Home Security Cybersecurity is niet alleen de taak van de IT-afdeling

Cybersecurity is niet alleen de taak van de IT-afdeling

8

‘Bedrijven doen niet genoeg aan cybersecurity!’ Regelmatig zijn berichten met deze strekking te lezen. Klopt dit? Er zit een zekere waarheid. Cybersecurity is zeker niet alleen het probleem van het IT departement, maar hebben alle niveaus hun rol te spelen.

Zeker nu de GDPR er aan zit te komen, is het steeds noodzakelijker dat alle afdelingen in een bedrijf zeer nauw met elkaar samenwerken want bij een datalek zullen ze, wanneer de GDPR van kracht wordt, allemaal mee de verantwoordelijkheid moeten dragen en ook samen deze crisis oplossen.

Reactief beleid

In het algemeen is het niet slecht gesteld met cybersecurity, maar kan veel beter. De meeste bedrijven begrijpen dat een goede cybersecurity broodnodig is, maar leven nog in de overtuiging dat een firewall en antivirussoftware voldoen. In gesprekken op boardniveau komen externe cybersecurityexperten vaak foute veronderstellingen tegen zoals ‘Wie wil ons nu aanvallen?’, ‘Wie kent ons?’ Of: ‘Hoe belangrijk zijn we eigenlijk voor hackers?’

Veel bedrijven zijn sterk aan het automatiseren. Hierbij is er veel aandacht voor de positieve kanten zoals hogere efficiëntie, maar weinig aandacht voor de negatieve kanten, zoals cybercrime. Het grootste issue blijft nog steeds het budget. Vaak wordt het risico van cybercrime of een hack onderschat en wordt het budget beperkt. Het is pas na een hack dat men inziet dat er geïnvesteerd moet worden.

Samenwerken

Door onderling samenwerken van bedrijven in dezelfde sector kan zeer veel voorkomen worden. Indien een bedrijf een aanval succesvol heeft afgeweerd, kan het die kennis delen met andere bedrijven zodat zij zich kunnen voorbereiden op gelijkaardige aanvallen. Hierbij spelen brancheverengingen een grote rol volgens De Jong, aangezien deze de onderlinge samenwerking en het delen van informatie in vertrouwen bevorderen.

Vanuit Fox-IT roepen we altijd op tot samenwerking. In de vliegtuigindustrie is het heel gebruikelijk dat onderzoeken naar de oorzaak van een crash openbaar worden. Andere bedrijven leren zo waar ze beter op moeten letten. Dat zou binnen cybersecurity ook moeten en is ook onvermijdelijk, want investeren in cybersecurity is duur. Dat betekent wel dat informatie na een incident gedeeld moet worden. Dat gebeurt nu steeds vaker. Zo zitten banken, verzekeraars en pensioenfondsen al samen om de tafel. Toch is er terughoudendheid. Het beste zou zijn om het overleg over de sectoren heen te tillen.

Belangrijke rol voor de boardroom

Cyberaanvallen kunnen volledige bedrijfsprocessen verstoren en heel veel geld kosten. De mensen die gaan over de strategische belangen moeten daarom voldoende kennis en inzicht van cybersecurity hebben. In de boardroom beslissen de C-levels vaak of er geld in cybersecurity gestoken moet worden. Het grootste probleem hierbij is dat het element cybersecurity vaak overgelaten wordt aan de IT-afdeling die hier te weinig inzicht in heeft en hierdoor vaak geen beslissingen nemen in het belang van het bedrijf. Daarnaast is de werklast van de IT-afdeling reeds zo hoog dat het moeilijk wordt om iemand 24/7 op cybersecurity te zetten, zoals zou moeten. Toch ziet de Jong een ander persoon in de boardroom die hier een belangrijke rol bij kan spelen.

De CFO kan hier een belangrijke rol spelen en heeft ook duidelijk inzicht in de situatie. Aangezien hij voortdurende de geldstromen van het bedrijf in het oog houdt, is hij ook constant bewust van alle risico’s en gevaren die het bedrijf kunnen treffen. Hij verstaat dat goede cybersecurity sowieso duur is, maar dat daarom niet de duurste vorm moet gekozen worden. Hij kan perfect afwegen in hoeverre de investering en dus ook de kosten moeten gaan. Vaak moet hij daar ook realistisch in zijn, aangezien een bedrijf nooit volledig beschermd zal zijn, maar dat men dan wel de grootste risico’s probeert te beperken.

Expertise in cybersecurity is niet noodzakelijk, wel begrip in risico’s

Het belangrijkste punt dat duidelijk gemaakt moet worden is dat de CFO hiervoor geen cybersecurityexpert moet zijn. Hij moet gewoon net zoals bij andere risico’s voldoende inhoudelijk begrip hebben van wat er beschermd wordt. Waartegen het beschermd wordt en wat relevant is. Daarbij kan hij zich perfect door verschillende partijen laten informeren om zo tot een goed besluit te komen. Het belangrijkste is een realistisch beeld te hebben van wat goede cybersecurity betekent en zich kunnen realiseren dat je nooit 100% beschermd kan zijn.

Het is logisch dat een bedrijf moet investeren in een firewall, maar ook monitoring met een alarm zodat snel er een melding komt als er een aanval is. En er moeten mogelijkheden zijn om adequaat te reageren. Denk maar aan een juwelier: die heeft naast een rolluik, een camera om een indringer die toch binnenkomt op te merken en een abonnement op de alarmcentrale om in te grijpen.

Erik De Jong, Chief Research Officer bij Fox-IT

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here