Wat is belangrijker: goede koffie of een veilige werkplek? En nee, je mag niet zeggen dat ze even belangrijk zijn. Hoe lekker koffie ook is (of kan zijn); ik schat in dat een meerderheid kiest voor de veilige werkplek. Daarbij gaat het wat mij betreft niet alleen over fysieke veiligheid, maar ook over digitale veiligheid. Toch besteden bedrijven en instellingen vaak meer van hun budget aan koffie dan aan een digitaal veilige werkomgeving. Het is echter zeer de vraag of dat wel zo handig is. Daarbij is de vraag stellen in feite de vraag beantwoorden. Dat is dus niet handig, hoe gek ik ook op goede koffie ben.
Ik kan je vermoeien met een uitgebreide rekensom, maar beperk me tot een samenvatting. Zo hebben ‘koffiewetenschappers’ uitgerekend dat koffie op de werkvloer (inclusief bijkomende kosten) gemiddeld 40 cent per kopje kost. Ga uit van vier koppen koffie per werkdag en je komt uit op meer dan 30 euro per maand per medewerker. Ik ken echt geen organisatie die zoveel geld per medewerker uittrekt voor digitale veiligheid. Daarbij gaat het om het beschermen van servers, computers, mobiele apparaten, elektronische systemen, netwerken en gegevens tegen schadelijke aanvallen. Toch blijkt cybersecurity voor organisaties steeds zwaarder te wegen bij de keuze voor een leverancier. Zeker wanneer data worden uitgewisseld of IT-systemen onderling worden gekoppeld. Dan wil je als afnemende partij zeker weten dat de leverancier de beveiliging optimaal heeft geregeld.
Cybermaffia
In de zomer van 2018 concludeerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid dat de digitale weerbaarheid van Nederland onder druk staat. Naar aanleiding van het bijbehorende rapport onderstreepte Ferdinand Grapperhaus, minister van Justitie en Veiligheid, het belang van het voornemen in het regeerakkoord om jaarlijks 95 miljoen euro te investeren in cybersecurity. Aan het eind van 2018 publiceerde de Britse IT-journalist Misha Glenny een artikel met de veelzeggende titel ‘Cybercrime is becoming the mafia’s newest racket’. De kop boven het verhaal laat eveneens weinig aan de verbeelding over. ‘The cyber mafia is growing and bringing a new level of organization to digital and internet crime’. Dergelijke signalen zijn een duidelijke vingerwijzing naar de noodzaak om digitale veiligheid hoger dan ooit op de bedrijfsagenda te zetten.
Aflevering 3
Hoe verhoog je het digitale veiligheidsbewustzijn bij medewerkers?
In deze aflevering van onze podcastserie ‘Hack van de Dam’ praten onze salesmanager Jasper Glaser en onze securityspecialist Martijn Scheffel samen met Erik Lameijer, teamleider automatisering bij verzekeringsmakelaar Schouten Zekerheid, over het verhogen van security awareness met een medewerkersgerichte aanpak. ‘Dat gaat niet in één dag, daar moet je echt een goed programma voor hebben.’
Bewustzijn
Ook Nederland ICT vindt dat cybersecurity op strategisch niveau blijvende aandacht behoeft. Volgens de IT-branchevereniging maken organisaties idealiter minimaal 10 procent van hun IT-budget voor digitale veiligheid vrij. Daarnaast moeten directies zich meer bewust zijn van het belang van een goede aanpak. “Binnen de top van bedrijven moet de kennis van security echt omhoog”, stelt Nederland ICT. Daar komt bij dat het topmanagement van bedrijven in verreweg de meeste gevallen niet onderkent dat de verantwoordelijkheid voor goede beveiliging bij de directie ligt, en niet bij de IT-afdeling. Bovendien wordt de potentiële schade van een digitale aanval regelmatig onderschat. Dat leidt tot de logische conclusie dat eerst het veiligheidsbewustzijn op directieniveau moet worden verhoogd. Pas dan kunnen investeringen in IT-veiligheidsmaatregelen worden gedaan. Naar mijn idee ligt de verantwoordelijkheid voor dat proces wél bij de IT-afdeling.
‘Hackers kunnen tegelijkertijd verschillende delen van een bedrijf aanvallen. Cybersecurity vereist een integrale aanpak.’
IT-managers die munitie zoeken om directeuren te overtuigen, kunnen die snel vinden. IT-onderzoeksbureau Gartner heeft namelijk ook al ettelijke malen aan de bel getrokken. “CIO’s moeten technologische risico’s en cyberbeveiligingsproblemen vanuit het oogpunt van bedrijfswaarde aanpakken. Dat is nodig om passende niveaus van bescherming te bieden die zakelijke resultaten ondersteunen.” En ook: “Behandel cybersecurity als een zakelijke functie.” Daarbij waarschuwt Alexander Belderok van Roland Berger Strategy Consultants voor een te beperkte blik. IT-afdelingen focussen zich in zijn optiek te veel op communicatiesystemen en zakelijke software. “Ze vergeten dat door de digitalisering ook gevaar dreigt voor de productsoftware en de verbinding van deze producten met bijvoorbeeld de onderhoudsafdelingen. Hackers kunnen tegelijkertijd verschillende delen van een bedrijf aanvallen. Cybersecurity kan niet meer gericht zijn op de losse onderdelen, het vereist een integrale aanpak.”
Altijd veilig
Om die aanpak vorm te geven, hanteert Roland Berger een vijfstappenmodel. Allereerst vaststellen welke bedrijfsonderdelen bescherming nodig hebben; dan begrijpen hoe groot de dreiging is. Daarna die dreiging kwantificeren; evalueren welke oplossingen er zijn en die vervolgens onderdeel laten worden van de bedrijfscultuur. Back-ups, antivirussoftware, het installeren van firmware-updates en bewustwording zijn daarbij belangrijke voorzorgsmaatregelen. Daardoor wordt de kans dat een cyberaanval plaatsvindt aanzienlijk verkleind. Maar begin beveiliging vooral bij het begin; bij de BIOS van computers (of laptops) waar malware zich steeds vaker op richt. Daar kan besmetting ongemerkt plaatsvinden en niet door een antivirusprogramma of herinstallatie van het besturingssysteem worden gestopt. Inmiddels zijn er technieken die zo’n aanval herkennen en de BIOS kunnen herstellen Jammer genoeg is het toepassen daarvan bepaald geen appeltje-eitje en zeker niet weggelegd voor goedwillende gebruikers.
Meer weten?
In het kader van cybersecurity zou ik het ook nog kunnen hebben over het belang van sterke wachtwoorden, multifactor authenticatie, databescherming, veilige browsers en privacyfilters. Daar kom ik zeker nog een keer op terug. Tegelijk is het (zeker in deze tijd) handig om je kennis op het gebied van veilig (thuis)werken uit te breiden. Over dat onderwerp lees je meer in ons redpaper ‘Veilig Thuiswerken’.
Download ons redpaper
‘Zo’n hack; dat zal mij toch niet gebeuren?’
en geef concreet vorm en inhoud aan cybersecurity in jouw organisatie
