Het onderwerp ‘Cyberweerbaarheid en -veiligheid’ staat nauwelijks op de agenda van directies. Slechts 1 op de 8 MKB-bedrijven heeft de cyberveiligheid op orde. Dat komt omdat veel bedrijven denken dat er bij hen niets te halen valt. ‘We hebben een firewall, antivirussoftware en een back-up’, hoor ik regelmatig. ‘Dan hebben we het toch prima geregeld?’ Toegegeven, het is een goed begin. Alleen ben je er dan echt nog niet. En beveiliging van IT-systemen en data wordt alleen maar belangrijker voor organisaties.
De afhankelijkheid van IT neemt toe, maar ook de cyberdreigingen en de impact daarvan nemen toe. Gelukkig zijn er steeds meer organisaties die voldoende budget vrijmaken voor cyberveiligheid en meer aandacht (willen) besteden aan de risico’s van dataverlies en systeempenetratie. Simpelweg vanwege het risico dat binnengedrongen wordt in IT-systemen en cruciale bedrijfsgegevens verloren gaan. Zonder afdoende beveiliging is het niet de vraag óf je gehackt wordt, maar is de enige vraag wanneer dat gaat gebeuren. Vreemd genoeg denkt bijna de helft van de MKB-bedrijven dat het zo’n vaart niet zal lopen. Toch kan de schade bij een cyberaanval lelijk oplopen; gemiddeld maar liefst 78.700 euro per incident.
Zicht krijgen
Bijna 80.000 euro schade; dat is voor veel organisaties een gigantisch bedrag. En die schade hoeft niet alleen voort te komen uit gijzeling van jouw IT-systeem en betaling van een dwangsom om er weer gebruik van te kunnen maken. Die schade kan ook het gevolg zijn van dataverlies, datadiefstal, operationele verstoring van de bedrijfsvoering of uitval van systemen. Bovendien heb je altijd te maken met imagoschade en ligt identiteitsfraude door illegaal verkregen privacygevoelige gegevens uit jouw IT-omgeving ook nog eens als risico op de loer. Om onnodige schade te voorkomen, is het voor directies belangrijk om zicht te krijgen op de risico’s die cybercriminaliteit met zich meebrengt.
‘Aan de hand van een cybersecurity assessment kunnen we bepalen hoe het met de cybersecurity binnen jouw organisatie is gesteld.’
De meest nauwkeurige manier om de digitale risico’s binnen jouw organisatie in kaart te brengen, is aan de hand van een cybersecurity assessment. Daarmee kunnen we bepalen hoe het met de cybersecurity binnen jouw organisatie is gesteld. Dat doen we onder meer door te controleren of (en in welke mate) de relevante cybersecuritymaatregelen zijn geïmplementeerd en geautomatiseerd. Daarnaast brengen we de risico’s van niet- of deels geïmplementeerde cybersecuritymaatregelen in kaart. Vervolgens leveren we op basis van onze bevindingen input voor een actiegericht plan om de cyberveiligheid van jouw organisatie systematisch te verbeteren. Bovendien geven we richting aan de acties die de verschillende stakeholders kunnen ondernemen om daaraan bij te dragen.
Vijfstappenplan
Zo’n assessment voeren we uit aan de hand van een CIS-framework. CIS is een internationaal erkende standaard van securitymaatregelen, opgesteld door het Center for Internet Security. Daarmee kunnen we de cybersecurityvolwassenheid van jouw organisatie perfect meten en van daaruit een concreet actieplan creëren om de cyberveiligheid van jouw organisatie te optimaliseren. Daarvoor gebruiken we een vijfstappenplan. De eerste stap is een workshop waarin we jouw verwachtingen van het assessment doorspreken en samen bepalen welke factoren relevant zijn voor het assessment. Als tweede gaan we voor die factoren informatie verzamelen, die we bij jou verifiëren voordat we – stap 3 – de informatie met behulp van een assessment tool analyseren. Daaruit komt een score tevoorschijn die de mate van volwassenheid van het cybersecurityniveau binnen jouw organisatie weergeeft. Daarbij wordt de informatie ook geïnterpreteerd, worden risico’s in kaart gebracht en conclusies getrokken. Aansluitend, in stap 4, stellen we een adviesrapport voor je op, waarin we concrete aanbevelingen doen om de cyberveiligheid in jouw organisatie te optimaliseren. Als vijfde en laatste stap worden de uitkomsten en het advies van het assessment aan jou en eventuele andere belanghebbenden gepresenteerd.
Vervolgacties
Het mooie van die gestructureerde aanpak is dat je vervolgacties gefaseerd kunt oppakken. Als je de basishygiëne van cybersecurity op orde hebt (en dat begint bij het inventariseren van alle hardware en software in jouw IT-omgeving) is een belangrijk deel van het werk al gedaan. Op die basis kun je diverse securitybouwstenen plaatsen, die gericht zijn op het optimaliseren van de cyberveiligheid Daarbovenop kun je ook nog allerlei maatregelen nemen die te maken hebben met de organisatorische aspecten van cybersecurity. In hoeverre al die bouwstenen van toepassing zijn, hangt af van de omvang, complexiteit en privacygevoeligheid van jouw organisatie.
Vinger aan de pols
Ook niet onbelangrijk: laat zo’n cybersecurity assessment geen eenmalige actie zijn. Cybersecurity is geen momentopname, maar een continu proces dat gedegen onderhouden moet worden. Vanuit het eerste assessment volgt doorgaans een stappenplan om het cybersecurityniveau te verhogen. Wanneer je het assessment jaarlijks laat uitvoeren, kun je de behaalde resultaten evalueren en doelen bijstellen wanneer dat nodig mocht zijn. Ik zou niet kiezen voor een langer interval. De ontwikkelingen in het IT-landschap volgen elkaar zo snel op dat het verstandig is om minstens jaarlijks een formele vinger aan de pols te houden. Een gewetensvolle IT-partner zorgt er (als het goed is) tussendoor voor dat zaken die geen uitstel kunnen lijden, op tijd door jou kunnen worden aangepakt. Zo helpen wij onze klanten om zich optimaal te beschermen tegen het toenemende gevaar van cybercriminaliteit. Wil jij weten wat wij in dat opzicht voor jou kunnen betekenen? Bel of mail me gewoon; dan maken we snel een afspraak.
Download ons redpaper
‘Zo’n hack; dat zal mij toch niet gebeuren?’
en geef concreet vorm en inhoud aan cybersecurity in jouw organisatie
