Digitale diefstal: zo voorkomt u het
Een accountantskantoor dat de overstap maakt van papieren naar digitale dossiers, krijgt inherent te maken met verhoogde veiligheidsrisico’s. Klantdata die in software en IT-systemen worden gestopt, kunnen via een hack – of een nonchalante of kwaadwillende (ex)medewerker – makkelijk op straat komen te liggen. Deze vorm van PR kan geen enkel kantoor gebruiken.
“Een klantdossier dat in verkeerde handen komt, is een gebruiksaanwijzing voor een crimineel”, stellen Ralf Bardoel en Erik Spaans van SecInspect, een analysetool voor IT-beveiliging.
Het risico op zulke datalekken kunnen accountantskantoren gemakkelijk verkleinen, wanneer ze investeren in het versterken van de IT-beveiliging en een veiligheidscultuur op de werkvloer. Hoe dat te doen? Bardoel en Spaans geven vijf tips om dichterbij een sterke IT-beveiliging te komen.
1. Wees u bewust van de risico’s
Het lijkt een inkopper. Maar zonder u te verdiepen in ‘what if-scenario’s komt u geen stap verder. Spaans: “Momenteel zijn multinationals vaak het target van criminelen, maar de verwachting is dat in de nabije toekomst aanvallen zich meer gaan richten op MKB’ers. Dan hebben grotere bedrijven hun beveiliging ondertussen redelijk op orde. Vergelijk het met inbraak: een inbreker gaat altijd naar het minst beveiligde huis. En dat zal dan de MKB’er zijn.”
Dat betekent natuurlijk niet MKB-bedrijven nu ‘veilig’ zijn. Naast externe aanvallers zijn datalekken regelmatig het gevolg van nonchalante, onwetende of frauduleuze medewerkers. Meer weten over de grootste risico’s op een datalek? Lees het artikel Klantdata beveiligen: let op deze 4 risico’s.
2. Investeer
Als u geen geld en middelen vrij wil maken, dan houdt het op. Bardoel: ‘Je moet het een prioriteit maken. Dat gebeurt in de meeste gevallen te laat: als het kalf verdronken is, dempt men de put. Of je het nou intern of extern oplost, je moet er manuren instoppen om je processen en je cultuur veiliger te maken.’
Investeren in tooling alleen is daarvoor niet voldoende, benadrukt Bardoel: ‘Dat is nodig, maar dat levert je functioneel niks op. Tooling die ervoor zorgt dat systemen en software up to date blijven: dat is een hygiënefactor. Verder levert het de organisatie geen extra productiviteit op. Je kunt security ook voor je laten werken en zorgen dat security je onderscheidt van je concurrenten’.
3. Wees een voorbeeld
Het geldt eigenlijk voor alles, maar ook een veiligheidscultuur zijn managers en directieleden die het voorbeeld geven, cruciaal. Spaans: ‘Toch zien wij nog heel vaak dat beveiligingsregels gelden voor personeel, maar C-level slaat ze in de wind: “die regels gelden niet voor ons”. Je geeft dan het signaal af dat de beveiliging van data en systemen niet zo belangrijk is. Dan moet je niet verwachten dat je personeel ze wel volgt.’
4. Wees ook een voorbeeld naar klanten
Het accountantskantoor heeft naar klanten toe ook een signalerende functie. Dat betekent dat niet alleen het kantoor data- en IT-beveiliging als prioriteit moet zien, maar dat zowel management als medewerkers ook klanten moeten wijzen op welke gebieden ze zelf meer aan hun beveiliging kunnen doen.
“Tegelijkertijd zijn veel accountantskantoren natuurlijk zelf de ‘‘MKB’er”,’ zegt Spaans. ‘Je bent zelf natuurlijk ook een mogelijke prooi voor criminelen. Een accountant draait op vertrouwen, als dat verdwijnt, dan ben je out of business. Zorg dat je dus het goede voorbeeld geeft naar klanten.’
5. Train medewerkers op risico’s
Als het gaat om veiligheid, blijft de mens de zwakste schakel. Bardoel: ‘Je kunt van alles doen om systemen dicht te timmeren met tooling, maar zodra een medewerker op een verkeerd linkje klikt en besmette bestanden downloadt, gaat het toch mis.’
De oplossing: train personeel op de gevaren en de gevolgen van hun acties. ‘Je moet een stukje awareness creëren. Dat begint natuurlijk bij de IT-organisatie. Bij een kleine organisatie is dat vaak maar een, hooguit twee man. Maar die zou wel zijn huishouden op orde moeten hebben. Dan kan hij ook een belangrijke rol spelen in het doorgeven van die kennis aan de rest van de organisatie.’