veilig is voor hackers? Schakel dan de hulp in van een expert. En vergeet niet altijd een datalek te melden