Cybercriminelen hebben kleine bedrijven in het vizier. Securityexperts zijn dan ook bezorgd dat toeleveringsketens ontwricht raken wanneer dergelijke onderneming het slachtoffer worden. Cybersecuritysoftware biedt een oplossing, maar om zich echt in te dekken tegen ransomware-aanvallen, dienen bedrijven werk te maken van een állesomvattende digitale veiligheidscultuur.
Vandaag werken we vanop afstand. We maken verbinding met het werk van thuis, vanuit het buitenland en vanuit flexwerk-kantoren. En dat biedt cybercriminelen meer kansen om toe te slaan en een ransomware-aanval uit te voeren. Omdat grote organisaties zich bewust zijn van de cyberrisico’s en zich volledig indekken, verleggen hackers hun aandacht naar mkb’s/kmo’s. Daar staat de cyberbeveiliging niet altijd op punt. Uit de Global Security Outlook, een onderzoek van World Economic Forum en Accenture onder 120 security-professionals bij internationale organisaties uit twintig landen, blijkt dat 88 procent van de ondervraagden zich zorgen maakt dat toeleveringsketens ontwricht worden wanneer hackers bij mkb’s/kmo’s binnendringen.
Meer dan security software
Om zich in te dekken tegen cyberaanvallen moeten organisaties werk maken van een digitale veiligheidscultuur. Uit genoemde studie blijkt dat 87 procent van de ondervraagde it-topmanagers hier extra wil op inzetten. Wie gebruikmaakt van een cloudsoftware om data, producten, diensten en infrastructuur te beveiligen, zet al een stap in de juiste richting. Maar een digitale veiligheidscultuur draait om meer dan software alleen. Het gaat om het implementeren van een breed gedragen cultuur waarbij technische controles worden aangevuld met kennis, acties en gedrag bij medewerkers in het algemeen.
Een veiligheidscultuur bouw je samen op, met alle medewerkers binnen je organisatie. Stel een team samen met verschillende profielen en functies, waarbij iedereen weet welke rol hij speelt. Wees er zeker van dat elk teamlid de doelen van de organisatie begrijpt en de potentiële bedreigingen inziet. Zorg in de eerste plaats ook dat het hele management achter het plan staat om een digitale veiligheidscultuur op te bouwen. Stel duidelijke doelen, breng acties in kaart om die te bereiken, bepaal je kpi’s en definieer je succes. Zo worden je acties meetbaar.
Engagement
Een cultuur krijg je pas geïmplementeerd wanneer iedereen meewerkt. Vergroot daarom het engagement bij je medewerkers. Houd workshops waarbij groepen de taak krijgen om veiligheidsproblemen op te lossen of organiseer interessante webinars. Nodig inspirerende sprekers uit om verhalen te vertellen over cybersecurity. Hang leuke affiches op binnen het bedrijf die meer bewustzijn creëren en beloon medewerkers die veiligheidsadviezen opvolgen. Of investeer in gamification. Ontwikkel games die de medewerkers samen kunnen spelen waardoor ze meer leren over cybersecurity, of organiseer een teambuilding waarbij de aanwezigen zich bewust worden van cyberrisico’s en hoe ze zich hiertegen kunnen wapenen.
Om je doel te bereiken, moet je weten waar je staat. Met een gap-analyse kan je duidelijk definiëren hoe het proces verloopt. Houd interviews, bekijk documentatie, veiligheidshandleiding, veiligheidsbeleid en doe willekeurige steekproeven om erachter te komen wat werkt en wat niet. Breng de verschillende afdelingen en activiteiten in kaart waarvan je denkt dat ze het meeste effect op je doelstellingen hebben.
Een effectief veiligheidscultuurprogramma evolueert en is een levend proces. De verantwoordelijken moeten daarom regelmatig overleggen met het management en over de stand van zaken rapporteren. Met een stevig uitgebouwde veiligheidscultuur verklein je de kans op succesvolle cyberaanvallen binnen je bedrijf.
(Auteur Cindy Wubben is ciso bij Visma Benelux.)
Cindy, ik kijk meer naar de toeleveringsketen zelf vanuit het proces en bepaal op grond van de zwakste schakel dan de meest succesvolle strategie. Technisch of sociaal want een digitale veiligheidscultuur gaat om het besef aangaande de waarde van de informatie en de zwakste schakel hierin is niet de software. Ik ben dan ook meer geïnteresseerd in de data waaruit je de informatie kunt halen, passief of actief.
Heb het verhaal gelezen en kom tot de conclusie dat het om checkbox-management gaat, nul empathie voor feedback op luisteren naar de problemen omdat er alleen maar gezonden wordt. Want de aandacht voor het imago gaat boven de waarheid waardoor de veiligheidscultuur er één van macht & angst wordt. Het sociale aspect van scoringsdrang biedt hierdoor niet alleen een cybercrimineel verschillende mogelijkheden. Verantwoordelijken moeten namelijk NIET regelmatig overleggen met het management over de stand van zaken maar hun verantwoordelijkheid nemen.