010 52 49 133 info@process2it.nl

Ben jij echt beschermd tegen hackers? 7 vragen om je kwetsbaarheid te testen

Kans op cyber aanval info

Waarom deze checklist belangrijk is voor het mkb

De kans dat jouw bedrijf wordt geraakt door een cyberaanval is een stuk groter dan de kans op brand of inbraak. Toch zijn brandblussers en inbraakalarmen vaak wél geregeld, terwijl cybersecurity ergens op het to-do-lijstje blijft staan.

Met deze checklist kun je in een paar minuten nagaan hoe kwetsbaar je bedrijf is. Geen technisch verhaal, maar zeven concrete vragen. Hoe vaker je “nee” of “weet ik niet” moet antwoorden, hoe groter de kans dat hackers of criminelen bij jou gewoon hun gang kunnen gaan.

Loop de vragen rustig door en wees eerlijk in je antwoorden. Dit gaat niet om schuld, maar om inzicht.

Vraag 1 – Werk je met multifactorauthenticatie (MFA)?

Vraag: Moeten jij en je medewerkers – naast een wachtwoord – standaard een extra stap zetten om in te loggen (bijvoorbeeld via een app, sms of hardware-token) op:

  • e-mail (bijvoorbeeld Microsoft 365);
  • remote toegang (VPN, Remote Desktop, portals);
  • beheerportalen en belangrijke cloudapplicaties?

Antwoordopties:

  • Ja, overal waar het kan → grote plus.
  • Deels (alleen bij enkele systemen) → risico.
  • Nee of weet ik niet → direct aandachtspunt.

Waarom dit belangrijk is: veel aanvallen beginnen met een gestolen of geraden wachtwoord. Zonder MFA is dat vaak genoeg om binnen te komen.

Vraag 2 – Worden alle systemen en software actief bijgewerkt?

Vraag: Is het bij jullie georganiseerd wie verantwoordelijk is voor updates en beveiligingspatches van:

  • windows- en andere besturingssystemen;
  • servers en netwerkapparatuur (modems, routers, firewalls, wifi);
  • softwarepakketten en webapplicaties;
  • cloudomgevingen en plugins (bijvoorbeeld WordPress-plugins)?

Antwoordopties:

  • Ja, alles draait op automatische updates of wordt centraal beheerd → goed op weg.
  • Gedeeltelijk, sommige dingen doen we handmatig “als we eraan denken” → risico op gaten.
  • Nee, we weten niet precies wat wanneer wordt bijgewerkt → groot risico.

Waarom dit belangrijk is: veel grote datalekken en ransomware-aanvallen maken misbruik van bekende lekken waarvoor al lang updates bestaan.

Vraag 3 – Heb je een goed back-up- en herstelplan?

Vraag: Kun je eerlijk zeggen dat je back-ups:

  • regelmatig automatisch worden gemaakt;
  • ook op een andere locatie of in de cloud staan;
  • beschermd zijn tegen overschrijven of versleuteling door ransomware (bijvoorbeeld offline of immutable back-ups);
  • regelmatig worden getest door echt een herstelactie uit te voeren?

Antwoordopties:

  • Ja, we hebben dit vastgelegd en getest → sterke basis.
  • Back-ups draaien wel, maar zijn nooit getest → schijnveiligheid.
  • We weten niet precies hoe het zit → groot risico bij brand, storing of aanval.

Waarom dit belangrijk is: als alles vastloopt of versleuteld wordt, is een betrouwbare back-up vaak het verschil tussen door kunnen gaan of dagenlang stilstand.

Vraag 4 – Herkennen jouw medewerkers phishing en andere trucjes?

Vraag: Krijgen medewerkers regelmatig uitleg of training over:

  • het herkennen van nep-mails en phishing-links;
  • het veilig omgaan met bijlagen en macro’s;
  • het melden van verdachte situaties (zonder schaamte);
  • het gebruik van sterke wachtwoorden en wachtwoordmanagers?

Antwoordopties:

  • Ja, we trainen en informeren medewerkers doorlopend → sterk.
  • Een keer iets gedaan, maar het is alweer lang geleden → effect neemt snel af.
  • Nee, we gaan ervan uit dat iedereen “het wel weet” → groot risico.

Waarom dit belangrijk is: de menselijke factor is vaak dé ingang voor hackers. Eén klik kan genoeg zijn.

Vraag 5 – Is je netwerk goed afgescheiden en beveiligd?

Vraag: Is je netwerk zo ingericht dat niet alles en iedereen overal bij kan? Denk aan:

  • een goed ingestelde firewall;
  • gescheiden wifi voor gasten en medewerkers;
  • geen directe externe toegang tot servers zonder beveiligde verbinding;
  • geen “alles op één netwerkje”-situatie waar printers, werkstations, servers en IoT-apparaten door elkaar staan.

Antwoordopties:

  • Ja, ons netwerk is gesegmenteerd en doordacht ingericht → risico’s beter beheersbaar.
  • Gedeeltelijk, maar we weten niet precies hoe het nu is opgebouwd → onduidelijk risicoprofiel.
  • Nee, alles hangt eigenlijk gewoon aan elkaar → één besmet apparaat kan alles raken.

Waarom dit belangrijk is: goede netwerksegmentatie zorgt ervoor dat een aanval niet meteen het hele bedrijf platlegt.

Vraag 6 – Weet je wat je moet doen bij een incident?

Vraag: Bestaat er binnen je bedrijf een eenvoudig stappenplan voor als er iets misgaat? Bijvoorbeeld bij:

  • ransomware of een ander virus;
  • verdachte inlogpogingen of datalekken;
  • verlies of diefstal van een laptop of telefoon?

Antwoordopties:

  • Ja, we hebben een kort incidentplan en de belangrijkste mensen weten wat ze moeten doen → goed.
  • We lossen het op het moment zelf wel op → kost tijd en vergroot de schade.
  • Nee, we hebben hier nog nooit over nagedacht → grote onzekerheid bij een echt incident.

Waarom dit belangrijk is: bij een cyberincident telt elke minuut. Zonder plan is het chaos en gaat kostbare tijd verloren.

Vraag 7 – Heb je zicht op alle apparaten en accounts?

Vraag: Heb je een actueel overzicht van:

  • welke laptops, pc’s, telefoons en andere apparaten toegang hebben tot je bedrijfsdata;
  • welke gebruikersaccounts bestaan (ook van oud-medewerkers);
  • welke rechten medewerkers hebben (bijvoorbeeld adminrechten);
  • welke externe partijen toegang hebben (bijvoorbeeld leveranciers of applicaties)?

Antwoordopties:

  • Ja, dit is gedocumenteerd en wordt bijgehouden → volwassen beheer.
  • Gedeeltelijk, we weten het ongeveer maar niet exact → blinde vlekken.
  • Nee, dit is nooit echt in kaart gebracht → moeilijk te beveiligen wat je niet ziet.

Waarom dit belangrijk is: je kunt alleen beveiligen wat je kent. “Schaduw-IT” en vergeten accounts zijn geliefde ingangen voor aanvallers.

Hoe scoor je? Zo lees je de uitslag

Tel nu voor jezelf op hoeveel keer je “ja”, “deels” of “nee/weet ik niet” hebt geantwoord.

  • 5–7 keer ‘ja’: je bent serieus met cybersecurity bezig. Er is altijd ruimte voor verbetering, maar de basis staat.
  • 3–4 keer ‘ja’: je doet al dingen goed, maar er zitten duidelijke gaten. Een gerichte aanpak kan je risico flink verlagen.
  • 0–2 keer ‘ja’: je bedrijf is waarschijnlijk kwetsbaar voor een serieuze cyberaanval. Eén incident kan grote impact hebben op je continuïteit.

Bij elk antwoord “nee” of “weet ik niet” kun je de vraag zien als een concreet verbeterpunt. Je hoeft niet alles tegelijk op te lossen, maar ergens moet je beginnen.

Volgende stap: samen je risico’s in kaart brengen

Kom je na het invullen van deze checklist tot de conclusie dat er nog veel te winnen is? Je bent niet de enige. Veel mkb-bedrijven hebben hun IT in de loop der jaren zien groeien, zonder dat er echt naar veiligheid en structuur is gekeken.

Wij helpen je graag met:

  • een praktische quickscan van je huidige beveiliging;
  • advies over MFA, back-up, patchbeleid en netwerkbeveiliging;
  • bewustwording en training voor medewerkers;
  • een eenvoudig incidentplan voor als het toch misgaat.

Plan een vrijblijvend cyberrisico-gesprek

Met een paar gerichte stappen kun je het risico op een geslaagde aanval al flink verlagen – zonder dat je hele organisatie op de kop hoeft.