Cyber risk

Maak uw onderneming weerbaar tegen cyberaanvallen

Migiel de Wit-Beets
Door:
insight featured image
Heeft u een cyberstrategie om uw onderneming weerbaar te maken tegen cyberaanvallen?  Cyberaanvallen zijn namelijk een van de meest winstgevende vormen van criminaliteit. Vaak worden ze gecontroleerd door georganiseerde groepen cybercriminelen en hebben ze grote gevolgen voor de reputatie, de activiteiten en de winst van een onderneming. Cybercriminelen bedenken steeds slimme manieren om data te verkrijgen of te blokkeren via digitale of fysieke aanvallen. De hoogste tijd om cybersecurity op strategisch niveau te agenderen en preventieve maatregelen te treffen. Zodat u minder risico loopt en snel weer ‘up’ bent nadat een cyberaanval uw systemen ‘down’ heeft gebracht. Hoe pakt u dat aan? Oftewel, hoe zorgt u voor een goede cyberstrategie?
Dit zijn belangrijke aandachtspunten:

Cyberbeveiliging is niet alleen voor IT

Traditioneel werd cybersecurity alleen gezien als een functie van IT en niet als een zaak van strategisch belang. De financiële gevolgen van een aanval werden niet groot genoeg geacht om de aandacht van de directie te rechtvaardigen. En de kosten om de risico's te beperken waren laag. Nu cyberaanvallen steeds geraffineerder worden en de schade die ze aanrichten steeds groter, beginnen bedrijven de dreiging serieuzer te nemen. Sterker nog: met een goed geïmplementeerde cyberstrategie creëert u een onderscheidende factor naar de markt die het vertrouwen in uw bedrijf versterkt. Echter, u verbetert uw cyberweerbaarheid niet door simpelweg de uitgaven voor uw IT-infrastructuur of software te verhogen. Bij een cyberstrategie komen meer aspecten om de hoek kijken die we hieronder benoemen.

Cyberbeveiliging is een verantwoordelijkheid van het bestuur

Uit onderzoek van Grant Thornton UK bleek overduidelijk dat 86% van de respondenten vindt dat de strategie voor cyberbeveiliging de verantwoordelijkheid is van de directie of de raad van bestuur, ondersteund door hun IT-team. Toch had slechts 37% van de 500 ondervraagde bedrijven vorig jaar een directielid met specifieke verantwoordelijkheid voor cyberbeveiliging. Dit zien wij ook geregeld bij bedrijven in Nederland. Om ervoor te zorgen dat cyberweerbaarheid een echte onderscheidende factor wordt, moet u drie dingen doen:

  1. Maak cyberweerbaarheid de verantwoordelijkheid van een specifiek bestuurslid
  2. Evalueer regelmatig de cyberrisico's en het cyberbeheer op bestuursniveau
  3. Stel een responsplan voor cyberincidenten op om de impact van een aanval snel in te dammen en te minimaliseren

Toch hoeft een bestuurslid dat het voortouw neemt op het gebied van cyberrisico's niet per se een technologiedeskundige te zijn. Hoe meer cyberbeveiliging wordt gezien en behandeld als een bedrijfsrisico en wordt besproken in niet-technische taal, hoe meer we zien dat raden van bestuur zich betrokken voelen.

Gebruik een security framework voor uw cyberstrategie

Met het toenemende aantal slimme manieren om data te verkrijgen of te blokkeren via digitale of fysieke aanvallen, wordt preventieve beveiliging ook belangrijker. Een security framework levert hier een belangrijke bijdrage aan. Daarin staat beschreven hoe de security risico’s en informatiebescherming zijn ingericht in de organisatie en worden de maatregelen als proces beschreven. Toch blijkt uit onderzoek van Gartner dat slechts 41 procent van alle (midden)grote bedrijven een security framework gebruikt en dat is een gemiste kans.

Bedrijfsdoelen eerst, dan pas techniek

Voor de inrichting van het framework brengt u eerst de bedrijfsdoelstellingen en de bijbehorende KPI’s in kaart. Dan wordt ook duidelijk welke business units het meeste bijdragen aan deze doelen. De applicaties en systemen op deze belangrijke afdelingen hebben automatisch meer security nodig. Zo stelt u als het ware security risicoprofielen per business unit op.

Als de risicoprofielen per business unit bekend zijn, is de volgende stap om te kijken welk security niveau er nodig is. Is het echt nodig om elk systeem op de facilitaire afdeling om de vijf dagen te patchen of is één keer per maand voor een minder bedrijfskritische afdeling ook voldoende?

Zodra dat bekend is kunt u aan de slag om gericht de cyberweerbaarheid te verhogen waar dit het meest nodig is. Dat is vaak het moment waarop wij als cyberriskexperts in beeld komen om een nulmeting uit te voeren en op basis daarvan een verbeterplan op te stellen. Het ultieme doel is om security een integraal onderdeel te maken van het bedrijfsproces.

De sleutelpositie van een CISO in uw cyberstrategie

De Chief Information Security Officer is verantwoordelijk voor het gehele proces van informatiebeveiliging in een onderneming en heeft daarom een sleutelrol in uw cyberstrategie en de omgang met cyberrisico’s. De CISO staat voor de zware taak cyberbewustzijn te creëren in alle lagen van de organisatie. Wat het extra lastig maakt, is dat cyberveiligheid niet vanzelfsprekend direct zichtbaar is, maar wel veel tijd en geld kost. De CISO moet de directie daarom in duidelijke, begrijpelijke taal kunnen uitleggen wat de dreigingen zijn en wat het beste is voor de organisatie.

 Wat is het juiste beveiligingsniveau? Wat is de risicobereidheid van de directie? Hoeveel geld is er nodig en waarom is dat bedrag realistisch? En hoe intensief moeten medewerkers worden getraind en geïnformeerd?

Wanneer deze en andere sleutelvragen zijn beantwoord, kan de CISO aan de slag met een cyberstrategie met bijbehorend beleid dat gebaseerd is op preventie, detectie en reactie. Het is belangrijk dat de CISO de technische maatregelen van dit beleid bespreekt met de IT-afdeling en het beleid op een toegankelijke manier deelt met de rest van de organisatie. Alleen zo kan het benodigde cyberbewustzijn ontstaan om de cyberstrategie om te zetten in meer weerbaar zijn.

Veel organisaties pakken cyberrisico's onvoldoende aan, omdat zij denken dat de (externe) IT-manager zorgt dat hen niets overkomt. Zij vergeten dat deze IT-manager er vooral voor zorgt dat de systemen werken. De IT-manager is niet verantwoordelijk voor afspraken met leveranciers en klanten over het verwerken van gegevens. De IT-manager is ook niet verantwoordelijk voor de processen die u heeft ingeregeld en hoe uw mensen met gegevens omgaan. Het is de rol van de CISO om ervoor te zorgen dat de directie hiervan is doordrongen en begrijpt dat cyberveiligheid een uitdaging is voor de gehele organisatie.

Het hebben van een CISO of vergelijkbare functie is meer en meer een standaard geworden voor bedrijven, de overheid en non-profit organisaties. Niet elke onderneming heeft de middelen om een fulltime CISO in dienst te nemen. Of bedrijven lukt het simpelweg niet om een passende CISO te vinden. Soms is men niet op zoek naar een CISO, maar enkel naar de begeleiding van een senior expert om de bestaande informatiebeveiliging te verbeteren. In dit soort gevallen kan een tijdelijke CISO uitkomst bieden.

CISO-as-a-service

Met CISO-as-a-service bepaalt u zelf hoeveel inspanning en ondersteuning nodig is voor uw onderneming, zonder zelf een CISO in dienst te nemen. Onze CISO’s staan tot uw beschikking wanneer u daar behoefte aan heeft. Onze CISO fungeert als vraagbaak of juist als adviseur op het gebied van cyberweerbaarheid, privacyvraagstukken en het ontwikkelen van een cyberstrategie. Dit is afhankelijk van uw behoefte en de aanwezige kennis in uw onderneming. Onze CISO is een breed inzetbare cybersecurity specialist met jaren aan ervaring als het gaat om cyberstrategie, cyberadvies, adequaat reageren op cyberincidenten, cyberbeveiliging tests en meer. Het grote verschil met een CISO in eigen dienst is dat onze CISO geen beslissingen neemt namens uw management, u bent en blijft eindverantwoordelijk.

Dit zijn de voordelen van CISO-as-a-service voor u:

  • De CISO as a Service is kosteneffectief, omdat u alleen betaalt voor wat u afneemt.
  • De CISO adviseert het management bij het inrichten van de cybersecurity-processen, risicobeheersing en rapportages.
  • U bent verzekerd van alle specialistische kennis en ervaring die nu én in de toekomst noodzakelijk zijn.
  • Uw informatiebeveiligingssystemen zijn op orde.
  • U bent voorbereid op aanvalstechnieken van hackers

Beveilingsbewustzijn moet onderdeel zijn van uw cyberstrategie

De meeste cyberincidenten worden veroorzaakt door menselijk handelen, waardoor ondernemingen ook moeten investeren in een sterke beveiligingscultuur. De harde realiteit is dat 90% van de succesvolle cyberaanvallen begint bij een van ons. Met onvoorbereide en ongemotiveerde medewerkers slaagt u er niet in om effectief te reageren op aanvallen op uw onderneming. Het zijn de onbewuste fouten die we maken tijdens ons drukke en stressvolle dagelijkse werkleven die een desastreuze en blijvende impact hebben op onze organisaties. Beveiliging moet gemakkelijk zijn en medewerkers de juiste motivatie en aansporingen geven om de juiste dingen te doen.

Cybercriminelen voeren aanvallen uit met behulp van tactieken, zoals phishing, die vaak als doel hebben om mensen gevoelige gegevens te laten delen. Hierdoor zijn werknemers vaak als eerste betrokken bij een cyberaanval. Computers en apps klikken tenslotte niet op phishing e-mails. Mensen wel. Bovendien hebben medewerkers dagelijks toegang tot het netwerk van de organisatie, waardoor ze een belangrijke rol spelen in de cyberveiligheid van het bedrijf. Uw medewerkers moeten snappen dat zij doelwit zijn van cybercriminelen. Het is daarom heel belangrijk om ze te wijzen op hun gedrag om cybercrime te voorkomen en potentiële risico’s te verminderen.

Een beveiligingscultuur promoot goed gedrag en ontmoedigt het risicovol gedrag of neigingen in de richting van fraude. Bovendien zorgt het ook voor een sterker klantvertrouwen en loyaliteit aan uw merk. De meeste klanten willen geen zaken doen met een bedrijf waarvan ze weten dat hun gegevens mogelijk niet veilig zijn. Een duurzame beveiligingscultuur op de werkplek past het gedrag van werknemers in positieve zin aan. Dit zorgt ervoor dat medewerkers zich verantwoordelijk voelen voor de veiligheid van de organisatie. Het is daarom belangrijk dat bedrijven investeren in een beveiligingscultuur.

Grant Thornton biedt een cyberweerbaarheidstraining die de hele organisatie en haar medewerkers helpt om onveilige situaties te herkennen zoals onveilige wachtwoorden, phishing e-mails of fysieke beveiliging. Ook doen wij regelmatig phishing simulaties om het cyberbewustzijn binnen een onderneming te testen. Vaak zien we dat dit een behoorlijke wake up call is als het gaat om de gevaren van phishing e-mails. Onze trainingen zijn ontwikkeld om menselijke fouten te voorkomen. Er is maar één persoon nodig die zonder nadenken een kwaadaardige e-mailbijlage opent, waardoor een compleet netwerk wordt geïnfecteerd. Maar let op: met wat trainingen creëert u nog niet meteen een beveiligingscultuur. Hiervoor moet u zelf een plan ontwikkelen.

Tweede Kamer commissie digitale zaken richt zich op langetermijnstrategie

Sinds 22 april 2021 is de Kamercommissie digitale zaken (DiZa) in het leven geroepen. Een commissie die als doel heeft om overzicht te creëren en voor verbinding te zorgen in de behandeling van digitale dossiers op de diverse beleidsterreinen. De commissie digitale zaken wil prioriteit geven aan algoritmen en cybercriminaliteit, waarbij veilig ondernemen een belangrijk punt van aandacht is.

Chinese man behind laptop
Commissie digitale zaken wil prioriteit geven aan veilig ondernemen
Lees dit artikel

6 tips om uw (digitale) onderneming te beschermen.

  1. Stel een informatiebeveiligingsbeleid op voor uw organisatie.
  2. Train medewerkers regelmatig op het gebied van beveiligingsbewustzijn.
  3. Update met regelmaat de software van uw computersystemen.
  4. Implementeer antivirus en firewall maatregelen.
  5. Zorg voor goede back-up procedures en test deze met regelmaat.
  6. Laat uw informatiebeveiliging op periodieke basis toetsen door een onafhankelijke partij.

Heeft u al een cyberstrategie?

Onze cybersecurity specialisten helpen u graag bij het opstellen van een cyberstrategie, gericht geven van cyberadvies (op maat), adequaat reageren op cyberincidenten, uw cyberbeveiliging versterken en meer bewustwording creëren bij uw medewerkers. Neem contact op met ons. We helpen u graag veilig te ondernemen.

Bent u gehackt?

Neem 24/7 contact met ons incident response team op. Bel +31 (0)88 676 9999.