%20-%20no%20white%20space%20-%20resized-1.png?width=4164&height=948&name=logo%201%20(bold)%20-%20no%20white%20space%20-%20resized-1.png)
"Ons IT-bedrijf regelt dat wel voor ons."
Als mkb-ondernemer vertrouwt u op uw IT-partner voor alles wat met computers te maken heeft. Logisch - u runt een restaurant, productiebedrijf of adviesbureau. IT is niet uw vak.
Maar wat de meeste mkb-ondernemers niet willen horen: een gemiddeld IT-bedrijf kán u niet beschermen tegen moderne cyberbedreigingen. Niet omdat ze lui of slecht zijn, maar omdat het simpelweg een heel ander vak is.
Bovendien: heeft u met uw IT-partner concreet afgesproken dat ze cybersecurity voor u regelen? Nee? Dan kunt u het ook niet van ze verwachten.
De dagelijkse realiteit van een IT-partner
Uw IT-partner heeft waarschijnlijk zijn handen vol aan de dagelijkse problemen. Die 8 jaar oude laptop van medewerker Marieke die weer vastloopt. De printer die niet wil printen. Jan-Willem die per ongeluk zijn complete mailbox heeft gewist.
Ze zijn constant bezig met "brandjes blussen." Oude hardware draaiende houden, software-updates terugdraaien die het hele systeem in de war hebben geschopt, medewerkers helpen die hun wachtwoord vergeten zijn, ga zo maar door.
Een IT-partner heeft vaak helemaal geen tijd om zich met cybersecurity bezig te houden. Bovendien is cybersecurity een compleet ander vak dan IT-beheer.
Van uw IT-partner verwachten dat ze ook cybersecurity doen, is alsof u een automonteur vraagt om ook uw autoverzekering te regelen. Beide hebben met auto’s te maken, maar het zijn compleet verschillende specialismen.
Waarom cybersecurity anders is dan IT beheer
→ IT-beheer = ervoor zorgen dat alle werkstations en software pakketten goed werken en dat medewerkers goed ondersteund worden
→ Cybersecurity = ervoor zorgen dat apparaten en gegevens goed beschermd zijn, zodat criminelen er niet bij kunnen
Uw IT-partner weet hoe hij een server opzet, een netwerk inricht, of Office 365 installeert. Maar weet hij ook hoe moderne criminelen denken? Kent hij de laatste aanvalstechnieken? Heeft hij toegang tot real-time dreigingsinformatie?
Veel IT-partners vertrouwen op de ingebouwde “beveiliging” van software pakketten, zoals Microsoft. Maar die beveiliging is onvoldoende.
Ten eerste zijn niet al uw systemen van Microsoft. Uw netwerkapparatuur niet. Uw branchespecifieke software niet. Ten tweede beschermt de beveiliging van Microsoft maar mondjesmaat.
Cybersecurity verandert honderd keer sneller dan traditionele IT.
Ga maar eens na: Excel werkt nog steeds ongeveer hetzelfde als 20 jaar geleden. Maar cyberaanvallen evolueren wekelijks. Wat vorige maand nog veilig was, is deze maand alweer achterhaald.
De gemiddelde IT-partner is overweldigd en onderbemand
Om even een realistisch beeld te schetsen van een gemiddeld IT-bedrijf:
- 5 tot 20 medewerkers die voor 50 tot wel 150 bedrijven zorgen
- Constant bezig met oude hardware repareren
- Geen tijd voor proactieve beveiliging
- Geen budget voor gespecialiseerde security-tools
- Eén iemand die "ook wel wat van beveiliging af weet"
- Leunt op de standaardbeveiliging van softwareleveranciers zoals Microsoft en Google, terwijl die (minimaal) hun eigen producten beschermen
Ze willen u graag helpen, maar cybersecurity vraagt om:
- Specialistische kennis die constant geüpdatet moet worden
- Toegang tot complexe security-tools en -licenties
- 24/7 monitoring en respons
- Juridische kennis over compliance (NIS2, AVG)
Dat kan een gemiddeld IT-bedrijf simpelweg niet leveren. Net zoals u niet van uw boekhouder kunt verwachten dat ze ook uw marketing doet.
Heeft u met uw IT-partner überhaupt iets afgesproken over cybersecurity?
Veel ondernemers gaan ervan uit dat hun IT-partner cybersecurity ‘er wel bij doet’. "Staat toch op hun website?" Ja, maar dat betekent niet dat het in uw contract zit.
Als er iets misgaat, heeft u waarschijnlijk niets op papier staan. Geen afspraken. Geen verantwoordelijkheden. Geen bewijs dat ze het ooit beloofd hebben.
Echt goede cybersecurity kan niet "gratis" bij uw IT-contract zitten. Kijk maar naar Microsoft en Google zelf: zij bieden beveiliging nu als aparte, betaalde service aan. Daarmee geven ze eigenlijk toe dat hun basisbeveiliging onvoldoende is.
Als uw IT-partner u nooit concrete vragen heeft gesteld zoals "Willen jullie EDR-beveiliging? Dat kost X per maand" of "Hebben jullie email-filtering nodig?", dan zit er iets fundamenteel fout.
De NIS2-schokgolf die eraan komt
Bovendien verandert vanaf volgend jaar waarschijnlijk alles. Naar aanleiding van de NIS2 cybersecurity regelgeving gaan uw grote(re) klanten eisen: "Toon aan dat jullie cybersecurity op orde hebben." En dat aantonen kunt u straks niet meer met vage beloftes doen, maar daar heeft u concreet bewijs voor nodig.
Veel IT-bedrijven hebben daar niets voor geregeld. Dus straks, als uw grootste klant zegt: "Geen bewijs van cybersecurity = contract opgezegd," ontstaat er chaos. Dan moet alles ineens heel snel geregeld worden, en dat is heel lastig als uw IT-partner geen specialist is op dat gebied.
Sterker nog, het is ook niet eerlijk om dat van ze te verwachten als u dat nooit van ze heeft gevraagd.
Wat u als ondernemer moet doen
Stop dus met alles afschuiven op uw IT-partner. U heeft ook een aparte boekhouder, verzekeringsadviseur en jurist. Waarom zou cybersecurity anders zijn?
Geeft uw IT-partner aan dat zij cybersecurity wél goed geregeld hebben? Stel dan de juiste vragen:
- "Kunnen jullie een beveiligingsrapport leveren van al onze apparaten, servers, email accounts en cloud omgevingen?"
- "Wat wordt er precies gebackuped? Waar staat die backup? Is die encrypted? Hoe snel kunnen jullie alles terugzetten?"
- "Kunnen jullie compliance-rapporten leveren voor NIS2?"
- "Wat doen jullie als we worden aangevallen om 2 uur 's nachts?"
Als het antwoord vaag is ("eh, dat regelen we wel"), of ze proberen u af te leiden met ingewikkeld technisch jargon, dan weet u genoeg. Duidelijke vragen verdienen duidelijke antwoorden.
Zoek gespecialiseerde hulp. Net zoals u uw administratie uitbesteedt aan een boekhouder en uw verzekeringen aan een adviseur, moet cybersecurity naar een specialist.
Cybersecurity is een vak apart
Net zoals juridisch advies, accountancy en marketing is cybersecurity een vak apart. Uw IT-partner kan fantastisch zijn in servers en netwerken en het onderhouden van apparaten. Maar verwacht niet dat ze ook uw cyberbeveiliging kunnen regelen.
En als cybersecurity niet expliciet in uw contract staat en u betaalt er niet apart voor, heeft u het niet. Zo simpel is het.
Slimme ondernemers herkennen dit nu al. Ze houden hun IT-partner voor wat hij goed in is: zorgen dat alles werkt. En ze nemen een aparte cybersecurity-partner voor wat écht belangrijk is: zorgen dat criminelen er niet bij kunnen.
Want over een paar maanden, als uw grootste klant om bewijs vraagt dat het goed geregeld is, wilt u niet afhankelijk zijn van iemand die "ook wel wat van beveiliging af weet."
U wilt een echte specialist aan uw zijde hebben.
Tip: met de subsidie met ‘Mijn Cyberweerbare Zaak’ kunt u tot €1250 subsidie ontvangen én u krijgt een maand gratis bij aankoop van één van onze alles-in-een beveiligingspakketten. Meer weten? Neem vooral contact met ons op.
.png?width=624&height=427&name=Heading%20(1).png)
Erwin Sikma
.png?width=624&height=427&name=Zo%20ontvangt%20u%20t%C3%B3ch%20%E2%82%AC1250%20subsidie%20om%20te%20investeren%20in%20maatregelen%20tegen%20cybersecurity%20(LinkedIn%20Post).png)