Grote bedrijven hebben een securityteam. De bakker met drie vestigingen, het administratiekantoor met acht man en de webshop met twintig medewerkers hebben dat niet — en juist daar slaan aanvallers steeds vaker toe. Niet omdat er miljoenen te halen zijn, maar omdat de deur vaak gewoon openstaat.
Het goede nieuws: met een handvol maatregelen dek je het grootste deel van de risico’s af. Je hoeft er geen techneut voor te zijn.
De vijf maatregelen die er echt toe doen
1. Zet tweestapsverificatie overal aan. Verreweg de meeste inbraken bij kleine bedrijven beginnen met een gestolen of geraden wachtwoord. Tweestapsverificatie (MFA) maakt zo’n wachtwoord in één klap vrijwel waardeloos voor een aanvaller. Begin bij e-mail, je boekhoudpakket en Microsoft 365 of Google Workspace. Het instellen kost per medewerker een kwartier.
2. Regel je back-ups — en test ze. Ransomware overleef je met een goede back-up. Belangrijk is de 3-2-1-regel: drie kopieën, op twee soorten opslag, waarvan één buiten je netwerk. Een externe schijf die permanent aan de server hangt, telt niet: die versleutelt de ransomware gewoon mee. En minstens zo belangrijk: probeer eens per kwartaal echt iets terug te zetten. Een back-up die nooit getest is, is een gok.
3. Update wat je gebruikt, verwijder wat je niet gebruikt. De meeste aanvallen misbruiken lekken waarvoor allang een update bestaat. Zet automatische updates aan op werkplekken, telefoons en je router of firewall. Oude systemen die niemand meer gebruikt — dat ene verlaten WordPress-blog, die server van een gestopt project — zijn favoriete ingangen. Weg ermee.
4. Maak van je mensen een verdedigingslinie. Phishingmails in vlekkeloos Nederlands zijn inmiddels de norm; het herkennen van kromme zinnen werkt niet meer als filter. Wat wél werkt: een cultuur waarin medewerkers bij twijfel even bellen met de collega of leverancier die de mail “gestuurd” heeft, en waarin het melden van een verkeerde klik geen schaamte oplevert. Snelle melding maakt het verschil tussen een incident en een ramp.
5. Beperk wie waar bij kan. De stagiair heeft geen toegang tot de personeelsdossiers nodig en de marketingcollega niet tot de boekhouding. Hoe minder rechten een account heeft, hoe kleiner de schade als het gekaapt wordt. Loop eens per halfjaar de accounts na — vooral van vertrokken medewerkers. Vergeten accounts zijn een klassieker.
Wanneer schakel je hulp in?
Bovenstaande kun je grotendeels zelf. Maar sommige vragen vereisen een blik van buiten: staan er systemen van ons open aan het internet die dicht moeten? Is onze Microsoft 365-omgeving veilig ingericht, of draait die nog op de standaardinstellingen? Zouden onze mensen trappen in een gerichte phishingmail?
Voor dat soort vragen werkt CybersecurityNieuws.nl samen met Fortivox Security, de Nederlandse security-specialist achter dit platform. Fortivox richt zich specifiek op het MKB en doet security-assessments, Microsoft 365-hardening en phishing-simulaties — uitgevoerd door een actieve SOC-analist die dagelijks echte aanvallen ziet, niet alleen de theorie kent. Een kennismakingsgesprek is gratis en verplicht je tot niets: kijk op fortivoxsecurity.nl of vraag een gratis QuickScan aan via onze contactpagina.
Begin vandaag met punt één. Tweestapsverificatie aanzetten kost minder tijd dan deze blog lezen — en het is de beste beveiligingsinvestering die een klein bedrijf kan doen.
Wekelijkse security-update in je inbox
Elke week de belangrijkste dreigingen, kwetsbaarheden en tips — gratis, geen spam.
Bij 2.400+ security-professionals. Afmelden kan altijd.