“Cybersecurity start nog te weinig vanuit een strategie”
Partner Content verbindt organisaties met de lezers van en doet een beroep op de specialisten van Roularta Brand Studio voor tekst en illustraties. De inhoud wordt eventueel aangebracht door de partner en valt buiten de verantwoordelijkheid van de redactie.
Hoe je het ook bekijkt, cybersecurity begint en eindigt altijd bij de mens. Los van alle technologie die vandaag in gebruik is – zowel voor beveiliging als bij aanvallen – blijft de menselijke factor van doorslaggevend belang. Bedrijven hebben daarom nood aan een beveiligingsstrategie, met aandacht voor bewustzijn en oplossingen, naast een plan voor wanneer het alsnog fout gaat.
“Social engineering, phishing om paswoorden te stelen: dat soort acties is gericht op de mens”, zegt Bart Appelen, Country Lead HPE Aruba Networking bij Hewlett Packard Enterprise. “We zien dat de meeste bedrijven intussen wel hebben geïnvesteerd in basisbeveiliging zoals een firewall, bijvoorbeeld, maar zijn ze wel mee met de rest van het verhaal?” Cybersecurity draait vandaag immers niet meer om de klassieke versterkte burcht. Medewerkers begeven zich meer en meer buiten de traditionele perimeter. Dat zorgt voor andere risico’s – en dus ook voor de behoefte aan een andere benadering van de beveiliging.
Daarbij komt vooral de nood aan een sluitende securitystrategie naar voren. Bedrijven gaan nog te vaak uit van een heel pragmatische aanpak, waarbij ze specifieke problemen met specifieke oplossingen te lijf gaan. “Dat toont aan dat het bij bedrijven nog vaak ontbreekt aan een strategische benadering”, vindt Bart Appelen. “Op de plaats waar het dak lekt, zetten ze een emmer, in plaats van het lek te dichten – of indien nodig het hele dak te vervangen.”
Overkoepelende visie vanuit framework
Losse ingrepen kunnen dus niet volstaan, al helemaal niet wanneer de beslissing erover bij de eindgebruiker ligt. Bij een bedrijf waar het gebruik van multifactorauthenticatie optioneel is, blijft die aangeboden maatregel een maat voor niets. “Want MFA vormt voor de eindgebruiker wel degelijk een extra hindernis bij de uitvoering van zijn werk, waardoor hij er liever voor past. Daarom pleiten wij ervoor om security vanuit een framework te bekijken. En ja, ook employee satisfaction is één van de elementen waarmee je daarbij rekening moet houden.”
Maar zo’n framework vraagt natuurlijk een investering, waardoor we weer uitkomen bij het belang van security awareness in de bestuurskamer. Vroeger kreeg security er te weinig aandacht, tot er zich een incident voordeed. Het blijft voor de board vaak heel moeilijk om in te schatten wat de investering in security concreet oplevert. In de praktijk komt het er gewoon op aan de berekening te maken: uitrekenen wat je verliest zonder goede security. Vervolgens koppel je daar een financiële waarde aan: voor het verlies van productie en omzet, maar evengoed voor imagoschade, juridische kosten, schadevergoedingen, enzovoort.
Kleine bedrijven maken die oefening nog te weinig, denken nog altijd dat ze geen interessant doelwit zijn voor cybercriminelen. “Ja, de typisch Belgische kmo kan daar heel eigengereid in zijn”, lacht Bart Appelen, “al zien we daar nu toch stilaan verandering in komen.” Beknibbelen op security is sowieso geen goed idee. “Je gaat toch ook niet op zoek naar de goedkoopste dokter? Je wil de beste.”
Europa toont het voorbeeld
Een raamwerk voor security omvat niet alleen beveiligingstechnologie, maar ook de nodige plannen voor wanneer het alsnog fout zou gaan: een stappenplan om de schade te beperken en de continuïteit te verzekeren, met bijhorend communicatieplan. Zo’n plan alleen volstaat trouwens niet, je moet het ook inoefenen. Dat is wat de Europese wetgeving DORA intussen oplegt aan de financiële sector. Naar alle verwachting krijgt die verplichting in de toekomst uitbreiding naar andere branches. “Die extra regels vragen extra inspanningen – en dus ook extra kosten”, zegt Bart Appelen, “maar ze zijn nodig.”
“Het ontbreekt bij bedrijven nog vaak aan een strategische benadering van security. Waar het dak lekt, zetten ze een emmer, in plaats van het lek te dichten – of het dak te vervangen.”
Bart Appelen, Country Lead HPE Aruba Networking
Bedrijven nemen niet alleen maatregelen en bereiden zich voor, ze zoeken ook extra ondersteuning via een verzekeringspolis. Zo’n cyberverzekering – die de kosten van een incident vergoedt, eventueel zelfs het betaalde losgeld – is als formule op termijn echter niet houdbaar. “De verzekeraars passen zich aan”, besluit Bart Appelen. “Ze zullen je maar verzekeren als je eerst zelf ook de nodige maatregelen hebt genomen. Net zoals je enkel een diefstalverzekering voor je auto krijgt, wanneer die auto van een alarmsysteem is voorzien.”
Meer info op www.hpe.com