Het risico op cyberincidenten blijft toenemen, net als de nood aan bescherming. De concrete uitbouw van een securitybeleid vraagt een stappenplan. “Je kunt toch nooit alles in één keer realiseren. Ook al omdat ieder stukje van de business mee moet denken.”
“De professionalisering onder cybercriminelen neemt alleen maar toe”, stelt Bart Loeckx, Director Networking & Security bij Telenet Business. “Het gaat niet langer om studenten. Cybercrime is big business, op grote schaal en ondersteund door grote budgetten.” Het is een fenomeen dat bijgevolg niet zomaar weer vanzelf zal verdwijnen. De bekende boutade blijft meer dan ooit aan de orde: het is niet of je als bedrijf het slachtoffer wordt van een cyberincident, maar wanneer.
De zwakste schakel
De belangrijkste evolutie van de voorbije jaren is het verdwijnen van de klassieke perimeter, onder meer door het gebruik van mobiele toestellen en thuiswerk. “Alles en iedereen is online”, zegt Bart Loeckx. “Het gaat daarbij niet alleen om de smartphone in onze broekzak, maar ook om het wifinetwerk thuis, het alarmsysteem, enzovoort. Dat maakt van de perimeter zelf de zwakste schakel.” Naast de gebruiker, uiteraard, die klassiek als de zwakste schakel geldt.
In de huidige digitale wereld zijn de medewerkers van een onderneming voortdurend met de applicaties en data van die onderneming verbonden, ongeacht waar ze op dat moment werken. Evengoed zijn organisaties ook onderling met elkaar geconnecteerd. Het toont aan dat elke onderneming die tot zo’n ketting behoort, haar verantwoordelijkheid moet nemen. Via een hack bij één bedrijf, proberen cybercriminelen immers binnen te dringen bij andere organisaties. Dat is onder meer wat NIS-2, de Europese richtlijn rond cybersecurity voor essentiële bedrijven, mee wil helpen vermijden. Bart Loeckx: “Elke schakel in de ketting moet juist gewapend zijn tegen cyberrisico’s. En als telecomprovider – en dus essentieel bedrijf – vormt ook Telenet daar een schakel in.”
Welk risico wil je nemen?
Een term die vaak opduikt in het kader van cybersecurity is zero trust: een heel strikte regulering van de toegang tot data en applicaties. Volgens Bart Loeckx moeten we zero trust als een kapstok beschouwen. “De principes van zero trust dragen zeker bij tot de veiligheid: zoals het beperken van privileges en door voortdurende verificatie, bijvoorbeeld via het gebruik van tweefactorauthenticatie.” Maar is het haalbaar – en wenselijk – om zero trust overal toe te passen?
“Werk een security roadmap uit. Daarin krijgen onder meer de principes van zero trust een plaats: zoals het beperken van privileges en voortdurende verificatie, bijvoorbeeld via tweefactorauthenticatie.”
Bart Loeckx, Director Networking & Security bij Telenet Business.
Die vraag hangt uiteraard samen met de essentie van security. Dat blijft namelijk telkens weer een afweging die iedere organisatie moet maken: welk budget wil ze spenderen om een bepaald risiconiveau uit te schakelen? En is er wel voldoende budget? “Vroeger zat het budget voor security enkel bij IT”, zegt Bart Loeckx. “Vandaag zit het zowat overal verspreid over de organisatie.” In ieder geval mogen we stellen dat het budget – zelfs voor security – eindig is. “Daarom is het een goed idee om te starten vanuit een security roadmap. Je kunt toch nooit alles in één keer doen, ook al omdat ieder stukje van de business er mee over moet denken.”