Cyberbeveiliging lijkt soms ingewikkeld, maar het is cruciaal voor elk bedrijf, ongeacht de grootte. De meeste bedrijven focussen hun cyberveiligheid erg op het bedrijfsnetwerk, dit is een ietwat verouderde aanpak, aangezien we meer en meer cloudtoepassingen zijn gaan gebruiken die van overal beschikbaar zijn. De meeste bedrijven willen ook deze flexibiliteit en eenvoud omarmen, maar het blijft dan ook cruciaal om onze veiligheid op andere niveaus te gaan aanpakken. Hier zijn vier concrete stappen die KMO’s kunnen nemen om hun digitale veiligheid te verbeteren.
1. Sterke wachtwoorden: bewustzijn en beheer
Wachtwoorden zijn vaak de eerste verdedigingslinie tegen cyberaanvallen. Toch gaat het hier vaak mis. Het gebruik van unieke en lange wachtwoorden is essentieel, maar de traditionele focus op complexiteit en frequente vervanging is achterhaald. Je kan beter volgende zaken doen:
- Stimuleer het gebruik van unieke wachtwoorden: Hergebruik geen wachtwoorden, vooral niet voor belangrijke accounts zoals e-mail of financiële diensten.
- Stimuleer lengte boven complexiteit: Een wachtwoord van 16 tekens, zelfs enkel bestaande uit letters, is veiliger dan een kort, ingewikkeld wachtwoord.
- Biedt een password manager aan: Dit soort tools kunnen complexe, unieke wachtwoorden genereren en veilig opslaan. Hierdoor hoeft u niets te onthouden behalve één hoofdwachtwoord. Kies voor het hoofdwachtwoord ook een lang en uniek wachtwoord, dit is het enige dat je vanaf nu nog moet onthouden.
Vaak is een eerste stap dit soort informatie met alle medewerkers delen, alsook verifiëren dat je geen verouderde regels oplegt aan de wachtwoorden die gekozen worden. Daarna valt het te overwegen om een password manager te gaan aanbieden aan medewerkers.
2. Tweestapsverificatie (2FA): een extra laag bescherming
Tweestapsverificatie voegt een tweede beveiligingslaag toe, wat cruciaal is in het tegengaan van phishingaanvallen. Zelfs als een aanvaller een wachtwoord weet te bemachtigen, zorgt 2FA ervoor dat toegang alsnog niet mogelijk is zonder een extra factor. Maak gebruik van:
- Authenticator apps: Tools zoals Google Authenticator of Microsoft Authenticator genereren tijdelijke codes die een basisbescherming bieden. Toch kunnen aanvallers via “attacker-in-the-middle”-aanvallen deze codes alsnog onderscheppen.
- Passkeys: Een nieuwe en veel veiligere optie zijn passkeys, die phishing-resistent zijn. Deze technologie maakt gebruik van cryptografische sleutels die werken op basis van biometrische authenticatie of een apparaat, zonder dat gebruikerscodes nodig zijn.
Zorg dat je dit in eerste instantie gaat verplichten op de accounts met de meest gevoelige toegang, bv. financiële systemen. Daarna is het eigenlijk cruciaal om dit op de belangrijkste account van iedere medewerker te gaan toepassen, dit is je e-mailaccount.
3. Toestelbeveiliging: up-to-date en versleuteld
Beveiliging stopt niet bij accounts, ook de apparaten die je gebruikt, moeten goed beschermd zijn. Een slecht beveiligd toestel vormt een directe toegangspoort tot gevoelige gegevens. Waar bescherming van toestellen vroeger extra software vereiste, is er vandaag heel wat ingebouwd in moderne toestellen. Het is dan wel belangrijk om ietwat hygiënemaatregelen in acht te nemen:
- Updates: Zorg ervoor dat toestellen altijd up-to-date zijn met de laatste beveiligingsupdates. Dit voorkomt dat bekende kwetsbaarheden kunnen worden uitgebuit. Doe dit minstens voor zowel je besturingssysteem als je browser.
- Encryptie: Schijfversleuteling (bijvoorbeeld BitLocker op Windows of FileVault op macOS) zorgt ervoor dat gegevens beschermd blijven, zelfs als een apparaat verloren gaat of wordt gestolen.
- Flexibele oplossing: Overweeg oplossingen die toestelbeveiliging eenvoudig en schaalbaar maken voor KMO’s. Dit soort platform kan er voor zorgen om eenvoudig deze best practices op alle toestellen die binnen het bedrijf gebruikt worden te verifiëren zonder controle over te nemen van het toestel.
Zorg dat je alle toestellen die gebruikt worden inzichtelijk krijgt, dit kan zijn omdat je zelf of via een IT provider de toestellen beheert, maar vergeet niet dit ook regelmatig na te kijken. Let daarbij op dat je effectief alle toestellen inzichtelijk hebt (inclusief toestellen die door medewerkers zelf worden meegebracht). Daarna wordt het belangrijk om op basis van die inzichten ook acties te gaan ondernemen om de toestellen strikter op te volgen wat betreft updates.
4. Bewustzijn bij medewerkers: betrokkenheid zonder overload
Cyberveiligheid is geen exclusieve verantwoordelijkheid van IT, iedere medewerker speelt een rol. Veel risico’s ontstaan door menselijke fouten: een ondoordachte klik op een phishingmail, het delen van gevoelige informatie, of het gebruik van onveilige tools. Daarom is het belangrijk dat medewerkers begrijpen hoe zij kunnen bijdragen aan de veiligheid van het bedrijf.
Tegelijk willen we vermijden dat mensen overspoeld worden met verplichte, lange trainingen die hun effect vaak missen:
- Werk met korte, gerichte momenten van bewustmaking: Denk aan maandelijkse tips via e-mail of korte video’s die een specifiek risico of actie belichten.
- Maak het concreet: Laat zien hoe een phishingmail eruit ziet, wat een veilig wachtwoord is, of waarom updates belangrijk zijn.
- Zorg voor laagdrempelige communicatie: Medewerkers moeten weten bij wie ze terecht kunnen bij twijfel of incidenten, zonder schroom.
Begin met een simpele interne campagne rond digitale hygiëne. Breng basisprincipes op een toegankelijke manier onder de aandacht en herhaal ze regelmatig. Neem de drie vorige punten zeker mee in deze communicatie. Zorg hierdoor dat iedereen zich eigenaar voelt van een stukje cyberveiligheid.
Door deze vier stappen te volgen, kunnen KMO’s een solide basis leggen voor hun cyberbeveiliging. Het is een investering in zowel bescherming als gemoedsrust. Cyberveiligheid hoeft niet ingewikkeld te zijn, zolang u enkele maatregelen neemt en preventief handelt.
Over de auteur
Gijs Van Laer is CTO bij het cybersecuritybedrijf XFA en is expert-informatiebeveiliging. Hij adviseerde reeds verschillende bedrijven omtrent cyberbeveiliging en was Chief Information Security Officer bij DPG Media. Hij heeft een doctoraat in de databeveiliging en cryptografie van de Johns Hopkins University in Baltimore, VS.
XFA is een beveiligingsoplossing voor apparaten die naadloos elk apparaat identificeert dat voor werk wordt gebruikt, het bewustzijn van gebruikers vergroot en de naleving van het beveiligingsbeleid voor elk apparaat tijdens het inloggen afdwingt – dit alles zonder directe controle of beheer van de apparaten nodig te hebben.
