De cybersecurity checklist: stel uzelf, uw leveranciers en uw klanten de juiste vragen voor een goede cyberbeveiliging

16 juni 2020

We hebben in de afgelopen reeks artikels heel wat onderwerpen aangesneden die u op weg kunnen zetten om uw cyberhygiëne onder controle te krijgen.

De bedoeling van dit artikel is om alles samen te vatten in een overzichtelijke to-do lijst als start punt. Vergeet niet, dit is nog maar de start, er is meer dan dit overzicht. De lijst zou u wel een goede basis moeten geven om de cyberverdedigingsmachine in gang te zetten.

Nog veel belangrijker : die cyberverdedigingsmachine moet blijven draaien. Het werk is nooit gedaan. Jammer genoeg staan cybercriminelen klaar, dag en nacht, maar met een goede planning en uitvoering, kan u alvast op uw twee oren slapen.

We zijn begonnen met de cybersecurity in zijn huidige context te plaatsen. Daarom is het vooral belangrijk om te weten waar uw bedrijf daarmee in aanraking komt.

Ken uw bedrijf

1. Maak een overzicht van de activiteiten. Wat is uw visie, uw missie en uw doel?
2. Wat zijn de activiteiten die in aanraking komen met internet of internet nodig hebben?
3. Welke activiteiten zijn digitaal of net niet?
4. Verplaats u in de hacker: Welke bedrijfsactiviteiten zijn essentieel voor uw bedrijf en zijn interessante doelwitten? Waar loopt u de meeste schade op als een hacker uw bedrijf plat legt?
5. Maak een overzicht van uw assets, uw activa. Dat zijn niet alleen uw infrastructuur of uw (computer)materieel. Maar ook uw mensen, uw kennis, uw expertise. Daarnaast ook de procedures, uw prospecten en klantennetwerk, uw leveranciers, … andere partijen.

In artikel 2 hebben we een aantal korte tips en hints op een lijstje gezet om te starten met goed cyberhygiëne.

Blijf op de hoogte

Informeer uzelf, blijf leren. Blijf op de hoogte van de evoluties in cybersecurity. Enkele interessante bronnen.

1. CCB (Centrum voor Cybersecurity Belgium):
   • Algemene informatie
   • Cybersecurity voor de KMO
2. CERT (Federaal Cyber Emergency Response Team) :
   • Algemene informatie
3. FOD Economie:
   • Cybersecurity voor KMO’s
4. VLAIO (Vlaams Agentschap Innoveren en Ondernemen):
   • Cybersecurity ondersteuning
5. CyberSecurity Coalition:
   • KMO security scan
6. Unizo:
   • Cybersecurity: in klare taal voor de KMO

Er zijn er nog veel meer, maar deze referenties zijn gemakkelijke starters.

Risicoanalyse

Eens u een overzicht heeft van uw bedrijf, kan u een risico analyse doen. Wanneer u dit op regelmatige tijdstippen herhaalt, spreken we over “risicobeheer”. De bedoeling daarvan is om op basis van een aantal parameters een budgetschatting te kunnen doen, die tegengewicht kan geven voor de cyber-bedreiging. Wat heeft u nodig?

1. Een bijgewerkte inventaris van uw activa
   • Uw mensen, intern en extern
   • De technologie die u gebruikt
   • Uw processen en procedures
2. De kwetsbare punten van deze activa
3. De meest voorkomende bedreigingen op deze activa
4. Hoe vaak komen deze bedreigingen voor (één keer per dag, per week, per maand, per jaar, per 2 jaar,…)
5. De impact op uw bedrijf als elk van deze activa beschadigd of vernietigd wordt. Wat zijn de kosten als het fout loopt op vlak van veiligheid, financiën, operationele kost, legale impact, contractuele verplichtingen, GDPR,…?

Op basis hiervan kan u een degelijk budget voor cyberbeveiliging opzij zetten.

Cyberbeveiligingsbudget

1. Voorzie een budgetplanning.
2. Vraag aan de sector of aan andere bedrijven wat zij budgetteren. Informeer uzelf goed, zoek referentie materiaal en toets uzelf aan die bedragen.
3. Plan ruim, voorzie genoeg reserve. Doe er nog maar 10% bij.
4. Denk er even aan: “Wat als…?”. Wat wanneer het fout loopt en uw bedrijf ligt lam. Hoe lang kan u overleven wanneer het echt fout loopt?
5. Neem een cyberverzekering die niet alleen voorziet in financiële veiligheid, maar ook operationele ondersteuning biedt wanneer het fout loopt. (Wanneer…niet als. Het gaat ooit foutlopen.)

Blijf up-to-date

1. Zorg ervoor dat u voldoende kennis in huis heeft, intern of extern over de cyberbedreiging voor uw bedrijf.
2. Houd alle systemen up-to-date met de laatste beveiliging en werk systemen regelmatig bij.
3. Houd de kennis van uzelf, uw medewerkers, uw partners en uw klanten bij.
4. Werk uw procedures regelmatig bij.
5. Toets uzelf aan partners, collega’s, sectorgenoten, concurrentie,…

Neem regelmatig een back-up

We hebben het hier in artikel 3 uitgebreid over gehad.

1. Bewaar uw gegevens op bedrijfsinfrastructuur (geen belangrijke gegevens op uw eigen toestellen bijhouden).
2. Synchroniseer uw bedrijfsgegevens naar meerdere plaatsen, zodat u snel kan overschakelen als een systeem uitvalt.
3. Zorg voor meerdere versies van back-up, zowel online als offline, gescheiden van het operationele netwerk.
4. Beveilig uw back-ups. Zorg dat ze gezond zijn, zorg dat ze beveiligd zijn tegen diefstal, vernietiging of ongeoorloofde wijziging.
5. TEST REGELMATIG UW BACK-UP.

Incident beheer, Business continuity en disaster recovery

In artikel 6 hebben we een aantal praktische hints en tips opgesomd wanneer het ECHT fout loopt.

Wanneer het fout loopt moet u snel kunnen reageren, zelf wanneer de paniek toeslaat. Wees voorbereid.

1. Zet een noodplan op voor een aantal mogelijke (en veel voorkomende) situaties.
2. Plan voor paniek als het ECHT fout loopt.
3. Zorg voor bijgewerkte contactlijsten van interne medewerkers,
4. Zorg voor bijgewerkte contactlijsten van externe medewerkers, leveranciers, partners, hulpdiensten.
5. Sluit de nodige contracten af voor noodsituaties. Zonder contracten staat u er alleen voor, krijgt u niet op tijd hulp en kost het u vaak dubbel zoveel (of zelfs meer) om experthulp in te roepen.

Leveranciers

Uw leveranciers, partners en externe medewerkers zijn een verlenging van uw bedrijfsactiviteit die u zelf niet altijd fysiek onder controle heeft.

1. Zorg voor goede, degelijke contracten. Vraag raad aan een extern HR of juristenbureau om uzelf voldoende te beschermen.
2. Controleer welke maatregelen uw externe partijen zelf nemen om uw bedrijf en uw data te beschermen.
3. Leg de cyber-lat voldoende hoog. Leg dezelfde eisen op aan uw leveranciers als waar u intern zelf aan moet voldoen.
4. Eis in het contract het recht om dit te controleren. (“Right to audit”).
5. Controleer de cyberreputatie van de partijen waar u mee samen werkt. (Net zoals u ook een financiële background-check zou moeten doen voordat u met een partij in zee gaat.)

En als laatste….

Begin opnieuw

Uw bedrijf staat niet stil. Elke dag weer wat anders. U bouwt nieuwe activiteiten uit, U gebruikt nieuwe technologie, dus het is erg belangrijk dat u continu de beveiliging aanpast aan de nieuwe bedreigingen.

Een belangrijke tip: herevalueer uw cyberbeveiliging, wanneer:

• … u iets nieuws implementeert: denk aan cyberveiligheid vanaf het begin. Bouw cyberbeveiliging in het systeem.
• … u iets wijzigt. Het is een gezond principe om uw cyberveiligheid opnieuw te bekijken als u systemen en processen verandert. Dat is HET ideale moment om weer een stukje cyberbeveiliging in te bouwen.
• … u het systeem regelmatig (een paar keer per jaar) inspecteert. Kijk op regelmatige tijdstippen uw systeem na, zelfs wanneer u niks nieuws opzet of iets verandert. Internet, IT en technologie wijzigt elke dag en u moet bijblijven. Dus plan minstens 1 à 2 keer per jaar een evaluatiemoment in om te controleren of uw cyberbeveiliging nog op punt staat. Zet dit op de agenda.

Zo zorgt u ervoor dat u cybercriminelen een stapje voor bent:

1. Herevalueer regelmatig
2. Oefen uw incidentbeheer
3. Oefen uw noodplan
4. Test uw back-ups of ze wel echt werken
5. Doe eens een simulatie van een cyberaanval

Met deze eenvoudige stappen en planning kunt u met weinig geld toch goede resultaten behalen. Bescherm uzelf en bescherm anderen.

Denk cyberveilig. Wees cyberveilig. Blijf cyberveilig.