Inleiding
Digitale transformatie is de afgelopen jaren explosief in populariteit gestegen en is nu een modewoord voor management in bijna elke branche. Verbeterde gebruikerservaring, flexibiliteit, gemak en lagere overheadkosten maken het bijzonder aantrekkelijk voor het mkb. Het mkb omarmt digitale transformatie in toenemende mate om hun bedrijfsvoering te verbeteren en een ingrijpendere overgang te voorkomen naarmate hun organisaties groeien.
Digitale transformatie is altijd een precaire balans tussen verbeterde processen en verhoogde risico's. Middelgrote en kleine bedrijven lopen tijdens hun digitale transformatie extra risico op gegevenslekken en gecompromitteerde informatie als ze er niet in slagen hun beveiliging gelijktijdig te verbeteren. Beheerde beveiligingsservices bieden de mogelijkheid om gevoelige informatie te beschermen met oplossingen van topniveau die vanuit de cloud worden geleverd en volledige bescherming bieden.
De eerste stap in het leveren van complete beveiliging is het identificeren van de inherente zwakke plekken in traditionele beveiligingsmethoden om de geplande digitale transformatie aan te pakken. Zodra de potentiële problemen zijn geïdentificeerd, is de volgende stap het vinden van de beste tools die het optimale niveau van bescherming bieden. De juiste hoeveelheid bescherming zal de kwetsbaarheid grotendeels verminderen, terwijl er nog steeds binnen het budget en de processen van een kleinere organisatie wordt gewerkt. Deze whitepaper bespreekt de huidige risico's van digitale transformatie die middelgrote en kleine bedrijven bijzonder kwetsbaar maken voor aanvallen, evenals de drie essentiële stappen van beheerde beveiligingsservices om deze risico's te beperken. Het juiste niveau van proactieve beveiliging en bewaking voorkomt dat klanten te veel geld kwijt zijn aan beveiliging of aan de gevolgen van een gegevenslek. Deze paper behandelt specifiek:
- Waarom een digitale transformatie het mkb een aantrekkelijk doelwit maakt voor hackers
- Kritieke kwetsbaarheden van de verschillende aspecten van uitgebreide technologie
- Hoe u de gegevens van uw klanten evenals uw apparaten en medewerkers kunt beschermen
Waarom een digitale transformatie bedrijven kwetsbaar maakt
Elk jaar steken steeds meer bedrijven hun resources en een groot deel van hun budget in digitale transformatie. Vaak heeft het echter niet de impact waar het management op hoopte; uit onderzoek blijkt dat 70% van alle digitale transformaties hun beoogde doelen niet bereiken.
Hoewel sommige artikelen organisatorische problemen of de mentaliteit van werknemers noemen als reden voor deze tekortkomingen, melden bedrijven zelf dat het de beveiliging is die veel uitdagingen met zich meebrengt. In een onderzoek onder meer dan 270 bedrijven gaven leidinggevenden aan dat beveiligingsproblemen hun grootste obstakel voor een succesvolle digitale transformatie zijn. Toch gaf maar 34% van deze organisaties aan dat ze tijdens de ontwikkelingsfase rekening hadden gehouden met cyberbeveiligingskwesties. Organisaties die tijdens hun digitale transformatie geen rekening houden met beveiliging, lopen het risico dat het hele plan in de soep loopt voordat de beoogde doelen zijn bereikt.
Cybercriminelen slaan vaak toe in het mkb omdat deze bedrijven meestal lakse beveiligingsstandaarden hebben en minder budget voor de bescherming van hun gegevens dan grote bedrijven. Ze kunnen zich op een groot aantal bedrijven tegelijk richten, wat leidt tot exploiteerbare gegevens die vaak net zo waardevol zijn als de gegevens van grotere bedrijven. Hoewel middelgrote en kleine bedrijven digitale transformatie gebruiken om kosteneffectiever te worden, kan het duurder uitpakken als ze het slachtoffer worden van een gegevenslek. Uit het rapport 'Cost of a Data Breach' van IBM bleek dat de kosten van een gegevenslek in de Verenigde Staten gemiddeld $ 8,19 miljoen bedroegen. Ze ontdekten ook dat middelgrote en kleine bedrijven uiteindelijk gemiddeld meer betalen dan grote bedrijven: Organisaties met 500-1000 werknemers betaalden $ 3533 per werknemer voor een gegevenslek; voor bedrijven met meer dan 25.000 werknemers was dit $ 204 per werknemer.1
Middelgrote en kleine bedrijven die een digitale transformatie ondergaan, zijn bijzonder kwetsbaar voor aanvallen omdat hun beveiliging niet altijd gelijke tred houdt met hun technologische groei. Bovendien worden aanvallen steeds geavanceerder, en middelgrote en kleine bedrijven zijn mogelijk niet voldoende voorbereid om zich hiertegen te verdedigen. Middelgrote en kleine bedrijven kunnen het slachtoffer worden van aanvallen waarbij gebruik wordt gemaakt van ransomware, phishing, distributed denial-of-service en social engineering. De evoluerende aanvallen en daaruit voortvloeiende financiële gevolgen moeten bij elk middelgroot en klein bedrijf de alarmbellen laten rinkelen.
Risico's van digitale transformatie
De term 'digitale transformatie' is door experts en marktleiders verworpen omdat het een vage en brede term is, die een breed scala aan technologieën omvat. In deze whitepaper gaan we in op de meest gebruikte technologie in digitale transformatie voor het mkb.
De gemeenschappelijke aspecten van digitale transformatie voor het mkb zijn onder andere:
IoT
The Internet of Things biedt het mkb aanzienlijke voordelen. Het vermogen van sensoren om taken uit te voeren, te analyseren en te communiceren zonder menselijke tussenkomst biedt bedrijven manieren om waarde voor hun klanten te creëren. Veel van deze producten zijn echter niet ontworpen met beveiliging in het achterhoofd en stellen organisaties bloot aan mogelijke gegevenslekken.
Het vermogen van IoT om apparaten met een laag risico en apparaten met een hoog risico met elkaar te verbinden, kan aanzienlijke cyberbeveiligingsproblemen veroorzaken voor bedrijven die hun beveiliging niet dienovereenkomstig hebben aangepast. Wat ooit een systeemonderdeel met een laag risico was, is nu gekoppeld aan uw meest gevoelige gegevens. Hackers hoeven maar één ingang te vinden om toegang te krijgen tot alles.
Volgens het National Institute of Standards and Technology2 zijn de drie grootste beveiligingsproblemen voor IoT-apparaten:
- IoT-apparaten communiceren met elkaar om veranderingen in fysieke systemen aan te brengen op manieren waartoe traditionele technologie niet in staat is.
- IoT kan niet op dezelfde manier worden opgeroepen of beheerd als traditionele technologie.
- De beschikbaarheid, efficiëntie en effectiviteit van cyberbeveiliging zijn anders voor het IoT dan voor traditionele IT
Omdat IoT niet hetzelfde werkt als IT, vereist het een andere benadering van cyberbeveiliging. Als bedrijven in het mkb hun beveiliging niet dienovereenkomstig aanpassen, lopen ze het risico dat hun gegevens uitlekken.
BYOD
Teneinde overheadkosten te verlagen en de tevredenheid van werknemers te verbeteren, is BYOD (Bring Your Own Device) een steeds vaker voorkomende praktijk in het mkb. Het stelt werknemers in staat om vanaf hun persoonlijke apparaten, zoals smartphones, tablets of laptops, te werken.
Bedrijven die geen officieel BYOD-beleid hebben, kunnen constateren dat hun werknemers toch persoonlijke apparaten gebruiken. Met de toename in het gebruik van internetapparaten zijn er waarschijnlijk maar weinig werknemers die hun mobiele telefoon niet naar het werk meenemen. Hoewel telefoons die alleen voor persoonlijke doeleinden worden gebruikt geen dreiging voor de veiligheid vormen, kunnen die apparaten de veiligheid van uw hele bedrijf in gevaar brengen wanneer er werk op wordt uitgevoerd.
BYOD maakt organisaties bijzonder kwetsbaar voor DDoS-aanvallen. Gegevensdiefstal is een ander risico van BYOD. Als een werknemer een bestand verstuurt via een onveilig netwerk, bijvoorbeeld vanuit een café of luchthaven, is het makkelijk voor hackers om de gegevens te onderscheppen. Infiltratie van malware is ook een probleem. Werknemers kunnen een mobiele game downloaden waar malware bij zit die uw gegevens via hun apparaat aanvallen.
Ontevreden oud-werknemers kunnen ook een probleem vormen voor de bedrijfsbeveiliging. Ze kunnen de informatie op hun apparaat gebruiken om schade aan te richten, zowel bij uw klanten als aan de reputatie van uw bedrijf.
Werken op afstand
Zelfs voordat werken op afstand op sommige gebieden verplicht werd, nam de populariteit al explosief toe. In het huidige klimaat is werken op afstand echter noodzakelijk geworden. Organisaties die zich voorheen tegen werken op afstand verzetten, zien zich gedwongen om methoden te ontwikkelen die hun werknemers in staat stellen om thuis te werken.
Werknemers die niet op de hoogte zijn van veilige praktijken voor werken op afstand kunnen een bedrijf kwetsbaar maken voor gegevenslekken. Het delen van apparaten met onbevoegden, toegang tot informatie via onveilige netwerken zoals openbare wifi, en onzorgvuldigheid bij het openen van e‑mails kan gevoelige informatie en uw organisatie in gevaar brengen.
Cloudtoepassingen
Cloudtoepassingen bieden middelgrote en kleine bedrijven meer toegang tot hun gegevens. Het stelt hen in staat om gegevensgestuurde beslissingen te nemen en cruciale inzichten te verwerven om hun bedrijf te laten groeien. Organisaties kunnen echter kwetsbaar zijn voor aanvallen als ze niet de juiste voorzorgsmaatregelen nemen.
Cloudtoepassingen stellen bedrijven bloot aan accountkaping, waarbij aanvallers toegang tot gevoelige informatie krijgen met behulp van gestolen aanmeldingsgegevens. APT-groepen (Advanced Persistent Threat) richten zich op cloudomgevingen en gebruiken openbare cloudservices om hun aanvallen uit te voeren. Onveilige API's kunnen ook een ingang creëren waar aanvallers misbruik van kunnen maken.
Gegevensverlies kan ook een belangrijk probleem vormen voor het mkb. Zonder de juiste back-ups kan een ongeluk of noodsituatie betekenen dat klantinformatie permanent verloren gaat. Google en Amazon zijn beide voorbeelden van hoe zelfs de meest technisch geavanceerde bedrijven gegevens kunnen verliezen door geen back-ups te maken.
Uw bedrijf beschermen bij een digitale transformatie
Een beheerde beveiligingsservice die de complexiteit van zowel een digitale transformatie als het mkb begrijpt, moet in staat zijn om potentiële kwetsbaarheden te identificeren, het benodigde beveiligingsniveau bieden om eventuele veranderingen in de technologie op te vangen, en bewaking voor uw organisatie blijven bieden.
Kwetsbaarheden in uw plan voor digitale transformatie identificeren
Cyberbeveiliging begint zodra het plan voor een digitale transformatie vorm begint te krijgen. Het moet een onderdeel van het initiële plan zijn dat bij elke stap in overweging wordt genomen. Middelgrote en kleine bedrijven zijn specifiek een doelwit omdat hun beveiliging niet altijd gelijke tred houdt met hun groei, waardoor zwakke plekken ontstaan. Digitale transformatie en beveiliging moeten worden gecoördineerd om deze mogelijk rampzalige fout te voorkomen.
IBM voerde een onderzoek uit naar de meest succesvolle transformaties en ontdekte dat de transformaties met meer waardering en aandacht voor het belang van beveiliging uiteindelijk betere resultaten behaalden.3 Deze 'high performers', zoals het onderzoeksdocument hen noemde, hadden tijdens het proces minder kans op gegevenslekken.
Stel vast welke digitale transformaties uw organisatie hoopt te bereiken. Bedenk waar u wilt uitbreiden naar IoT, BYOD, werken op afstand of meer cloudtoepassingen. Neem voldoende details in uw plannen op om te zien waar de potentiële zwakke plekken zitten.
Maak ook een lijst van de fysieke en virtuele apparaten in het bedrijf. Werkstations, laptops, printers, mobiele apparaten, netwerktoepassingsservers, bedrijfsfirewalls en netwerkbestandsservers moeten hierin worden meegenomen.
Het vereiste beveiligingsniveau bepalen
Zodra u weet wat u wilt bereiken en wat de mogelijke zwakke plekken zijn, kunt u bepalen welk beveiligingsniveau nodig is. Hieronder staan de essentiële beveiligingsservices voor een succesvolle digitale transformatie.
Voortdurende bewaking
Een ernstige fout die veel middelgrote en kleine bedrijven maken is te veel aan preventie uitgeven ten koste van detectie- en responsmogelijkheden. Hoewel preventie een essentieel aspect is van de bescherming van gevoelige informatie, is het belangrijk om te onthouden dat aanvallen constant veranderen en op elk moment kunnen toeslaan. Hoe sneller een bedrijf op een aanval kan reageren, hoe eenvoudiger het is om de schade die kan worden aangericht, in te dammen en te verkleinen.
Handhaaf een solide basis van beveiliging met voortdurende bewaking en beheer op afstand. Het vinden en onderhouden van nieuwe softwarepatches en -updates en het bijwerken van beveiligingsmaatregelen op basis van nieuwe dreigingen zorgt voor continue bescherming tegen cybercriminelen.
IoT
Antivirussoftware
Antivirussoftware installeren voor bewaking op alle apparaten om elke ingang te beveiligen
Regelmatig scannen op kwetsbaarheden
Regelmatige scans zorgen ervoor dat antivirussoftware, wachtwoorden en andere software up-to-date zijn.
Preventie van gegevensverlies
Voorkomt dat gebruikers gevoelige gegevens delen en bepaalt welke gegevens kunnen worden overgedragen.
BYOD
E‑mailversleuteling
Eind-tot-eindversleuteling rechtstreeks op de apparaten van gebruikers zorgt ervoor dat informatie alleen in de juiste handen terechtkomt.
SSL-ontsleuteling
Secure Internet Gateway inspecteert alle poorten en protocollen om ervoor te zorgen dat dreigingen uw netwerk niet kunnen binnendringen en vult gaten in de beveiliging op die traditionele apparatuur achterlaat.
Veilige authenticatie
Er zijn verschillende manieren om dit te bereiken, maar een wachtwoordbeleid en meervoudige verificatie zijn enkele eerste stappen.
Werken op afstand
Bescherm werknemers altijd en overal
Verstrek een VPN-verbinding aan externe werknemers om de toegang tot bedrijfsgegevens en -toepassingen te beveiligen.
Beveiligingsbewustzijn en -training
Leer werknemers hoe ze zichzelf en uw bedrijf kunnen beschermen, door bijvoorbeeld scams te herkennen en sterke wachtwoorden te maken.
Afdwingbare procedures en beleidsregels
Zorg ervoor dat iedereen weet hoe ze het bedrijf veilig kunnen houden. Stel duidelijke richtlijnen op over welke gegevens moeten worden beschermd en hoe.
Cloudtoepassingen
Back-up en noodherstel
Voorkomt dat u gevoelige en waardevolle gegevens verliest in geval van een ongeluk of noodsituatie.
Beveiligde webgateway
Als virtuele bewaker blokkeert elke detectie vanuit de cloud onmiddellijk alle dreigingen voor alle klanten binnen het netwerk.
Patchbeheer
Het installeren en up-to-date houden van patches kan helpen om de inherente kwetsbaarheden van cloudtoepassingen op te lossen.
Samenvatting
Digitale transformaties zijn een onvermijdelijke verandering voor het mkb. Deze verandering maakt organisaties echter kwetsbaar voor nieuwere en geavanceerdere dreigingen. IoT, BYOD, werken op afstand en cloudtoepassingen gaan allemaal gepaard met unieke uitdagingen waar bedrijven zich bewust van moeten zijn. Beheerde beveiligingsservices kunnen het mkb helpen bij het identificeren van mogelijke inbreuken en het verminderen van kwetsbaarheden, terwijl ze hun processen verbeteren om het bedrijf sterker te maken. Deze services kunnen u helpen om veranderingen en technologie te verwelkomen in de wetenschap dat u én uw klanten beschermd zijn.
1 Ponemon Institute. 2019 Cost of a Data Breach Report. Juli 2019.
2 National Institute of Standards and Technology (NIST). Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks. Juni 2019.
3 Ponemon Institute. Bridging the Digital Transformation Divide: Leaders Must Balance Risk and Growth. Maart 2018.