Met WannaCry en Petya nog vers in het geheugen gaan almaar ondernemingen op zoek naar manieren om hun it-infrastructuur te beschermen. In een nieuw rapport waarschuwen KPMG en BT dat een adequate veiligheidsstrategie meer omvat dan enkel het installeren van nieuwe technologie.
In hun nieuwe rapport beschrijven BT en KPMG de vijf stadia waarin bedrijven zich bevinden als het op cybersecurity aankomt. Dat gaat van ‘Ontkenning’ (‘ons zal het nooit overkomen’ of ‘wij hebben geen interessante data’) over ‘Zorgen maken’ en ‘Vals vertrouwen’ tot ‘Harde les geleerd’ en ‘Echt leiderschap’.
De eerste fase (Ontkenning) leeft nog altijd bij een groot deel van de bedrijfsleiders, zeggen de auteurs van het rapport. De waarheid is dat élk bedrijf een potentieel slachtoffer is, iets wat ransomware-aanvallen veelvuldig aantoonden. De essentiële veiligheidstips (data back-uppen, sterke wachtwoorden gebruiken, beveiligingssoftware regelmatig updaten) helpen al om het grootste deel van de cyberaanvallen af te slaan.
Wanneer bedrijven zich écht bewust worden van het gevaar, lopen ze niet alleen in het vizier van hackers en cybercriminelen, maar ook van voortvarende verkopers van beveiligingsfirma’s. Er wordt volop geïnvesteerd in beveiligingshardware en -software en soms komt er zelfs een chief information security officer (ciso) op de loonlijst te staan. Natuurlijk is het belangrijk om te investeren, maar waar trek je de grens? En is het niet net zo belangrijk om het personeel op te leiden en hun bewustzijn over gevaarlijke praktijken aan te scherpen? Dat is dé moeilijkheid in deze oefening: een juiste balans vinden tussen technologie en mensen.
Veldslag of oorlog?
Technologie alleen kan een veldslag winnen, maar de oorlog win je met een combinatie van technologie, mensen en processen. Het aankopen van technologie mag dan ook geen prioriteit zijn, waarschuwen BT en KPMG. Het stevig doorgronden van de processen in je bedrijf, het prioriteren en aanduiden van de lacunes in de beveiliging en een holistische benadering van het probleem over het hele bedrijf moeten dat wél zijn. Pas dan kan je de juiste beslissingen nemen. Het rapport stelt bovendien dat een te complexe it-architectuur de gaten in de beveiliging juist kan vergroten. Vooral als de gebruikte technologie te complex is of bij een gebrek aan integratie.
Nadat de correcte stappen zijn genomen, is het zaak om niet genoegzaam achterover te leunen. Cyberveiligheid is niet iets dat je één keer regelt en daarna vergeet. Een beleid dat jaren geleden werd geschreven, moet waarschijnlijk dringend geüpdatet worden. En gedeeld met nieuwe personeelsleden.
Zijn alle procedures recent nog getest? Zitten alle credentials nog bij de juiste personen? Cybercriminaliteit evolueert razendsnel en dus moeten ondernemingen zich voortdurend aanpassen. Er zijn ook zelden pasklare, one-size-fits-all-oplossingen: elk bedrijf is uniek en heeft dus nood aan aangepaste oplossingen. Ga dus na welke scenario’s zich kunnen voordoen en welke antwoorden je daarop kan formuleren. Herzie je regelmatig je policy’s. En zorg dat ook al je leveranciers deze onderschrijven. En last but not least: zorg dat je board en de ceo het juiste voorbeeld geven.
Visionair
Visionaire bedrijven, ten slotte, zien cybersecurity als een opportuniteit, een businessunit en geen kost.
Om deze risico’s aan te pakken en echt leiderschap te tonen in cyberbeveiliging, roept het rapport bedrijven op om zich te richten op good governance-processen, de juiste integratie van technologieën en om te overwegen enkele minder cruciale aspecten van hun beveiliging te outsourcen aan betrouwbare partners. Dit, gecombineerd met het delen van informatie, best practices en geleerde lessen in een netwerk van gelijkgestemden en daarbuiten, zorgt ervoor dat het bedrijf anders gaat denken over cyberveiligheid. Het is niet een risico dat de raad van bestuur tweemaal per jaar even moet bespreken, maar een zakelijke kans en het helpt digitale transformatie mogelijk te maken.