Security voor MKB zonder IT-afdeling: wat doe je dit kwartaal?

Geen IT-team, wel verantwoordelijkheid. Deze pillar geeft een prioriteit-stack: doe eerst dit, dan dat, dan het minder urgente. Elk onderdeel heeft een diepere gids.

Je hebt geen IT-afdeling. Toch ben je verantwoordelijk voor bedrijfs-security. Dat klinkt overweldigend, tot je de prioriteiten kent.

Kwartaal 1: de basis

1. MFA op alles. Zie MFA uitrollen in M365.
2. Password manager voor iedereen. Zie een password manager kiezen.
3. Disk encryption aan op alle laptops.
4. Backup-strategie die je test. Zie backup-strategie.

Kwartaal 2: de context

1. SaaS-inventaris op orde. Zie SaaS-inventaris.
2. Offboarding-proces gedefinieerd. Zie offboarding.
3. Phishing-training voor medewerkers. Zie phishing herkennen.
4. Incident-response-plan op papier. Zie incident response.

Kwartaal 3: governance

1. Access reviews.
2. ISO 27001 traject starten als je klanten het vragen. Zie ISO 27001.
3. Shadow IT ontmantelen. Zie shadow IT opruimen.

Kwartaal 4: volwassenheid

1. Vendor risk management. Zie vendor risk.
2. Security-awareness verankerd in onboarding.
3. Periodieke phishing-tests.

Wat nooit doet?

• Denken dat je "niet interessant genoeg" bent voor aanvallers. 90% van aanvallen is opportunistisch, gericht op kwetsbare systemen ongeacht bedrijfsnaam.
• Security uitsluitend afdoen met een virus-scanner.
• Wachten op "de grote security-refactor" — doe elke week één ding.

Zie ook: toegangsbeheer-pillar, AVG-pillar, ISO 27001-pillar.