Jaar na jaar wijzen analisten en leveranciers van securityoplossingen op het stijgende aantal cyberincidenten. Geen maatregelen nemen, is dan ook geen optie. “Start vanuit het risico dat je wil aanvaarden en stem daar je budget voor cybersecurity op af.”
Belangrijk om op te merken is dat er naast meer aanvallen, ook meer bescherming is. “We zien duidelijk een stijging in het aantal geregistreerde incidenten”, zegt Paul Vanderborght, managing director Cloud & Infrastructure Services Belgium bij Capgemini. “Maar uiteraard is er ook veel dat bedrijven niet openbaar maken. Toch is het goed dat hacks in het nieuws komen. Dat vergroot het bewustzijn, ook op directieniveau.”
“CEO en CFO maken vaak een goede inschatting van de risico’s”, vindt Paul Vanderborght. “Het zijn profielen met een netwerk. Ze praten met collega’s van andere bedrijven en horen zo ook waar het bij die andere bedrijven fout liep. Maar in de praktijk is het vaak de technologische invulling die niet volgt.” En daar wringt het schoentje. “Security vraagt een end-to-end aanpak. Dat de CEO de risico’s correct inschat is dus goed, maar moet doorheen het hele bedrijf – tot op het technische niveau – een concrete vertaling krijgen.
Het gevaar herkennen
Die vertaling moet zich niet alleen richten op systemen, maar vooral ook op hun gebruikers. Cybercriminelen beschouwen de mens als de makkelijkste toegangsweg tot het bedrijfsnetwerk. Ze blijven hun aanvallen met phishingmails almaar verder verfijnen. Wat kan een bedrijf daar tegen ondernemen? “Het begint met het technische luik”, zegt Paul Vanderborght. “Je moet aanvallen via phishing oppikken en de schade beperken. Tegelijk blijft bewustmaking heel belangrijk. Bij Capgemini loopt er jaarlijks een campagne waarbij we onze medewerkers leren hoe ze malafide mails en links leren herkennen.”
“Bij cybersecurity start je vanuit het risico dat je wil aanvaarden. Tegelijk vraagt dat een mindset die breder gaat dan IT.”
Paul Vanderborght, managing director Cloud & Infrastructure Services Belgium bij Capgemini.
Tegelijk is het ook nodig om in te zetten op technologie. Eén van de termen die de leveranciers van securityoplossingen daarbij naar voren schuiven, is zero trust. Als basisprincipe geldt bij zero trust dat niets of niemand toegang krijgt tot applicaties en data, behalve na een strikte verificatie. “Ik zie zero trust eerder als een extra manier van beveiliging”, zegt Paul Vanderborght. “Ik ben ervan overtuigd dat zero trust voor bepaalde, specifieke domeinen een goede oplossing biedt. Door zero trust toe te passen op een administrator met veel toegangsrechten, bijvoorbeeld, verhoog je het veiligheidsniveau.”
Breder dan IT
Ondersteuning door een externe specialist kan een onderneming helpen om sneller de nodige stappen rond cybersecurity te zetten. Want of we het nu willen of niet, security blijft tot nader order voor iedere organisatie een belangrijk aandachtspunt. “Cybersecurity vraagt een mindset die breder gaat dan louter IT”, zegt Paul Vanderborght. “Het is een end-to-end verhaal. Elke afdeling van de onderneming moet erin meestappen. Starten vanuit het risico dat je wil aanvaarden, blijft daarbij een goed vertrekpunt, onder meer ook om het budget te bepalen.” Dat biedt een basis om verder op te bouwen, niet alleen met technologie die bescherming biedt, maar ook met initiatieven en opleiding om de awareness rond cyberbeveiliging naar een hoger niveau te tillen.