Door Pieter van Zeeland
De bewustwording van Cybersecurity bij Nederlandse bedrijven
Uit jaarlijks onderzoek* door Vodafone Business blijkt dat slechts 25% van de ondervraagde bedrijven een duidelijk plan heeft voor de aanpak van cybersecurity en belangrijke maatregelen heeft getroffen. De overige 75% gaf aan dat een concreet plan ontbreekt. Als deze laatste groep wordt gevraagd op welk vlak ze risico’s willen beperken komt cybersecurity zelfs op de laatste plaats van topprioriteiten. Een groot deel van de bedrijven die meedeed aan dit onderzoek werkt bij een Nederlandse organisatie. Het blijkt dat we ook in Nederland flink achterlopen op het wereldwijde gemiddelde qua ‘maturity’ van de cybersecurity.
Geen onveilig gevoel
Ondanks alle berichten en waarschuwingen over cyberattacks in de media, denken veel bestuurders dat hun organisatie nooit slachtoffer wordt. Voorbereidingen treffen lijkt dus overbodig en cybercrime wordt daardoor geen integraal onderdeel van de bedrijfsvoering. Dat is opvallend, je zou verwachten dat iedereen cybersecurity inmiddels juist hoog op de prioriteitenlijst heeft staan. Een goede reputatie op het gebied van informatiebeveiliging wordt ook vaak gezien als belangrijke onderscheidende factor bij het kiezen van een nieuwe leverancier. Nog meer reden dus om dit te heroverwegen.
Auto versus cybersecurity
Je kunt de aanpak van cybersecurity goed vergelijken met het bezit van een auto. Zowel bij cybersecurity als bij een auto heb je te maken met technologie (de auto), een passende en persoonlijke sleutel (de autosleutel) en gebruikers (de berijder).
- Technologie; Wat betreft de technologie, zoeken kwaadwillende vaak naar:
- Kwetsbaarheden in bekende software
- Zwakheden in infrastructuur – apparaat, besturingssysteem, servers, netwerk, etc.
- Bedrijfsapplicaties die draaien op een lokale, laag beveiligde infrastructuur
- Kwetsbaarheden in websites en extern gerichte applicaties
- Zwakke punten in de functionaliteit van de configuraties
- Gegevens die zijn opgeslagen in meerdere systemen
- Persoonlijke sleutel; Bij het gebruik van een persoonlijke toegangssleutel kijken cybercriminelen naar zwakheden, zoals:
- Zwakke gebruikersnaam/wachtwoord en informatie
- Het onbeheerd laten van sleutels/tokens, waarmee diefstal of oneigenlijk gebruik op de loer ligt
- Gebruik van inloggegevens door meerdere gebruikers
- Gebruiker; Gebruikers worden vaak door onwetendheid of onoplettendheid misleid door middel van bijvoorbeeld:
- Phishing
- Spam
- Malware
- Social engineering
- Misleiding
Beveilging van je IT-technologie
Om de IT-technologie goed te beveiligen zijn er een aantal zaken die je moet organiseren:
- Maak een securitydesign en richt dit in: Dit ontwerp bepaalt de structuur en inhoud van je beveiliging en wat je hiervoor gaat inrichten.
- Organiseer je security Governance: bepaal hoe je de beveiliging gaat observeren/monitoren en wie welke acties gaat uitvoeren bij risicovolle activiteiten. Automatiseer dit waar mogelijk.
- Bescherm tegen bedreigingen: Richt je securityactiviteiten in volgens je Governance en reageer direct op bedreigingen. Minimaliseer daarbij knelpunten en focus op wat goed werkt.
- Richt een security improvement proces in: Zorg dat je een proces inricht waarbij je continu blijft monitoren en innoveren om de beveiliging te verbeteren en optimaal te houden. Kijk hierbij ook naar marktonwikkelingen.
De sleutel: Zero trust beleid
Zero Trust is een bewezen onmisbaar framework dat een oplossing biedt voor de vele uitdagingen op het gebied van Cloud omgevingen of hybride omgevingen en thuiswerkende werknemers. Met Zero Trust worden alle gebruikers aan het begin van elke interactie als onbetrouwbaar beschouwd. Wil je als gebruiker toegang tot een applicatie, database of document, dan heb je eerst een toegangssleutel nodig. De systemen controleren vervolgens automatisch of jij als gebruiker bent geautoriseerd. De autorisatiestatus van elke gebruiker wordt vervolgens continu gevalideerd tijdens het gebruik van apps en gegevens.
Awareness bij gebruikers
Als je je wilt beschermen tegen cyberaanvallen moet je je niet alleen richten op de technologie en de toegangssleutel. Ook de menselijke factor is belangrijk. Met het inrichten van een security awareness programma kun je menselijke fouten, die ertoe kunnen leiden dat cybercriminelen toegang krijgen tot gevoelige informatie, zoveel mogelijk beperken.
Tijdens regelmatige korte securitytrainingen kun je diverse situaties simuleren en leer en test je je medewerkers, bijvoorbeeld door het versturen van nep Fishing mail. Je traint hierdoor je medewerkers in het herkennen van verdachte digitale activiteiten en in het alert zijn op dit soort aanvallen. Door de voortgang te monitoren zorg je voor een positief gevoel en een breed draagvlak in de organisatie.
Lees meer over onze Customer Value Services, een moderne vorm van Managed Services waarbij de focus ligt op lange termijn partnership.