Volgens de AMRAE (Association du Management des Risques et Assurances de l'Entreprise) zijn cyberbeveiligingsrisico's in 2017 opgeschoven van de 7e plaats naar de top 3 van de zorgen van risicomanagers. Dit is niet echt verwonderlijk: in de afgelopen jaren zijn de productie, het gebruik en de opslag van gegevens voor ondernemingen strategische kwesties geworden.
Met de digitale transformatie van bedrijven raakt het thema gegevensbeveiliging nu alle bedrijfslijnen, waardoor de risico's die ermee gepaard gaan nog toenemen. Bovendien dwingt regeldruk organisaties om gegevensbescherming te structureren, zoals in mei 2018 het geval was met de uitvoering van de RGPD.
Ook het lezen waard: ons artikel over de RGPD en gevoelige gegevens.
Een ander groeiend fenomeen: cyberaanvallen, die steeds vaker voorkomen en nieuwe vormen aannemen, maken gebruik van nieuwe vectoren om gegevens te hacken, te vernietigen of te ontvoeren. Met een fenomenale snelheid van verspreiding, zoals we zagen in 2017. Denk aan "WannaCry ": alleen al deze aanval maakte in 2 dagen 200.000 slachtoffers, waaronder het Britse gezondheidsstelsel, Telefonica in Spanje en Renault in Frankrijk, om er maar een paar te noemen.
Lees: Dit zijn de 3 cyberaanvallen waaraan uw bedrijf kan worden blootgesteld.
Toch zegt zelfs nu nog 74% van de managers kwetsbaar te zijn voor cyberaanvallen*. Het is dus dringend noodzakelijk om te reageren en het risicobeheer in zijn geheel opnieuw te bekijken, door cyberbeveiliging te integreren en centraal te stellen in de digitale beveiligingsstrategie. Op Blue Soft hebben we een aantal basisprincipes voor cyberbeveiliging, die we hier met u delen.
Risico's op het gebied van cyberbeveiliging op een alomvattende manier beheren
Het eerste dat in overweging moet worden genomen, en wij benadrukken dit punt, is dat cyberbeveiliging geen "afzonderlijk" element van risicobeheer is, maar een onderwerp dat moet worden geïntegreerd in alle risico's waarmee een onderneming wordt geconfronteerd. En het is een onderwerp dat een holistisch beheer vereist, dat technologie, bestuur en opleiding omvat.
Cyberbeveiliging vergt een voortdurende waakzaamheid die door iedereen wordt gedeeld. Maar hoe kunnen we dit doen?
Creëren van een cyberbeveiligingscultuur (CCS)
Wij zijn ervan overtuigd dat veiligheid iets is dat diep in de cultuur van de organisatie moet worden geïntegreerd. Het is niet alleen een kwestie van bewustmaking, maar ook van het betrekken van de werknemers bij een gemeenschappelijk verantwoordelijkheidsgevoel. Opleiding is natuurlijk noodzakelijk, maar het is slechts één stap, cruciaal natuurlijk, maar onvolledig op zichzelf.
Om deze veiligheidscultuur te ontwikkelen, moeten de specifieke risico's van de onderneming, haar activiteiten en de rol en verantwoordelijkheden van de werknemers in kaart worden gebracht. Hoe beter wij ze kennen, hoe beter wij de omvang ervan kunnen beperken en corrigerende maatregelen kunnen voorbereiden. Zwakke schakels moeten worden opgespoord en hersteld.
Volgens ENISA heeft het begrip cyberbeveiligingscultuur (CSC) betrekking op de kennis, opvattingen, percepties, attitudes, veronderstellingen, normen en waarden van mensen inzake cyberbeveiliging, en op de wijze waarop al deze eigenschappen tot uiting komen in hun gedrag ten aanzien van computer- en digitale technologieën. CCS omvat bekende disciplines zoals cyberbeveiligingsbewustzijn en informatiebeveiligingskaders. Maar de reikwijdte en toepassing ervan is breder en omvat overwegingen inzake digitale veiligheid in de functies, gewoonten en gedragingen van het personeel, waardoor zij worden ingekapseld in hun dagelijkse activiteiten.
Er zijn verschillende factoren die ertoe hebben geleid dat CCS een reële behoefte is geworden in organisaties. Zo is de manier waarop een organisatie zich gedraagt sterk afhankelijk van de overtuigingen, waarden en handelingen van haar personeel, en dus ook van hun houding tegenover cyberbeveiliging.
Er wordt nu erkend dat bewustmakingscampagnes over cyberrisico's alleen niet volstaan om een organisatie te beschermen tegen steeds geavanceerdere cyberaanvallen. Er heerst ook een sterke overtuiging dat technische beveiligingsmaatregelen niet in een "vacuüm" bestaan en naadloos in bedrijfsprocessen moeten worden geïntegreerd om te voorkomen dat werknemers heen en weer worden geslingerd tussen "hun werk doen" en "voldoen aan het beveiligingsbeleid".
De rol van de Risk Management expert is het ondersteunen en informeren van het Top Management bij beslissingen over al deze elementen, terwijl deze globale visie behouden blijft.
Cyberbeveiliging vereist iteratie in uw risicobeheer
Een ander belangrijk punt bij het beheer van ondernemingsrisico's is iteratie. Het is waar dat vóór de digitalisering van de onderneming de zaken relatief stabiel waren. Meestal was het voldoende om de grondslagen te leggen, de regels te schrijven en dat was genoeg.
Het is duidelijk dat dit niet langer het geval is, en dat een IT-beveiligingsvoorschrift dat de ene dag geldig is, de volgende dag achterhaald kan zijn, of zelfs een volledige herziening van het beheer van het informatiesysteem kan vergen. In het bijzonder moet permanent rekening worden gehouden met de ontwikkeling van het risico en de dynamiek ervan:
- Technologische evolutie: nieuwe gegevensbronnen, nieuwe soorten bedreigingen
- De ontwikkeling van de betrekkingen met klanten en leveranciers
- De vermenigvuldiging van uitwisselingen met onderaannemers, hosting van gegevens, gebruikte uitwisselingsplatforms, enz.
Al deze elementen zijn in beweging, de overdracht van informatie neemt vormen en wegen aan die voortdurend veranderen. Is het moeilijk om daar altijd rekening mee te houden? Maar het is absoluut noodzakelijk!
Over hetzelfde onderwerp kunt u ook ons artikel lezen over 5 tips voor risicobeheer.
Welke methodologie in de praktijk?
Als u zich bewust bent van de uitdagingen van cyberbeveiliging in uw bedrijf, is het niet altijd gemakkelijk om dit in de praktijk te brengen. Externe deskundigheid is daarom van onschatbare waarde en biedt methodologische ondersteuning, kennis van en inzicht in de risico's, en een externe en objectieve kijk op het gehele proces. Hier volgt een overzicht van de belangrijkste fasen van de steunverlening.
Begin met een risicobeoordeling
Het begint allemaal met het opstellen van een basislijn aan de hand waarvan het risico kan worden gemeten en de verbeteringen kunnen worden vastgesteld.
In deze stap zal de besluitvormers worden gevraagd te beslissen of de gemeten risico's moeten worden verminderd, overgedragen, aanvaard of verwijderd.
Een gepersonaliseerd cyberbeveiligingsprogramma opstellen
Er bestaat uiteraard geen standaardprogramma, elk bedrijf moet het beleid, de praktijken, de interventieplannen, de risicoregistratie, enz. bepalen die aangepast zijn aan zijn situatie, omvang, locaties, uitwisselingen, enz. ....
Totstandbrenging van een doeltreffende bescherming
Er moeten instrumenten voorhanden zijn om het gehele informatiesysteem te bewaken en pogingen tot inbraak te detecteren, volgens een vastgesteld en aangepast proces.
Benoeming van een hoofd informatiebeveiliging
Er kan geen sprake zijn van een onbeperkt aantal referenten, maar wel van een hoofd informatiebeveiliging, die zorgt voor controle, opleiding en naleving van het proces door iedereen.
Opleiding van werknemers op het gebied van cyberbeveiliging
Uiteraard blijft opleiding van essentieel belang: het personeel moet op de hoogte worden gebracht van de nieuwe protocollen, en er zal moeten worden bepaald welke gevoelige doelgroepen extra modules nodig hebben, die als referentiepersoneel zullen fungeren en garant zullen staan voor het proces, onder de verantwoordelijkheid van het hoofd informatiebeveiliging.
Ondernemingen zijn geneigd te geloven dat de opkomst van nieuwe digitale technologieën en informatiesystemen alleen maar voordelen zou opleveren. Het blijkt dat criminele organisaties deze mening delen en cyber zien als een uitgelezen kans om hun misdadige praktijken te diversifiëren. Zo zijn zij begonnen bedrijven van elke omvang aan te vallen, terwijl hun vaardigheden, verfijning en professionalisme exponentieel zijn gegroeid. Tegelijkertijd profiteren zij van de inherente kenmerken van het internet, waar de traceerbaarheid en de toeschrijving van aanvallen uiterst moeilijk blijven.
Technologie is essentieel, maar niet voldoende om alle bedreigingen vanuit cyberspace te voorkomen... Om echt allesomvattend en effectief te zijn, moet een cyberbeveiligingsprogramma zorgen voor een echte beveiligingscultuur binnen het bedrijfdie wordt gedeeld door iedereen, op elk niveau van het bedrijf, zowel managers als werknemers. De verdedigingsstrategie, het concurrentievermogen en zelfs het overleven van uw organisatie hangen ervan af.
