Bedrijfscontinuïteit en security zijn twee facetten van eenzelfde doelstelling: een organisatie vlot en veilig haar werk laten doen. De aandacht voor die twee elementen zorgt ervoor dat bedrijven meer beginnen te denken in functie van cyber resilience.
Fabrice Wynants, Director Security & IAM Services bij Cegeka: “Het voorbije anderhalf jaar veroorzaakte bij veel bedrijven een geforceerde digitale transformatie. Vandaag neemt het hybride werken stilaan de plaats in van het voltijdse afstandswerk. Er waren tijdens de lockdowns meer incidenten, dat klopt, onder meer met ransomware en gehackte e-mailadressen. Dat valt voor een stuk te verklaren door thuiswerkers die met onbeveiligde toestellen aan de slag gingen.”
Weerbaarheid
Heeft die ervaring de kijk van bedrijven op security intussen veranderd?
Fabrice Wynants: “Zeker. In dat opzicht was het voorbije anderhalf jaar een echte eyeopener. Bedrijfscontinuïteit was de eerste focus, alleen bleek het daarbij niet langer mogelijk om security net als voorheen te blijven organiseren. Vandaag denken bedrijven daardoor meer in termen van cyber resilience. Dat is waar we naartoe moeten: weerbaarheid die steunt op de combinatie van security en bedrijfscontinuïteit. In die optiek is het goed dat de CISO een plaats krijgt aan de tafel van het topmanagement. Dat zorgt ervoor dat een bedrijf op een andere manier naar security leert kijken. Minder vanuit wat puur praktische oplossingen zijn en meer als deel van het strategische plan van de onderneming.”
Honderd procent security bestaat niet. Net daarom is het belangrijk om in te zetten op awareness.”
Dat lukt niet wanneer een bedrijf security ervaart als iets dat de business nodeloos afremt. Hoe kan een IT-partner die foute visie helpen bijstellen?
Fabrice Wynants: “Operationeel IT-beheer en IT-beveiliging komen meer en meer samen. Een IT-partner die zich beperkt tot de integratie van oplossingen, is achterhaald. Voor de klant moet het meer zijn: ook security moet mee in het pakket zitten. Vandaar de evolutie naar security by design. Security is niet alleen iets voor infrastructuur en applicaties, maar ook voor de IT-processen. En neen, niet security op zich vormt dan de rem op de business. Het zijn net de security-incidenten die de business vertragen! Dat kun je vermijden door security overal in de processen in te bakken.”
De menselijke factor
Maar wat dan met de menselijke factor? Blijft dat de zwakste schakel in het geheel?
Fabrice Wynants: “Voor mij is de mens een zwakke schakel, maar niet de enige. De realiteit is natuurlijk wel dat de mens helemaal vooraan staat op de attack surface en dat hij daar vaak moet werken met toestellen die niet adequaat zijn beveiligd. Kun je dat ooit voor honderd procent oplossen? Nee. Net daarom is het belangrijk om in te zetten op awareness. Die inspanning moet je echter goed afstemmen op de cultuur en de werking van de organisatie. Je mag er niet louter feitelijk en koel over communiceren. De boodschap moet goed afgestemd zijn op de doelgroep en op de job en rol van iedere medewerker.”
Tot slot: wat worden volgens u de belangrijkste securitytrends voor de komende jaren?
Fabrice Wynants: “Het concept van zero-trust security zal aan belang winnen. Vroeger ging het om de veilige perimeter tegenover de gevaarlijke buitenwereld. Bij zero-trust is het startpunt dat je niemand vertrouwt en zo weinig mogelijk toelaat. Een tweede trend is het stijgende belang van response en recovery. Het volstaat niet langer om te proberen incidenten te voorkomen. Wanneer er iets gebeurt, moet je weten wat je moet doen om zo snel mogelijk verder te kunnen. Een ander aandachtspunt is de beveiliging van hybride omgevingen. Ook in de cloud moet je security voorzien. Vandaag hangt er erg veel marketing rond security. Het zou niet slecht zijn wat meer terug te keren naar de basis en een aantal dingen scherp te stellen. Wat zijn de bedreigingen, wat zijn de risico’s: daar gaat het om.”
Klik hier voor meer info over cybersecurity.