mannen en vrouwen achter hun pc die net getroffen is door een cyberpersoneel

6 stappen om een hack of datalek te voorkomen

Als ondernemer wilt u niet dat uw gegevens op straat komen te liggen. Of dat u op een dag niet meer in uw systemen komt. Terwijl we niet alleen steeds afhankelijker worden van techniek; het risico op een hack blijft ook almaar toenemen. Tijd om u te wapenen. Op een snelle, slimme manier, en dat hoeft echt geen bakken met geld te kosten. Met deze 6 stappen komt u al een heel eind.

1. Denk als een crimineel

Bekijk uw eigen organisatie en data vanuit de ogen van een boef. Wat zou u willen hebben? Waar zou u geld aan kunnen verdienen? Welke informatie van uw bedrijf is geld waard? En hoe komt u relatief makkelijk binnen?

Door op deze manier te denken, krijgt u snel duidelijk wat u te verliezen en dus te beschermen heeft. Ga vervolgens na hoe de digitale beveiliging binnen uw bedrijf is geregeld. Kijk daarbij niet alleen naar technische maatregelen, maar ook naar de kennis van uw medewerkers/collega’s. Snappen zij wat ze wel en niet mogen delen? Staat bij veelgebruikte processen de veiligheid voorop?

U kunt ook een zogenoemde ‘ethische hacker’ inschakelen. Zo iemand probeert opzettelijk in te breken en test zo uw systemen op zwakke plekken.

2. Check uw website

Een website zegt veel over hoe serieus een bedrijf de digitale beveiliging neemt. Het is als het ware een visitekaartje voor andere processen in de organisatie. Voor een steeds grotere groep klanten en leveranciers is een goede beveiliging een voorwaarde om zaken te doen. Commercieel gezien is het daarom handig om met cyber security aan de slag te gaan.

Daarnaast is het goed om u te bedenken, dat u met een onvoldoende beveiligde site niet alleen uw eigen bedrijf, maar ook werknemers, leveranciers en klanten in gevaar kunt brengen. De website vormt immers vaak een centrale functie in het verbinden van deze partijen. Als het dataverkeer bijvoorbeeld niet goed versleuteld is, kunnen hackers inbreken in het bestelproces van een webshop of de afhandeling van een contactformulier. Op deze manier hebben ze niet alleen toegang tot de namen en adressen van klanten, maar kunnen ze ook bij betaalgegevens komen.

3. Voel uw IT’er aan de tand

Een onvoldoende beveiliging komt maar zelden voort uit onverschilligheid. Er gaat veel mis door onterechte verwachtingen. Maar al te vaak nemen bedrijven een pakket af bij bijvoorbeeld een webshop- of hostingpartij en gaan er daarmee vanuit dat alles geregeld is. Dit blijkt een gevaarlijke aanname. Vorig jaar checkte de cyberexperts van Perfect Day zo’n 80 webshops op de Webwinkel Vakdagen. Slechts 1 van hen voldeed aan de veiligheidseisen.

Het is daarom aan te raden om expliciet bij uw leverancier(s) na te vragen welke beveiligingsmaatregelen zij voor uw treffen. En laat eens door een externe partij op hoofdlijnen checken hoe uw bedrijf ervoor staat als het gaat om cyberbeveiliging. Dat hoeft echt geen hele audit te zijn. Met een kleine tijdsinspanning en wat simpele aanpassingen kunt u vaak al heel veel winst behalen. Uiteindelijk bent u als ondernemer of bestuurder toch zelf verantwoordelijk voor de veiligheid van uw bedrijf. Het is daarom slim om altijd de regie te houden, ook als u zaken uitbesteedt.

4. De AVG; hoe staat het ermee?

De Algemene Verordening Gegevensbescherming (AVG): als ondernemer kunt u er niet omheen. Met de komst van de AVG heeft u als ondernemer namelijk meer verantwoordelijkheden gekregen op het gebied van privacy en de bescherming van persoonsgegevens die u verwerkt. Bijvoorbeeld die van uw klanten of medewerkers. De Autoriteit Persoonsgegevens controleert op naleving van de privacywet en heeft de eerste AVG-boete inmiddels uitgedeeld. Toch hebben veel bedrijven hun privacyzaken nog niet op orde en dat is zorgelijk. Want keer het maar eens om: u bent zelf ook klant bij bedrijven. U verwacht toch ook dat zij zorgvuldig omgaan met uw gegevens? Niemand wil dat zijn of haar gegevens op straat belanden.

Heeft u uw privacyzaken op orde?

De AVG dwingt u om goed na te denken over uw bedrijfsvoering. Welke persoonsgegevens verwerkt u? En hoe beschermt u deze gegevens? Denk ook na of u de gegevens die u van uw klanten vraagt écht nodig heeft. Want in algemene zin geldt: hoe minder data u verzamelt, hoe makkelijker u aan de privacywetgeving kunt voldoen en hoe minder schade er is bij een hack of datalek.

 

Let wel, het is niet zo dat bedrijven die voldoen aan de AVG niet getroffen kunnen worden door een hack of datalek. Maar door uw medewerkers bewust te maken van het belang van privacy en de juiste maatregelen te nemen, wordt die kans wel een stuk kleiner. Zorg dus dat de privacyhuishouding binnen uw bedrijf op orde is en blijft. 

Maak van privacy een unique selling point

De toezichthouder wordt overspoeld met privacyklachten; mensen maken zich duidelijk zorgen over hun privacy. Daarom zijn ze nóg kritischer en eisen ze van een bedrijf waar ze zaken mee doen dat het zorgvuldig omgaat met hun persoonlijke gegevens. Als het misgaat, door bijvoorbeeld een datalek, kan dit leiden tot verlies van klanten en een beschadiging van uw imago. Bedrijven die hun privacyzaken goed op orde hebben en voldoen aan de AVG, maken van privacy juist een verkoopargument. Op deze manier laat u zien dat u uw klanten en leveranciers serieus neemt en dat hun gegevens veilig zijn bij u.

5. Wees strikt met wachtwoorden (of -zinnen!)

Dat lijkt een open deur, maar in de praktijk zien we hier nog veel misgaan: hetzelfde wachtwoord voor meerdere accounts, zwakke keuzes als ‘welkom123’ of zelfs hele afdelingen die met één wachtwoord werken.

Een strikt wachtwoordbeleid is echt belangrijk en een quick win om het criminelen moeilijker te maken om in uw systemen te komen. Een wachtwoordmanager kan u daarbij helpen.

6. Stippel een noodplan uit

U hoopt op het beste, maar bereidt u voor op het eind van uw ehh … bedrijf. Naja, zonder gekkigheid, hopelijk doet u dat. Een hack of datalek zal met een beetje geluk niet direct het einde van uw bedrijf betekenen (zeker niet als u de hier geschreven stappen uitvoert), maar de gevolgen van een hack of datalek kunnen verreikend zijn. Het kan uw zorgvuldig opgebouwde reputatie beschadigen of een lelijke deuk maken in uw anders zo standvastige omzet. Juist hier komt een noodplan goed van pas, zodat u deze gevolgen kunt voorkomen. En niet alleen voor uw eigen bedrijf… Onthoud dat niet alleen u, maar uw klanten en partners net zo goed gehackt zijn.

Vechten, vluchten of bevriezen

U oefent in uw bedrijf voor echte branden, toch? Waarom dan niet voor online branden? U kunt moeilijk van uw personeel verwachten dat ze goed handelen zonder een behoorlijke training. Schrijf uw noodplan uit, bedenk protocollen per incident en deel het spreekwoordelijke ‘gele vestje’ uit. En nog belangrijker, maak deze informatie toegankelijk voor iedereen op de werkvloer en bespreek het regelmatig.

Onverwachte situaties

De wereld van hacks en malware ontwikkelt zich razendsnel. Nieuwe varianten ransomware schieten als paddenstoelen in de herfst uit de grond. En cybercriminelen houden als geen ander van een middagje brainstormen: “Welk bedrijf zullen we nu eens klonen om een leuke, overtuigende phishingmail te sturen?” We snappen het: u kunt zich niet op alles honderd procent voorbereiden. Maar wat u wel kunt doen, is een noodknop inbouwen. Zet het telefoonnummer van uw IT’er bij uw favorieten in uw contactenlijst. Voor een ondernemer is hij één van de belangrijkste contactpersonen. Gaat uw belletje direct naar voicemail? Voeg dan de Cyberwacht toe aan uw contactenlijst: de telefonische spoeddienst bij hacks voor ondernemend Nederland. Gewoon voor de zekerheid. Als uw IT’er er even tussenuit is… voor een sabbatical in Thailand.

Noodplan datalek

Als er onverhoopt een datalek ontstaat binnen uw bedrijf, is het belangrijk dat u snel handelt. Zorg dus dat u een noodplan klaar heeft liggen. Daarmee kunt u de schade voor de betrokkenen zo veel mogelijk beperken, maar ook die voor uw eigen bedrijf. Een datalek kan namelijk resulteren in reputatieschade en het vertrouwen van uw klanten in gevaar brengen.

Wanneer er een datalek is ontstaan, neemt u uiteraard eerst alle nodige maatregelen om ergere schade te voorkomen. Denk bijvoorbeeld aan het op afstand wissen van een laptop, het offline halen van een bestand of het vragen aan de verkeerde ontvanger of hij de brief of e-mail wil verwijderen.

 

De AVG stelt strenge eisen aan de registratie van datalekken. Alle datalekken moeten worden gedocumenteerd in een datalekregister. Naast de registratieplicht van datalekken is er ook een meldplicht. U moet een ernstig datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens. In sommige gevallen moeten de betrokkenen (degenen van wie gegevens zijn gelekt) ook op de hoogte worden gesteld van het lek.

Met deze zes stappen van Perfect Day, Privacy Zeker en de Cyberwacht bent u al een eind op weg met uw cyber security. Wilt u helemaal zeker zijn dat uw bedrijf veilig is voor hackers? Schakel dan de hulp in van een expert.

Dit artikel is geplaatst door

ABN AMRO Verzekeringen