Bedrijfsprocessen draaien tegenwoordig op connectiviteit. Het gebruik van smartphones, laptops en Internet of Things-apparaten (IoT) groeit constant. Gartner voorspelt dat het totaal aantal verbonden apparaten tegen 2021 de 25 miljard zal bereiken. Dit levert veel data op, wat steeds meer vraagt van zakelijke it-infrastructuren en -netwerken.
Tel daarbij op dat een medewerker zonder tussenkomst van de it-afdeling ‘as-a-service’-software kan installeren en dat er nieuwe ontwikkelingen in verwerkingsmogelijkheden voor mobiele apparaten zijn. Dan is duidelijk dat bedrijven voor een geheel nieuwe uitdaging staan: hoe krijg je controle over deze onbeheerde apparaten en hoe beveilig je tegelijkertijd het bedrijfsnetwerk en bedrijfsdata?
Veel kleine en middelgrote bedrijven proberen deze uitdagingen aan te gaan door hulp te zoeken bij managed service providers (msp’s). Maar de huidige msp’s moeten zich ook aanpassen aan deze veranderende trends, zowel binnen hun eigen organisatie als in de it-infrastructuur die ze beheren. Msp’s moeten voortdurend evalueren hoe ze IoT het beste integreren in de oplossingen die ze leveren, en hoe ze deze veranderende omgeving proactief beheren en de beveiligingsuitdagingen die hierbij komen kijken, aanpakken.
Securitydreigingen
IoT zet het continu veranderende cybersecuritylandschap op scherp, wat voor bedrijven grote kosten met zich meebrengt. De afgelopen tijd zijn er veel verhalen in het nieuws geweest over kleine bedrijven, lokale overheden en zelfs grote organisaties die het slachtoffer zijn geworden van ransomwareaanvallen. Recente cijfers van Datto laten zien dat in 2018 Europese mkb’s gemiddeld 2.293 euro per incident betaalden aan ransomwarehackers, terwijl de kosten van downtime in verband met een ransomwareaanval gemiddeld uitkwamen op 29.294 euro. Nieuwe ransomwareaanvallen zullen steeds meer schade aanrichten: ofwel door losgeld, ofwel door downtime. Ransomware infiltreert vaak in de security van een bedrijf door werknemers te misbruiken: gebruikers worden dan misleid om toestemming te geven om bepaalde software te laten draaien of door hen te overtuigen acties te ondernemen, die beveiligingsmaatregelen omzeilen.
Doordat ransomware niet zomaar zal verdwijnen, is het zaak dat msp’s voorbereid zijn op deze uitdagingen en de kwetsbaarheden die bij IoT-apparaten komen kijken. Een eerste stap is om de drie grootste bedreigingen van IoT-apparaten te herkennen.
- IoT-apparaten zijn in veel gevallen onbeveiligd doordat er oudere besturingssystemen op draaien of doordat ze niet standaard voldoen aan securitynormen. Due diligence is nodig om ervoor te zorgen dat elk geïnstalleerd apparaat beveiligd is tegen ransomware, malware en andere securitykwetsbaarheden.
- Vanuit een securityperspectief zien bedrijven en hun klanten IoT-apparaten vaak over het hoofd. Doordat deze apparaten toegang tot een netwerk bieden, moeten ze veilig worden beheerd en gemonitord, op dezelfde manier als een desktop of laptop.
- IoT- en mobiele apparaten hebben toegang tot netwerken en slaan informatie vaak lokaal op. Hoewel deze eigenschappen handig en efficiënt zijn, leveren ze ook enorme beveiligingsrisico’s op. Aanvallers kunnen namelijk toegang krijgen tot zakelijke netwerken via minder beveiligde IoT-apparaten. In zo’n situatie is lokaal opgeslagen informatie ook niet meer veilig en bestaat de kans dat documenten vanuit het bedrijfsnetwerk fysiek kunnen worden verplaatst.
Kortom: het vergt voorbereiding en zorgvuldigheid om te zorgen dat producten veilig zijn. Mso’s zouden het onderstaande moeten overwegen als ze IoT-apparaten willen opnemen in hun productaanbod.
- Ontwikkel een beleid. Een beleid ontwikkelen voor Bring Your Own Device-, IoT- en mobiele apparaten is niet alleen verstandig, het zorgt er ook voor dat klanten op één lijn zitten met de Msp voor wat betreft verwachtingen en aanbevelingen. Welke apparaten mogen gebruikt worden? Welke softwareprogramma’s zijn toegestaan? Welke data mag worden opgeslagen, en waar? Een goed beleid informeert mkb’ers en beschermt tegen aansprakelijkheid van zowel msp’s als hun klanten.
- Securitydreigingen veranderen constant. Het is niet voldoende om een netwerk te beveiligen en daarna niets meer te doen. Beveiliging vereist consistente evaluaties, handhaving van het beleid, updates en training.
- Back-up en business continuity zijn van cruciaal belang. Geen enkel beveiligingsplan is waterdicht, dus het hebben van een business continuity- en disaster recovery-plan is een essentieel onderdeel voor elke msp en elk mkb-bedrijf. Het simpelweg kopiëren van je data als back-up is niet langer voldoende. Er moet een uitgebreid continuïteitsplan zijn dat meer omvat dan dataredundatie. Wat is je recovery point objective, oftewel: hoeveel dataverlies is acceptabel? En wat is je recovery time objective, oftewel: wat is de maximale downtime die je je kunt veroorloven? Stel deze vragen vóórdat een incident plaatsvindt, en stel een beleid vast om te zorgen dat aan de verwachtingen in een mum van tijd kan worden voldaan.
Uiteindelijk zal IoT steeds meer impact hebben op msp’s en mkb’s, wat zowel kansen biedt, als nieuwe uitdagingen creëert. Msp;s doen er goed aan om zich voor te bereiden op deze veranderingen. Maar ze moeten ook klaarstaan om de kansen te benutten, die deze opkomende technologie biedt. Degenen die erin slagen om IoT-apparaten effectief te beheren en te beveiligen, zijn klaar om te profiteren van hun nieuwe business en tegelijkertijd in staat mkb-klanten te helpen om te groeien en efficiënter te werken.
