Nederlandse bedrijven lopen behoorlijk achter op het vlak van cybersecurity wanneer je dit vergelijkt met andere bedrijven wereldwijd. Dat stelt het laatste ‘State of Cyber Resilience’-rapport.
Ook blijkt uit genoemd rapport dat we in Nederland niet goed zijn voorbereid op het afslaan van potentiële aanvallen en zijn we niet goed uitgerust om onder druk van cyberaanvallen toch te groeien. Zo zien we dat voor drie op de vijf Nederlandse bedrijven het opsporen en verhelpen van datalekken traag verloopt. Voor iets meer dan de helft van de Nederlandse bedrijven duurt het één tot zeven dagen voordat een datalek wordt ontdekt.
Tijd dus om te spieken bij bedrijven die worden aangemerkt als ‘cybersecuritykampioen’.
Ciso
Wat we hebben gezien bij de cyberpioniers is dat ze het feit accepteren dat bedrijfskansen ook cyberrisico’s met zich meebrengen. Deze bedrijven vinden de juiste balans tussen bedrijfs- en cybersecuritystrategie, die hen in staat stelt snel te handelen. Om dit voor elkaar te spelen, is een actieve samenwerking en kennisuitwisseling belangrijk. Alleen zo maken we een eerlijke kans. Dit is ook precies wat hackers doen. Zij hebben contacten en houden elkaar op de hoogte, stemmen tactieken op elkaar af om zo de meest uitgelezen prooi uit te schakelen.
Het uitwisselen van security-inzichten en kennis met partners, leveranciers en ook concurrenten is bevorderlijk voor de cyberweerbaarheid, omdat bedrijven zo juist van elkaar kunnen leren en samen beter kunnen worden. Daarnaast is het zaak om intern te kijken naar de sterkste troeven van het bedrijf, zowel op zakelijk als op security vlak: de werknemers die het bedrijf opbouwen.
Zwakke plekken
Het uitwisselen van informatie en kennis geldt niet alleen voor externe partijen, maar zeker ook intern. Communicatie is een belangrijk onderdeel binnen cybersecurity en wie weet er meer van de zwakke plekken van het systeem en de security-ontwikkelingen dan de ciso? Om snel en accuraat kennis uit te wisselen, is het van belang dat ciso’s zijn opgenomen in het bestuur. Toch zien we nu nog te vaak dat dat niet gebeurt en dat kan een groot nadeel zijn voor de cybersecurity van het bedrijf.
Het heeft een aantal voordelen wanneer ciso’s meedoen op directieniveau. Ten eerste zal een bestuur dat begrijpt hoe cybersecurity-incidenten moeten worden gemanaged beter in staat zijn om toekomstbestendige beslissingen nemen in plaats van zijn toevlucht te nemen tot overhaast crisismanagement. Ten tweede zullen de inzichten die ciso’s verkrijgen tijdens vergaderingen helpen om de zakelijke uitdagingen van het bestuur te begrijpen, waardoor zij een meer gericht en op maat gemaakt plan kunnen opstellen om de juiste balans te vinden tussen dreigingsgerichtheid en bedrijfsgerichtheid.
Toch is het belangrijk om niet alle ballen op de ciso’s te richten, want cybersecurity is een gedeelde verantwoordelijkheid waar ook alle andere werknemers van elke laag van het bedrijf aan moet geloven.
Om de cyberweerbaarheid van het bedrijf te vergroten, is een holistische strategie belangrijk, een strategie die alle bedrijfsactiviteiten omvat – van C-level tot het talent aan de frontlinie. Een eerste stap hierin is het beoordelen van het cyberweerbaarheidsgedrag in elke laag van het bedrijf. En dat is natuurlijk iets waar een ciso bij kan helpen.
Wanneer een bedrijf in staat is om zijn menselijk potentieel aan te boren, zowel intern als extern, kan het een balans vinden tussen bedrijfs- en securitydoelstellingen. De weg om een kampioen op het vlak van cybersecurity te worden, loopt voor elk bedrijf anders. Wat voor het ene bedrijf werkt, werkt voor een ander niet. Het belangrijkste is het nemen van de eerste stap.
(Auteur Michael Teichmann is managing director security bij Accenture Benelux en Frankrijk.)
