Advies voor de MSP: zie informatiebeveiliging en cybersecurity niet langer als verkoopbaar product, maar als dienst binnen je aanbod. Neem het op als onderdeel van je pakket en beschouw het als een proces waar je continu aandacht voor hebt.
De mens als zwakste schakel in cybersecurity
Informatiebeveiliging bestaat uit drie componenten:
- mens
- proces
- technologie
Met die technologie zit het in je dienstverlening waarschijnlijk wel goed, maar de grootste risico’s liggen bij de mens. Bij de eindgebruiker om precies te zijn. In jouw geval zijn dat de medewerkers van je klant. Dat weten ook de criminelen, want veel aanvallen richten zich op de individuele gebruiker. De drie componenten zijn met elkaar verbonden en van elkaar afhankelijk. De technologie om alles goed te beschermen is er wel, maar valt of staat bij het gebruik en de processen waarin ze ingezet worden. Als MSP kun je je systemen nog zo goed op orde hebben, maar de mens en het proces moeten daar wel op aansluiten. En daar kun jij ook voor zorgen: stem jouw technologie niet af op het proces en de mens, maar andersom: bepaal het proces en het gedrag van de mens met jouw technologie.
Door de aandacht voor privacy en oplichting en de media-aandacht voor datalekken bij grote bedrijven, zijn mensen bewuster gaan handelen, maar ze vertrouwen er ook op dat jij als hun ICT-dienstverlener de zaakjes goed voor elkaar hebt. Dat maakt dat ze touwtjes toch weer wat laten vieren, want jij houdt de systemen en de netwerken immers goed in de gaten. Toch?
Phishing mails worden steeds geraffineerder, pc’s blijven nog steeds unlocked als mensen even weggaan en zo lang jij niet aangeeft dat het tijd is om het wachtwoord te wijzigen, zullen ze het zelf niet doen. Goed dus om, net als de criminelen, je aandacht te verleggen naar de mens, de eindgebruiker.
Wat zijn de cyberrisico’s voor jou als MSP?
Mobiele devices
Er zijn meer en meer mobiele apparaten in gebruik bij klanten van MSP’s. Met als gevolg dat deze apparaten vol staan met vertrouwelijke e-mails, documenten, bestanden en contactgegevens. En deze zijn nog lang niet altijd goed beschermd. Dagelijks vinden er ransomware aanvallen plaats via openbare WiFi-netwerken en phishing e-mails. Maar bij de beveiliging van apparatuur worden deze devices helaas nog vaak vergeten.
Wist je dat 78,3% van de Nederlandse telefoons voor zakelijk gebruik niet beveiligd is? En dat 11,3% van de Nederlanders het niet noodzakelijk vindt om hun mobiele apparaten voor zakelijk gebruik te beveiligen?
Als MSP kun je regels opstellen voor het downloaden van applicaties, contacten op een white- of blacklist zetten en zien of de laatste updates zijn geïnstalleerd. Ook kun je rapportages opstellen (met behoud van privacy!) en maatregelen treffen bij diefstal of verlies, zoals het op afstand verwijderen van alle data.
Wachtwoorden
Deze spreekt eigenlijk vrijwel voor zich: een belabberd wachtwoord is geen beveiliging, alleen een extra handeling voor de hacker. En dat snappen medewerkers heus wel. Ze handelen er alleen niet altijd naar. Buiten dat in de praktijk 12345 en wachtwoord nog steeds veel gebruikt worden, gaat men er ok veel te makkelijk mee om. Een schriftje in de bovenste la van het ladeblok waar alle wachtwoorden in bijgehouden worden, bijvoorbeeld. Of plakkers onderop een laptop met de inloggegevens. Als MSP heb je het allemaal al voorbij zien komen. En dat wil je gewoon niet.
Als ICT’er ben je van de systemen, de apparatuur en de technologie. Jij zorgt ervoor dat dat voor jouw klant goed geregeld is. De rest is niet ‘jouw business’. Maar, wat nou als je er wel jouw business van maakt? Om je werk goed te kunnen doen is het domweg nodig dat jouw dienstverlening kan doen wat het moet doen en niet gehinderd wordt. Laat geen maatregelen achterwege omdat je klant die maar onhandig vindt, maar overtuig hem van de noodzaak en organiseer het zo dat het in de praktijk voor de medewerkers niet als vervelend wordt ervaren. Denk mee, luister naar de bezwaren en onderzoek verschillende mogelijkheden van wachtwoordbeveiliging, zoals meertrapsverificatie en automatisch genereren van wachtwoorden.
Bewustzijn (awareness) bij de eindgebruiker
Voor jouw klant en zijn medewerkers is cybersecurity niet hun core business. Ze vinden het wel belangrijk, want ze willen hun data beschermen en ook hun goede naam. Zij willen weer het vertrouwen uitstralen naar hun klanten dat ze hun zaakjes goed op orde hebben. Maar ze willen er niet mee bezig zijn. Daarom hebben ze jou ingehuurd. Dat maakt ook dat medewerkers niet goed op de hoogte zijn van de risico’s, van hun eigen zwakke plekken en van de gevolgen van een ogenschijnlijk kleine vergissing. Kortom, er is over het algemeen een gebrek aan échte awareness.
Jij zit met je neus bovenop de gevaren en de risico’s. Als iemand kan uitleggen wat de gevolgen zijn van kleine (en grote) vergissingen, dan ben jij het. Door je klanten te laten zien en ervaren waar en hoe het mis kan gaan, vergroot je hun awareness, waardoor je ze ook makkelijker meekrijgt in het gedrag dat jij nodig hebt. Ze gaan begrijpen waarom jij ze al die vervelende maatregelen oplegt en daarmee creëer je draagvlak. Bovendien, als jij de medewerkers er actief bij betrekt, weet je ook meteen waar de zwakke plekken in het bedrijf zitten. Dat kan natuurlijk overal anders zijn. Jij weet dan precies waar bij elke klant de securityaandacht naar uit moet gaan.
Social engineering in je dienstenpakket
Bovenstaande maakt goed duidelijk hoe social engineering en social security je dienstverlening meerwaarde bieden. Niet alleen voor je klant, maar ook voor jou. Alleen, zomaar even toevoegen aan je dienstenpakket klinkt makkelijker gezegd dan gedaan. Maar daar kan ik je bij helpen. Naast dat ik alle ins en outs van Autotask ken, ben ik ook distributeur van usecure: trainings-software die je klanten veiliger laat werken en veiligheidsproblemen helpt voorkomen. Makkelijk te integreren in je eigen dienstverlening, zonder dat je zelf certificaten moet halen of bij hoeft te scholen. Meer weten of sowieso een keertje sparren over je ideeën? Bel me gewoon, voor MSP’s is de licentie helemaal GRATIS voor intern gebruik.
