ICC/VBO ‘Belgian Cyber Security Guide’ voor KMO’s

Het ICC en het VBO publiceren een uiterst bevattelijke introductiebrochure over cybersecurity voor KMO’s, inclusief 10 ‘Must do’ security-acties.

Cybersecurity wordt een steeds nijpender probleem, zoals de vele berichten over cyberaanvallen en -spionage aantonen. Geen enkel bedrijf ontsnapt meer aan deze gevaren, hoe klein de onderneming ook is. “Dagelijks lekt er informatie naar het buitenland en naar concurrenten,” onderstreept Rudi Thomaes, secretaris generaal van de Belgische Internationale Kamer van Koophandel (ICC). Vaak is de bedrijfsleiding niet echt bewust van wat die dreiging en de nodige security inhoudt, met alle gevaren van dien. Daarom hebben het ICC en het Verbond van Belgische Onderneming (VBO) het initiatief genomen voor een ‘Belgian Cyber Security Guide’, die in 10 punten een bevattelijke inleiding op het onderwerp biedt. “We willen alle bedrijven, ongeacht hun grootte van raad zijn en informeren hoe ze zich kunnen wapenen tegen deze dreiging,” aldus Christine Darville, hoofd van het rechtsdepartement van het VBO. Aan de brochure werd een jaar gewerkt door onder meer EY (Ernst&Young) en Microsoft, met advies van Isaca en medewerking van het BCCentre.

Met de brochure wil het VBO een eerste stap zetten naar bedrijven met het oog op een meer efficiënte aanpak van security, zeker nu ontwikkelingen als BYOD en cloud nieuwe securitybesognes meebrengen. Momenteel verkrijgbaar in het Engels, zal de brochure ook in het Nederlands en Frans worden vertaald, om de drempel nog verder te verlagen. De verschillende sectorfederaties binnen het VBO kunnen nu beslissen hoe deze brochure en het onderwerp naar hun leden te communiceren. Daarbij kan ook worden gedacht aan bijkomende ondersteunende acties, zoals informatiesessies en dies meer.

Het ICC en het VBO benadrukken dat deze brochure geen ‘one shot’ zal zijn, maar het begin moet zijn van meer actie rond het thema van security, in samenwerking met de overheid en bedrijven. De inhoud zal dan ook worden geactualiseerd, in functie van veranderingen in het securitygebeuren. In functie van de respons uit de sectorfederaties en vanwege de leden, kan het VBO zelf ook een interne functie terzake overwegen. Ook kan een samenwerking met andere organisaties worden overwogen. Met deze brochure als basis kunnen tevens publicaties voor andere groepen worden gecreëerd. Zo overweegt het B-CCentre – een partner van dit ‘Guide’-project – een document voor gebruik op scholen.

De brochure wordt elektronisch beschikbaar gesteld via het B-CCentre en het ICC.

Vandaag, nu!

Belangrijk is dat bedrijven – ook de kleinste – de nood aan actie beseffen. “De aanvallen zijn geen science fiction,” aldus Rudie Thomaes, “maar realiteit. En een incident kan voor een klein bedrijf het einde betekenen.” Heel wat kleinere bedrijven maken overigens deel uit van ‘kettingen’, zoals ‘supply chains’, en in toenemende mate zullen de grote bedrijven in zo’n keten bijkomende eisen inzake security stellen (zodat toeleveranciers geen ‘achterdeuren’ voor aanvallen vormen). Bedrijven die geen adequate beveiliging opzetten kunnen dus uit de boot vallen en business verliezen. Als ze eventueel ten gevolge van een incident ook niet nog bijkomende problemen krijgen, met aandeelhouders, klanten of leveranciers… of eventueel strafrechtelijke problemen.

Om de instap zo laag mogelijk te houden, publiceren het ICC en het VBO ook een ‘bladwijzer’ met

10 ‘Key principles’ en 10 ‘Must Do’-acties:

Principle 1: Kijk verder dan technologie

Must Do 1: Organiseer gebruikersopleidingen & bewustmakingsinitiatieven

Principle 2: Compliance volstaat niet

Must Do 2: Hou systemen up to date

Principle 3: Vertaal je veiligheidsdoelstellingen naar een veiligheidsbeleid

Must Do 3: Bescherm informatie

Principle 4: Verzeker de toewijding van het top management

Must Do 4: Beveilig mobiele apparaten

Principle 5: Creëer een zichtbare veiligheidsrol in je bedrijf en verander individuele verantwoordelijkheden

Must Do 5: Geef enkel toegang tot informatie op basis van ‘need to know’

Principle 6: Blijf veilig wanneer je uitbesteedt

Must Do 6: Stel regels op om veilig op internet te surfen en pas ze toe

Principle 7: Verzeker dat veiligheid een motor is voor motivatie

Must Do 7: Gebruik sterke paswoorden en hou ze veilig

Principle 8: Blijf jezelf uitdagen

Must Do 8: Maak en controleer back-up kopies van bedrijfsgegevens en informatie

Principle 9: Behoud focus

Must Do 9: Bestrijd virussen en andere malware vanuit verschillende invalshoeken

Principle 10: Wees voorbereid om incidenten aan te pakken

Must Do 10: Voorkom, detecteer en onderneem actie.