Steekt jouw bedrijf voldoende tijd en energie in cybersecurity? Volgens de Cyber Security Raad (CSR) niet. Sterker, het Nederlandse bedrijfsleven doet te weinig aan digitale veiligheid. Dat stelt de raad in het rapport ‘Ieder bedrijf heeft digitale zorgplichten; een handreiking voor bedrijven op het gebied van cybersecurity’, dat 5 april werd vrijgegeven.
Het is een typisch overheidsdocument. Het roept op tot actie, maar geeft niet aan wat organisaties concreet kunnen doen en hóé ze dat moeten doen. Een paar punten.
- Vergelijk het advies van de CSR met een T-splitsing
De overheid zegt dat er een T-splitsing is. Dat zie je zelf ook wel. Maar de overheid laat na om organisaties te helpen en geeft dus niet aan wat organisaties kunnen doen en hoe ze zich kunnen wapenen tegen cybercriminaliteit. Daar wringt de schoen.
- Voorbeelden van cybersecurity genoeg, als je er maar geld voor over hebt
In sommige situaties ben je als organisatie zelf onbewust of onbedoeld cloudleverancier. Denk aan situaties waarbij het centrale datacenter van bijvoorbeeld een SSC (shared service center) de applicaties van deelnemingen in de groep beheert. In dat geval zou je ook in de certificaten SAE 3402 en ISO 27001 moeten investeren. Wil je niet investeren in certificaten of andere soorten van cybersecurity, overweeg dan om je applicatie op platformen van Microsoft, AWS, Salesforce, AFAS, Exact en Google te plaatsen omdat je weet dat zij enorme investeringen in cybersecurity doen. Immers, dergelijke en andere gecertificeerde bedrijven investeren niet alleen uit eigen belang in het beveiligen van aan hen toevertrouwde data. Want doen ze dit niet, dan zetten zij hun miljoenen- c.q. miljardenbusiness op het spel. Deze bedrijven steken stuk voor stuk meer geld in cyberbeveiliging dan jouw eigen organisatie ooit op verantwoorde wijze kan doen.
- Organisaties zijn terughoudend als het om cloudtoepassingen gaat
We zien organisaties die niet in zeer beveiligde cloudomgevingen willen investeren. Enerzijds ligt de reden daarvoor gelegen in de medewerkers van die organisaties: zij hebben onvoldoende de tijd genomen om de proposities van cloudleveranciers te onderzoeken. En anderzijds omdat het commitment en bewustzijn van de mogelijkheden van cloudtoepassingen bij de top van die organisaties ontbreken.
(Er zijn uiteraard situaties waarin het absoluut niet verantwoord is om in de cloud te investeren, maar die laat ik hier buiten beschouwing.)
- Investeer in een cybersecurity-carrière
Uit de handreiking van de Cyber Security Raad blijkt dat het organisaties ontbreekt aan advies en richting. Ja, er wordt wel gepraat, maar waar blijft de daad?
Dat is waar hackers hulp kunnen bieden. Zij hebben een aangeleerd gevoel voor zwakke plekken in software en zij kunnen organisaties verder helpen in een rol als white hat-hackers. Voel jij je aangesproken? Verdiep je in deze materie en neem je organisatie bij de hand naar een veilige situatie.
Realiseer je goed dat cyberveiligheid een continu proces blijft en je altijd bij moet blijven, trends moet volgen en blijven studeren. Maar als je bereid bent om in jezelf en in cyberprotectie te investeren, dan kan je een goede boterham verdienen.
- Kan een organisatie zelf toetsen of een leverancier de cybersecurity op orde heeft?
Ja, dat kan. Zoek op de website van de cloudaanbieder naar certificeringen als ISAE 3402 en ISO 27001. Als ze die hebben, kun je eenvoudig vaststellen of ze hun veiligheidssituatie serieus nemen.
