Abonneer
Abonneer
Abonneer
Cyber Security

Cybersecurity voor het mkb: ontdek de achterdeurtjes in je ict-omgeving

Geschreven door Boudewijn van Silfhout
7 min leestijd
28-aug-2025 9:08:19

Ja, ook als mkb’er kun je het doelwit zijn van cybercriminelen. Ze gaan vervolgens geraffineerd te werk, bijvoorbeeld door meteen je back-ups op te zoeken en te verwijderen. Het mkb krijgt steeds vaker te maken met cyberaanvallen. Ondanks je omvang bezit je waardevolle data, terwijl je beveiliging vaak minder is dan bij grote bedrijven. Een hack kan productie of andere kernprocessen stilleggen of klantdata blootleggen. Gelukkig kun je met basismaatregelen, bewustzijn onder medewerkers en aandacht voor verborgen risico’s je cybersecurity als mkb’er aanzienlijk versterken, zonder grote investeringen. Misschien kom je zelfs in aanmerking voor een subsidie van de Rijksdienst van Ondernemend Nederland (RVO).

De onderwerpen en belangrijkste takeaways van deze blog:

Een veilige ict-omgeving begint bij de basis

Cybersecurity is een combinatie van technologie en gedrag. Je hebt een goed ingerichte ict-omgeving nodig, maar alerte medewerkers zijn minstens zo belangrijk. Daarom valt security awareness ook onder de basis van je cybersecurity. Want hoe goed je systemen ook zijn: één klik op een foute link kan genoeg zijn.

Zorg dat je ict-omgeving op orde is

Een opgeruimde, stabiele basis helpt je om afwijkingen snel te zien en te voorkomen. Net als dat je op een opgeruimd bureau sneller je pen vindt, zie je in een opgeruimde ict-omgeving eerder waar je zwakke plekken nog zitten. Dus: eerst de basis op orde!

Lees ook deze 10 securitymaatregelen om een solide cybersecurity-basis te creëren.

Denk bij de basis aan:

  • Updates en patches
    Zorg dat alle software – van besturingssysteem tot applicaties – up-to-date is. Verouderde systemen die geen updates meer krijgen, zijn extra kwetsbaar. Beveilig ze goed, segmenteer ze of plan een uitfasering.
  • Beveiliging op apparaten en netwerk
    Installeer betrouwbare antivirussoftware en een firewall. Voor extra inzicht kun je kiezen voor endpointbeveiliging, Endpoint Detection & Response (EDR) of monitoring van een ict-partner. Zo herken je verdachte activiteiten direct.
  • Netwerk en toegang goed geregeld
    • Segmenteer je netwerk in logische delen.
    • Beperk toegang tot wat medewerkers echt nodig hebben.
    • Gebruik multifactor-authenticatie (MFA) voor accounts met toegang tot bedrijfsdata. Zo voorkom je dat gestolen wachtwoorden direct tot misbruik leiden.
    • Voer extra controles uit bij kritieke acties, zoals een vier-ogenprincipe bij grote betalingen.
  • Data en apparaten goed beveiligd
    • Versleutel alle devices en gevoelige data.
    • Verwijder overbodige software en services. Zo verklein je ook het aanvalsoppervlak voor kwaadwillenden.
  • Back-ups en checks
    Maak regelmatig back-ups van kritieke data en test of je ze kunt terugzetten. Een offline back-up is je vangnet bij ransomware.
  • Gebruiksvriendelijke beveiliging
    Zorg dat veilige alternatieven prettig werken. Denk aan MFA met keuzeopties of een bedrijfs-chat in plaats van WhatsApp. Hoe makkelijker de veilige route, hoe minder mensen geneigd zijn om een shortcut te nemen.
“De mens is de laatste schakel in je beveiliging. Als de techniek iets niet heeft tegengehouden, dan moet je het van je medewerkers hebben." - Boudewijn van Silfhout, security-expert

Maak van je mensen een verdedigingslinie

Meer dan 90% van de succesvolle cyberaanvallen begint met menselijk gedrag. Denk aan phishing, zwakke wachtwoorden of het delen van gevoelige info. Cybersecurity-expert Boudewijn van Silfhout: “De mens is de laatste schakel in je beveiliging. Als de techniek iets niet heeft tegengehouden, dan moet je het van je medewerkers hebben. Security awareness is de investering dus waard.”

Hoe pak je dat aan?

  • Bewustwording
    Leg uit waarom maatregelen nodig zijn. Deel concrete voorbeelden en laat zien wat er op het spel staat.
  • Training en simulatie
    Leer medewerkers phishing en andere valkuilen herkennen. Oefen bijvoorbeeld met nep-phishingmails, achtergelaten USB-sticks en test de fysieke toegang tot je panden.
  • Herhaling
    Plan regelmatig korte updates en tests. Zo blijft wat ze geleerd hebben beter bij medewerkers hangen.
  • Procesmatige vangnetten
    Bouw checks in, zoals het vier-ogenprincipe of extra verificatie bij onverwachte verzoeken.
  • Maak melden laagdrempelig
    Zorg dat medewerkers weten dat twijfelen mag. Liever tien keer vals alarm dan één incident door schroom of twijfel bij een medewerker.

“Cybersecurity is uiteindelijk people-security,” zegt consultant Wybren de Jong. Als techniek en gedrag op orde zijn, staat je organisatie sterk.

Verborgen risico’s opsporen

Misschien heb je de basismaatregelen zoals MFA en op tijd updaten al op orde. Maar ga je ook regelmatig op zoek naar verborgen risico’s? Zoals Boudewijn zegt: “Het risico dat je niet kent is gevaarlijker dan wat je wel weet”. Je kunt je dus nog zo wapenen tegen de gevaren die je kent, maar het zijn juist de onzichtbare gaten waar aanvallers doorheen glippen. Waar je dan aan moet denken? Zwakke plekken zoals:

  • Verouderde systemen: Oude servers of software die je ‘nog even laat draaien’. Ze lijken onschuldig, maar missen belangrijke updates en monitoring, en zijn daarom een makkelijk doelwit voor aanvallers. Je checkt ze dus vaak en vervangt ze op tijd om nare verrassingen te voorkomen, ook al voelt elke update spannend. Of je zorgt dat ze strikt gescheiden blijven van je netwerk.
  • ‘Shadow-it’ en vergeten accounts: Medewerkers regelen soms zelf tools of clouddiensten, zonder dat ict het weet. Daarbovenop blijven er vaak accounts, databases of applicaties actief die niemand meer gebruikt. Alles wat onnodig openstaat, is een extra ingang voor hackers. Zorg dus dat je het overzicht behoudt en ruim regelmatig op. Bonus: achterhaal bij ‘shadow-it’ meteen de reden, zodat je daarop in kunt spelen. Want medewerkers gaan niet voor niets zelf op zoek naar alternatieven.
  • Onvolledig zicht op cloud: Cloudoplossingen zoals Microsoft 365 of Azure zijn handig, maar maken het snel lastig om overzicht te houden. Oude accounts, gasttoegang of onbekende cloud-apps kun je over het hoofd zien. Breng in kaart wie waar bij kan en check of alles nog nodig is en goed is ingesteld.
  • Kwetsbaarheden in processen: Niet elk risico is technisch. Denk aan een factuurproces via e-mail (phishing!) of het niet tijdig verwijderen van accounts van oud-medewerkers. Duidelijke afspraken en, waar nodig, het vier-ogen-principe helpen fouten voorkomen.

Spoor dit soort verborgen risico’s actief op en dicht de gaten in je cybersecurity. Dit doe je door apparaten, applicaties en data in kaart te brengen. Gebruik eventueel scan-tools om je omgeving door te lichten en bekijk logboeken. Of laat een externe partij je hierbij helpen, bijvoorbeeld door een security-audit of penetratietest te doen. Vervolgens pak je de risico’s aan, denk bijvoorbeeld aan:

  • oudere systemen zo goed mogelijk te beveiligen en meteen te patchen of ze te segmenteren van de rest van het netwerk;
  • ongebruikte account, devices en applicaties op te ruimen.

 

"Je moet weten wát je hebt om het te kunnen beschermen. De basis van je cybersecurity start dus bij een inventarisatie.” - Boudewijn van Silfhout, cybersecurity-expert


Bereid je voor met incidentrespons en herstel

Toch geraakt? Hoe goed je je ict-omgeving ook inricht, er komt altijd wel een moment dat er iets misgaat. Een virus, een datalek, een gestolen laptop: het is niet de vraag of, maar wanneer het gebeurt. Gelukkig kun je je daarop voorbereiden en zorgen voor een beheersbare situatie in plaats van een crisis.

Wat kun je nu al doen om je voor te bereiden?

  • Stel een incidentplan op
    Leg vast wie wat doet bij een datalek, ransomware of phishingaanval. Wijs een crisisteam aan, beschrijf scenario’s, leg procedures vast en bepaal wanneer je externe hulp inschakelt. Zorg dat het plan makkelijk vindbaar is en dat medewerkers weten wat hun rol is.
  • Oefen met realistische scenario’s
    Simuleer een hack. Laat je team reageren op een fictieve aanval: wie merkt het op, wie schakelt hulp in, hoe snel is alles hersteld? Zo ontdek je blinde vlekken en verbeter je je aanpak.
  • Oefen herstel
    Back-ups zijn belangrijk, maar heb je getest of je ze snel kunt terugzetten? Denk ook aan licenties en toegang tot offline back-ups.
  • Zorg dat je het merkt
    Stel meldingen in bij je firewall, antivirus of Endpoint Detection and Response (EDR ). Bij een kritieke melding moet je direct iemand alarmeren. Sommige mkb’s kiezen voor Managed Detection and Response (MDR).
  • Beperk de schade
    Met netwerksegmentatie en Identity and Access Management (IAM) beperk je de schade doordat een indringer niet overal meer bij kan.
  • Communiceer helder
    Bereid voorbeeldboodschappen voor. Intern en extern. Je wilt geen radiostilte bij een incident.
  • Leer van elk incident
    Evalueer na afloop: wat ging goed, wat niet? Pas je plan aan als dat nodig is.

“Zie incidentrespons als een brandoefening: ook als je niet eerder brand hebt gehad, bereid je je goed en regelmatig voor,” zegt Boudewijn. Zo voorkom je paniek als het toch gebeurt.

Schakel hulp in van een partner: co-sourcing voor cybersecurity

Cybersecurity is complex. Alles zelf doen kost veel tijd en kennis, maar alles uitbesteden voelt vaak als controle verliezen. Co-sourcing biedt een handige middenweg.

Met co-sourcing werk je samen met een ict-partner die jouw team aanvult. Jij houdt de regie, de partner ondersteunt waar nodig: van support tot securitymonitoring en advies. Denk aan hulp bij updates, dreigingsdetectie, incidentrespons of periodieke securityscans.

Voor het mkb is dit ideaal: je krijgt toegang tot specialistische kennis en extra handen, zonder een dure ict-afdeling op te tuigen. En je kunt makkelijk op- en afschalen als de situatie daarom vraagt.

Een externe partner kijkt bovendien met een frisse blik naar je omgeving. Zo ontdek je sneller blinde vlekken en verbeterpunten. Samen stel je een plan op dat past bij jouw organisatie. En dat ict-zorgen weghaalt en je groei en ambities ondersteunt.

Consultant Wybren de Jong zegt hierover: “Je hoeft het wiel niet zelf uit te vinden. Een goede ict-partner helpt je vooruit en houdt je veilig.”

Cybersecurity goed geregeld

Heb jij je security-basis al op orde? Heldere communicatie, goede voorbereiding en leren van incidenten vormen de basis van sterke cybersecurity. Met duidelijke procedures en een solide basis sta je stevig in je schoenen als het spannend wordt. Staat de basis als een huis? Vergeet ook de verborgen risico’s niet! Je hoeft natuurlijk niet alles in je eentje te doen; een frisse blik van buitenaf kan net die blinde vlekken aanpakken en je plannen vertalen naar de praktijk.

Wil je weten hoe een partner jouw organisatie extra zekerheid biedt? Neem snel een kijkje op onze Co-sourcing-pagina of lees verder:

Ontdek Co-sourcing

 
Vorige verhaal
← Concreet aan de slag met Digital Employee Experience (DEX) in 8 stappen
De moderne werkplek voor financiële organisaties: hoe zorg je dat deze veilig en compliant is?
veilige moderne werkplek in finance
Cyber Security

De moderne werkplek voor financiële organisaties: hoe zorg je dat deze veilig en compliant is?

12-feb-2024 14:00:23 5 min leestijd
100% beveiliging bestaat niet: hoe past MDR in jouw organisatie?
Cyber Security

100% beveiliging bestaat niet: hoe past MDR in jouw organisatie?

31-okt-2023 13:55:26 6 min leestijd
Hoe zorg je dat je bedrijfsinformatie goed beveiligd is? | Cybersecurity advies van onze CIO
Cybersecurity advies 2020
Cyber Security

Hoe zorg je dat je bedrijfsinformatie goed beveiligd is? | Cybersecurity advies van onze CIO

12-feb-2021 17:04:00 4 min leestijd

Ontvang email updates