Enkele feiten op een rijtje:
De wereldwijde schade door cybercriminaliteit is gestegen naar gemiddeld $11 miljoen dollar per minuut, wat neerkomt op een prijs van 190.000 dollar per seconde.
60% van de midden- en kleinbedrijven die zijn getroffen door een datalek sluit binnen zes maanden de deuren omdat ze de gevolgkosten niet kunnen betalen. Kosten die kunnen bestaan uit zakelijke verliezen, uitvaltijd of productiviteitsverlies, herstelkosten voor klanten waarvan gegevens zijn gestolen en meer.
U denkt misschien dat dit betekent dat u meer moet investeren in cybersecurity en het is inderdaad waar dat u passende IT-beveiligingsmaatregelen moet nemen (anti-malware, firewall, enz.). Maar veel van de meest schadelijke inbreuken zijn het gevolg van veelvoorkomende cybersecurityfouten die bedrijven en hun werknemers zelf maken.
Het Sophos Threat Report uit 2021, waarin duizenden wereldwijde datalekken werden bestudeerd, ontdekte dat de zogenaamde ‘alledaagse bedreigingen’ enkele van de gevaarlijkste waren. In het rapport stond: “Een gebrek aan aandacht voor een of meer aspecten van fundamentele beveiligingshygiëne blijkt de oorzaak te zijn van veel van de meest schadelijke aanvallen die we hebben onderzocht.”
Maakt uw bedrijf een gevaarlijke cyberbeveiligingsfout waardoor u een groot risico loopt op een datalek, overname van cloudaccounts of ransomware-infectie?
Dit zijn enkele van de meest voorkomende fouten met betrekking tot best practices voor IT-beveiliging.
Het niet implementeren van multi-factor authenticatie (mfa)
Volgens IBM Security is diefstal van inloggegevens wereldwijd de belangrijkste oorzaak van datalekken geworden. Nu de meeste bedrijfsprocessen en -gegevens cloudgebaseerd zijn, vormen inloggegevens de sleutel voor diverse soorten aanvallen op bedrijfsnetwerken.
Uw inloggegevens niet beschermen met multi-factor authenticatie is een veelgemaakte fout en een waardoor bedrijven een veel groter risico lopen om het slachtoffer te worden van een inbreuk.
MFA vermindert het aantal onrechtmatige aanmeldingspogingen met maar liefst 99.9%.
Het negeren van het gebruik van shadow-it
Er is sprake van shadow-IT als werknemers cloudapplicaties of apparaten voor bedrijfswerkzaamheden en -gegevens gebruiken die niet zijn goedgekeurd en misschien zelfs niet bekend zijn bij een bedrijf.
Door het gebruik van schaduw-IT lopen bedrijven om verschillende redenen risico:
- De data kan worden gebruikt in een niet-beveiligde applicatie
- Data is niet opgenomen in back-upstrategieën van het bedrijf
- Als de werknemer vertrekt, kunnen de gegevens verloren gaan
- De gebruikte app voldoet mogelijk niet aan de nalevingsvereisten van het bedrijf
Werknemers gaan vaak zelf apps gebruiken omdat ze een gat in hun workflow proberen op te vullen en zich niet bewust zijn van de risico’s die verbonden zijn aan het gebruik van een app die niet door het IT-team van hun bedrijf is gescreend.
Het is belangrijk om een beleid voor cloudgebruik te hebben, dat voor werknemers duidelijk beschrijft welke applicaties wel en niet voor werk kunnen worden gebruikt.
Denken dat alleen een antivirus applicatie voldoende is
Hoe klein uw bedrijf ook is, een eenvoudige antivirustoepassing is niet voldoende om u te beschermen. In feite bevatten veel van de huidige bedreigingen helemaal geen kwaadaardig bestand.
Phishing-e-mails bevatten opdrachten die zijn verzonden naar legitieme pc-systemen die niet zijn gemarkeerd als virus of malware. Phishing gebruikt tegenwoordig ook overwegend links in plaats van bestandsbijlagen om gebruikers naar kwaadaardige sites te sturen. Die links worden niet opgevangen door eenvoudige antivirusoplossingen.
U moet een meerlaagse strategie hebben, die zaken omvat als:
- Next-gen anti-malware (maakt gebruik van AI en machine learning)
- Next-gen firewall
- E-mailfiltering
- DNS-filtering
- Geautomatiseerd applicatie- en cloudbeveiligingsbeleid
- Monitoring van cloudtoegang
Het niet hebben van apparaatbeheer
Bij de meeste bedrijven wereldwijd werken werknemers sinds de pandemie op afstand vanuit huis, en ze zijn van plan dit te blijven doen. Apparaatbeheer voor de computers en smartphones die thuis voor het werk worden gebruikt, is echter niet altijd aanwezig.
Als u niet de beveiliging of gegevenstoegang beheert voor alle eindpunten in uw bedrijf (zowel bedrijfseigendom als van het personeel zelf), loopt u een groter risico op een datalek.
Dus als u nog geen toepassing voor apparaatbeheer hebt, is het nu tijd om er een in te voeren. Intune in Microsoft 365, bijvoorbeeld.
Geen goede training voor werknemers bieden
Maar liefst 95% van de cybersecurity-inbreuken wordt veroorzaakt door menselijke fouten. Te veel bedrijven nemen niet de tijd om hun werknemers voortdurend bij te scholen, waardoor gebruikers niet de vaardigheden hebben ontwikkeld die nodig zijn voor een goede cyberbeveiligingscultuur.
Security awareness training voor medewerkers moeten het hele jaar door plaatsvinden, niet alleen jaarlijks of tijdens een inwerkproces. Hoe meer u IT-beveiliging centraal stelt, hoe beter uw team is toegerust om phishing-aanvallen te herkennen en de juiste procedures voor gegevensverwerking te volgen.
Enkele manieren om cyberbeveiligingstraining in uw bedrijfscultuur te integreren, zijn:
- Korte trainingsvideo’s
- IT-beveiligingsposters
- Webinars
- Teamtrainingssessies
- Cyberbeveiligingstips in bedrijfsnieuwsbrieven
Wanneer was uw laatste cyberbeveiligingscheck?
Loop niet achter de feiten aan met betrekking tot uw IT-beveiligingskwetsbaarheden. Neem contact op met Trots IT en maak een afspraak voor een cyberbeveiligingsanalyse door ons om uw kwetsbaarheden te ontdekken en passende maatregelen te nemen om uw risico te verminderen.
Artikel gebruikt met toestemming van The Technology Press.
