Terwijl het aantal incidenten rond cybersecurity toeneemt, blijft de stap naar veiliger online gedrag niet altijd vanzelfsprekend. Succesvolle cybersecurity steunt immers op de combinatie van mindset en technologie. “Een bedrijf moet een securitycultuur ontwikkelen.”
“We zien almaar meer cyberaanvallen”, zegt Cindy Wubben, CISO voor de Benelux bij Visma, Europees marktleider in bedrijfssoftware en bij het grote publiek ook bekend als titelsponsor van wielerploeg Team Jumbo-Visma. “Dat stijgende aantal incidenten is zorgwekkend, ook al omdat de intensiteit van de aanvallen toeneemt. Je moet dus echt bijblijven op het vlak van cybersecurity om je tegen die aanvallen te wapenen.” Maar bewust omgaan met cyberrisico’s, blijft voor veel organisaties een grote uitdaging. Vaak overschatten ze de kwaliteit van hun bescherming, terwijl ze de risico’s onderschatten.
“Het niveau van de aanpak hangt vaak af van de sector”, zegt Cindy Wubben. “Ook de omvang van een organisatie kan een bepalende factor zijn. Kmo’s en zelfstandige ondernemers, bijvoorbeeld, hebben niet altijd een goed zicht op de beveiliging die ze nodig hebben.” Maar ook dan blijft het vooral een kwestie van de juiste afspraken te maken. “Ga je als bedrijf een relatie aan met een nieuwe leverancier, bijvoorbeeld, vraag dan na welke securitymaatregelen hij neemt”, aldus Cindy Wubben, “want elke schakel in de ketting telt.”
Meten, weten en rapporteren
Jezelf beter beschermen, kan uiteraard maar wanneer je correct kan inschatten waar je als bedrijf staat op het vlak van cybersecurity. Inzicht in de eigen maturiteit – en de bijhorende rapportering daarover – zou een onderdeel van de standaard bedrijfsvoering moeten zijn. Die aanpak brengt Visma in de praktijk.
“We hebben een securityprogramma dat we heel asset-gedreven hebben uitgewerkt”, legt Cindy Wubben uit. “Per onderdeel van het bedrijf rapporteert de directeur over security, samen met de financiële cijfers. Die informatie is doorheen het bedrijf beschikbaar. We hanteren daarbij concrete KPI’s, wat toelaat heel gericht bij te sturen.” Meten is weten, ook hier.
Het gevaar herkennen
Belangrijk is dat het beleid ook een praktische vertaling krijgt. Met name medewerkers die minder affiniteit hebben met IT, hebben daarbij nood aan extra ondersteuning. “Het komt erop aan in het bedrijf een securitycultuur te ontwikkelen”, zegt Cindy Wubben. “Het gaat om het aanleren van automatismen die veilig digitaal werken ondersteunen.”
Belangrijk is ook om snel terugkoppeling te krijgen. “Als je een gevaarlijke link aanklikte, maar pas drie weken later te horen krijgt dat die link in een phishingbericht zat, leer je niet echt bij. En heeft een medewerker wel geklikt, dan is het belangrijk dat hij weet wat hij moet doen.” Essentieel is daarbij dat medewerkers hun schaamte overwinnen.
AI als copiloot
Wat kan AI betekenen voor cybersecurity? Volgens Gartner zou gemiddeld één op drie bedrijven securityoplossingen in huis hebben die AI gebruiken. “Het werkt in twee richtingen”, zegt Cindy Wubben. “Met AI kun je alles wat eerder al bestond gewoon veel makkelijker doen. Dat geldt voor cybercriminelen, die met AI nog beter stemmen nabootsen, deepfake video’s maken en aanvallen automatiseren.”
“Het is belangrijk om een securitycultuur te ontwikkelen die veilig digitaal werken ondersteunt.”
Cindy Wubben, CISO voor de Benelux bij Visma.
Maar AI biedt uiteraard ook kansen voor security. “AI duikt sowieso meer en meer op in allerhande software, dus ze kan zeker ook bijdragen aan betere beveiliging.” AI krijgt daarbij de rol van copiloot, omdat de technologie onder meer helpt om sneller afwijkende situaties op te merken.
Budget op groepsniveau
Cybersecurity kost geld. Bij Visma is elke onderneming binnen de groep verantwoordelijk voor zijn eigen security. “Maar de Visma Group ondersteunt elk bedrijf hierin wel, zonder bijkomende kosten, met overkoepelende support”, zegt Cindy Wubben. “Op dat moment speelt de financiële component van security niet meer mee. Zo halen we één van de drempels voor security weg.”