Deze onderzoeksresultaten, te vinden in Kaspersky Labs 2014 IT Security Risks summary report, zijn illustratief voor een belangrijke uitdaging waar de KMO voor staat. Een effectieve IT-strategie vormt een essentieel onderdeel van elk succesvol bedrijf en kan, mits goed beheerd, een klein bedrijf in staat stellen om grote resultaten te behalen. De realiteit is echter dat zeer kleine ondernemingen, vaak start-ups die moeite hebben een voet aan de grond te krijgen, meestal niet beschikken over het budget of de IT-expertise om essentiële IT-componenten zoals beveiligings-software correct te implementeren.

Een nieuwe ondernemer zal alle middelen waarschijnlijk in de groei van de verkoop van core-producten of diensten stoppen omdat investeringen in de zakelijke infrastructuur zinloos zijn als het bedrijf zelf mislukt. Maar wanneer moeten zeer kleine ondernemingen beginnen met het opzetten van een IT- en beveiligingsplan voor de toekomst? En wat zijn de mogelijke gevolgen als ze te lang wachten?

Makkelijk doelwit

Volgens schattingen van IDC zijn wereldwijd meer dan 80 miljoen bedrijven actief met minder dan 10 werknemers. Veel van deze bedrijven hanteren de “beveiliging door onbekendheid”-mentaliteit in de overtuiging dat ze te klein zijn om het doelwit te worden van cyber-criminelen en geen data bezitten waarvoor cyber-criminelen interesse zouden hebben.

Uit Verizon’s 2013 Data Breach Investigations-rapport blijkt evenwel dat van de 621 geanalyseerde datalekken, 193 inbreuken (meer dan 30%!, nvdr.) plaats vonden bij bedrijven met 100 of minder werknemers. Het is redelijk te veronderstellen dat kleinere KMO’s een aanzienlijk deel van deze slachtoffers uitmaken.

Ondernemers moeten begrijpen dat, zodra ze beginnen met het verwerken van credit card-betalingen, klantgegevens opslaan of zelfs maar plannen maken voor nieuwe producten, ze informatie bezitten die voor cyber-criminelen waardevol is.

Sterker nog, sommige cyber-criminelen hebben misschien wel een voorkeur voor dergelijke “makkelijke doelwitten”, waarvan bekend is dat ze een slechte IT-beveiliging hebben. De uiteindelijke opbrengst is bij elk aangevallen slachtoffer weliswaar kleiner, maar het kan cyber-criminelen minder inspanningen kosten om een aantal kleinere KMO’s aan te vallen dan één grotere onderneming.

Belangrijk verschil is dat grotere bedrijven de middelen hebben om van een IT-beveiligingsincident te herstellen. De kosten van verloren klantgegevens, de tijd die men off-line is en de bijkomende opruimkosten kunnen, afhankelijk van het type incident, echter oplopen tot duizenden euro’s en genoeg zijn om kleinere zaken overstag te laten gaan.

KMO’s goed op de hoogte

Volgens het onderzoek van Kaspersky Lab begrijpen zeer kleine ondernemingen de gevaren van on-line dreigingen. Gevraagd naar hun belangrijkste zorgpunten op het gebied van zakelijke IT, rangschikte 35% van de zeer kleine ondernemingen “databescherming” in hun Top 3. Dat was zelfs hoger dan andere bedrijfssegmenten (26% van de middelgrote bedrijven koos “databescherming” in de Top 3 en 29% van de enterprises).

Bij dezelfde vraag plaatsten zeer kleine ondernemingen ook het “waarborgen van de continuïteit van de dienstverlening voor bedrijfskritieke systemen” in de Top 3-zorgpunten voor de IT-afdeling. Deze score is vergelijkbaar met die van grotere ondernemingen (slechts 2% lager dan het totale gemiddelde).

Het is duidelijk dat kleinere KMO’s zich ervan bewust zijn dat hun IT-strategie een essentiële rol speelt bij het beschermen van gevoelige gegevens en het voorkomen dat hun dagelijkse bedrijfsvoering door malware en cyber-criminelen raakt verlamd.

De kleinere KMO is ook goed op de hoogte van de voordelen - en veiligheidsrisico’s - van het gebruik van mobiele apparaten binnen hun bedrijven. 34% van de zeer kleine ondernemingen meldde de integratie van mobiele apparaten in hun IT-systemen gedurende de afgelopen 12 maanden. Het tempo waarin dit plaats vond is daarmee vrijwel identiek aan grotere bedrijven (32% van de grote bedrijven meldde de acceptatie van mobiele apparaten, naast 35% van de enterprises).

Bovendien zijn zeer kleine ondernemingen zelfs toonaangevend wat het bewustzijn op het gebied van beveiliging van mobiele toestellen betreft. 31% van de zeer kleine ondernemingen noemde “beveiliging van mobiele/draagbare computerapparatuur” als een van hun Top 3-prioriteiten in IT-beveiliging voor de komende 12 maanden. Dat aantal lijkt verrassend hoog vergeleken met het wereldwijde gemiddelde van 23% van alle bedrijven waardoor de toekomstige beveiliging van mobiele apparatuur het komende jaar een prioriteit is.

Het lijkt erop dat deze gegevens strijdig zijn met alle beweringen dat de KMO minder goed thuis is in het gebruik van mobiele apparaten of de mobiele beveiligingsrisico’s dan hun grotere concurrenten.

Concrete beveiligingsmaatregelen

Deze bevindingen tonen aan dat de lage prioriteit die kleinere KMO’s verlenen aan IT-strategie, en dan vooral aan IT-beveiliging, niet wordt veroorzaakt door hun geringe bekendheid met belangrijke IT-beveiligingskwesties. Maar waarvoor dan wel?

Redelijkerwijs kan geconcludeerd dat een gebrek aan budget de grootste hindernis blijft voor zeer kleine ondernemingen wat het gebruik van meer geavanceerde IT- en IT-beveiligingsmaatregelen betreft. Daarom adviseert Kaspersky Lab de KMO om te investeren in veiligheidsmaatregelen die hen de meest directe voordelen opleveren als het gaat om de dreigingen waarmee zij vaak worden geconfronteerd.

Van de onderzoeksrespondenten die aangaven dat zij bedrijfsgegevens hadden verloren tijdens een cyber-aanval, rapporteerde 32% “malware” als oorzaak van hun ernstigste incident, tweemaal zoveel als wat werd gemeld door enterprises (16%).

Een andere belangrijke bron van dataverlies voor zeer kleine ondernemingen was terug te voeren op “beveiligingslekken in software”, gemeld door 9% van de KMO-respondenten. Dat is nagenoeg gelijk aan het wereldwijde gemiddelde van 8% dat deze factor als reden aanvoert. Dat betekent dat kwetsbare software een beveiligingsprobleem vormt dat bedrijven vrijwel identiek beïnvloedt, ongeacht de grootte.