Onder impuls van richtlijnen zoals NIS2 en het groeiende dreigingslandschap hebben veel bedrijven forse bedragen geïnvesteerd in toonaangevende cybersecuritytechnologie. Maar zelfs de meest state-of-the-art technologie zal een organisatie niet beschermen als de oplossingen niet optimaal worden ingezet. Cyfora ziet in de praktijk dat compliant zijn niet hetzelfde is als veilig zijn. Bedrijven mogen zich daarom niet beperken tot de regelgeving. Sterker nog: in een volwassen securitystrategie is compliance eigenlijk maar bijzaak.
Na jarenlange campagnes om cybersecurity op de radar van de directie te krijgen, lijken de meeste bedrijven de boodschap intussen wel begrepen te hebben. Zo wordt er steeds meer geïnvesteerd in cybersecuritytechnologie. Alleen is die technologie geen magische oplossing die je organisatie plots veilig maakt. Net zoals het volgen van de regelgeving in het kader van compliance geen optimale securitygarantie biedt.
Helaas tonen eigen ervaringen aan dat veel bedrijven in die gedachte vastgelopen zijn. Zo kwam ik een tijdje geleden in een bedrijf dat op endpoint-niveau over een mature oplossing beschikte die in principe voldoende bescherming moest bieden. Toch werd datzelfde bedrijf een tijdje later het slachtoffer van een cyberincident. Het probleem situeerde zich op twee fronten. Zo was de beleidsinformatie van het cybersecurity-ecosysteem flink verouderd. En mede daardoor bleek pas na de cyberaanval dat 60 procent van de apparaten niet met de oplossing was uitgerust.
De technologie was met andere woorden niet consistent geïmplementeerd en het ontbrak aan accurate data om ons hierop te wijzen. Helaas is dit geen alleenstaand verhaal. Nog al te vaak is niet duidelijk hoe technologie is uitgerold en wat de impact daarvan is. Als gevolg daarvan zien we ook vaak dat configuraties nietsvermoedend door gebruikers worden aangepast en er gaten ontstaan. Veel bedrijven investeren zo dus forse budgetten in cybersecurity, maar gebruiken de tools niet goed en beschikken niet over data en beleidsinformatie om effectief bij te sturen.
Vals gevoel van veiligheid
Gelukkig beginnen bedrijven wel te beseffen dat deze blinde vlek in hun cybersecuritystrategie grote gevolgen kan hebben. Vanuit die noodzaak aan data, zichtbaarheid en beleidsinformatie is Cyfora ontstaan. Het bedrijf houdt zich niet bezig met het aanprijzen van technologie, maar kijkt of die oplossingen goed geïmplementeerd en geconfigureerd zijn. Zodat organisaties niet alleen compliant zijn met NIS2, maar door hun inspanningen ook echt optimaal beveiligd zijn.
De scans die we uitvoeren, zijn gebaseerd op echte ervaringen zoals in het bovengenoemde voorbeeld. Soms zijn bedrijven al tevreden zodra ze een firewall hebben geïnstalleerd, want dat is dan alvast iets wat ze mogen afvinken in hun compliance-lijstje. Maar als die firewall niet goed geconfigureerd is en meer verkeer doorlaat dan toegelaten, dan zit je met een probleem. Bovendien wordt dit vaak pas opgemerkt bij een audit of als er effectief een incident gebeurt. Daarom is het belangrijk om constant te volgen of technologie doet wat het moet doen.
Heel veel organisaties hebben geweldige cybersecuritytechnologie geïmplementeerd of laten installeren door een serviceprovider, maar beschikken dus niet over beleidsdocumentatie of richtlijnen om tools optimaal te benutten in de context van het bedrijf. En zo blijven ze achter met een vals gevoel van veiligheid.
Compliance volstaat niet
Natuurlijk is het een goede zaak dat compliance overal hoog op de agenda staat. Maar het mag in geen geval de eindbestemming zijn van een cybersecuritytraject. Sterker nog, compliance is niet meer dan een voetnoot in een volwassen securitystrategie. Zelfs als je aan alle richtlijnen voldoet, wil dit niet zeggen dat het gebruik van oplossingen consistent is en overeenkomt met de context van de organisatie. Dat weet je pas als je over accurate data beschikt rond het gebruik van tools.
NIS2 is vooral een reflectiemiddel voor cybersecurity. Het is een nuttige richtlijn, maar NIS2 definieert niet welke technologie je nodig hebt en hoe je deze correct moet configureren
Wij beschouwen NIS2 vooral als een reflectiemiddel voor cybersecurity. Het is een nuttige richtlijn, maar NIS2 definieert niet welke technologie je nodig hebt en hoe je deze correct moet configureren. Een incident volledig voorkomen is onmogelijk, maar toch zou de impact van veel cyberaanvallen een stuk minder groot zijn als we technologie beter gebruiken en de juiste policy opstellen. Als iedereen z’n ding maar doet, ontstaan er zwakheden die hackers gemakkelijk kunnen uitbuiten.
Het cybersecurity-ecosysteem is bovendien heel volatiel. Compliance vereist dat bedrijven één tot twee keer per jaar een audit uitvoeren. Maar als een week na zo’n audit een aanpassing plaatsvindt die een gat in het systeem veroorzaakt, dan wordt dit vaak pas bij de volgende audit vastgesteld. Cybersecurity is zo evolutief dat we over een dynamisch systeem moeten beschikken om 24/7 na te gaan of technologie goed functioneert en of de beleidsdocumentatie nog up-to-date is.
Alles begint bij de juiste data
Met goede data over de prestaties van tools kan je informatie gaan benchmarken tegen best practices, zowel rond beleid als rond het gebruik van de technologie zelf. Enkel zo zie je wat goed loopt en waar er verbeteringen nodig zijn. Compliance is een bijproduct van sterke cybersecurity. Bovendien helpt de juiste data ook bij het opstellen van rapporten in het kader van compliance. Zo besparen organisaties zich dus een pak manueel werk én zijn ze veiliger in de strijd tegen cybercrime.
Compliance is een bijproduct van sterke cybersecurity.
Kortom, een volwassen cybersecuritystrategie begint niet bij compliance, maar bij inzicht, data en consistente uitvoering van technologie en beleid. Bedrijven die deze bouwstenen op orde hebben, maken hun investeringen echt waardevol: ze verhogen hun weerbaarheid en creëren een dynamisch ecosysteem. Compliance volgt dan vanzelf. Met de juiste data en effectieve implementatie is cybersecurity meer dan een verplichting. Het is een troef die organisaties beschermt én toekomstbestendig maakt.