Cyberveerkracht staat voor veel organisaties bovenaan de zakelijke agenda – zeker nu ze binnenkort moeten voldoen aan nieuwe Europese wetgeving zoals DORA en NIS2. Ongeacht hoeveel oplossingen ze implementeren of hoe hard ze ook proberen, geen enkel bedrijf kan altijd 100% veerkrachtig zijn. Bijvoorbeeld omdat werknemers veiligheidscontroles omzeilen om hun dagelijkse werkzaamheden eenvoudiger te maken, of omdat de organisatie een hoge technical debt heeft en het lastig vindt om een framework rond zijn legacy infrastructuur te bouwen.
Ongeacht in welke situatie een organisatie zich bevindt, het doel van de C-suite en beveiligingsteams moet zijn om een zo hoog mogelijk niveau van cyberhygiëne te bereiken en handhaven om veerkracht te kunnen waarborgen. Maar wat is een goed niveau van cyberhygiëne en hoe kunnen bedrijven veelvoorkomende valkuilen vermijden bij het implementeren van een nieuwe cybersecurity-aanpak?
Veerkracht gebouwd op een solide framework
Momenteel zijn de twee belangrijkste obstakels voor goede cyberhygiëne het ontbreken van een consistent beveiligsframework en een gebrek aan transparantie van IT-teams over de werkelijke gevaren waarmee organisaties dagelijks worden geconfronteerd. Veel organisaties reageren reactief op problemen en gebruiken verschillende strategieën en technologieën die zich in de loop van de jaren hebben opgestapeld. Hierdoor voelen ze zich misschien voorbereid, maar ze zijn zich meestal niet bewust van eventuele hiaten in hun framework. Daarnaast beschikken ze vaak niet over formele methoden om de gereedheid en veerkracht van hun IT-omgeving te testen. Verder worden de CISO en het beveiligingsteam gezien als onderdeel van de IT-afdeling en zijn ze vaak niet betrokken bij de strategische planning. Dit moet veranderen – het afstemmen van de beveiligingsfunctie op de strategische doelstellingen van het bedrijf is niet langer onderhandelbaar.
Het is ook mogelijk dat een organisatie een consistent framework heeft, maar dat er slecht over wordt gecommuniceerd. Dit resulteert in complexiteit, waardoor het soms weken kan duren voordat bepaalde beveiligingsmaatregelen geïmplementeerd zijn of – misschien nog erger – dat werknemers hun rol met betrekking tot cyberweerbaarheid niet begrijpen. Als je het aan een beveiligingsteam vraagt, dan zullen zij zeggen dat werknemers meestal het grootste aanvalsoppervlak vormen. Veel inbreuken beginnen bij fouten van werknemers, zoals het klikken op een kwaadaardige link in een phishingmail. Nu technologieën zoals generatieve AI hackers de mogelijkheid bieden om duizenden werknemers in korte tijd en op een meer gepersonaliseerde manier individueel te targeten, zal dat aanvalsoppervlak alleen maar groeien. Als werknemers het belang van cyberhygiëne en hun rol hierin niet begrijpen, zullen ze hoogstwaarschijnlijk eventuele IT-trainingen negeren en in de val blijven lopen, waardoor hun organisatie het risico loopt wetgeving te overtreden.
Betrek werknemers en vereenvoudig processen
De sleutel tot het oplossen van dit probleem ligt in cybersecurity awareness training. Beveiligingsteams moeten potentiële gevaren reëel maken en transparanter zijn over wat er daadwerkelijk binnen de organisatie gebeurt – wat waren bijvoorbeeld recente bijna-incidenten? Welke parallellen kunnen worden getrokken met spraakmakende lekken die in de media zijn verschenen? Vervolgens is het zaak om werknemers te informeren over hoe ze deze problemen kunnen identificeren en rapporteren aan het IT-team. Het is daarbij belangrijk om te benadrukken dat dit een probleem is van álle werknemers en dat het serieus genomen moet worden.
Een ander beveiligingsniveau dat bedrijven moeten implementeren om potentiële fouten van werknemers te beperken, is het hanteren van een zero trust-benadering voor interne en externe toegang. Gebruik dan niet meer de traditionele gerouteerde netwerktoegang waarbij gebruikers, na initiële authenticatie, vrijwel onbeperkt vrijheid krijgen om zich binnen een organisatie te verplaatsen, maar meer gedetailleerde, op identiteit gerichte toegang waarbij geautoriseerde gebruikers alleen gecontroleerde toegang hebben tot de systemen waar zij toegang toe moeten hebben. Moderne zero trust-implementaties gaan ook vaak gepaard met mogelijkheden voor misleiding en sandboxing. Dit kan aanvallers in de val lokken en beveiligingsanalisten helpen om eventuele systeeminbreuken snel te identificeren en te beperken voordat daadwerkelijke schade wordt aangericht.
Tenslotte kunnen best practices op het gebied van gebruikersbeveiliging positief worden versterkt door een goede systeemefficiëntie en hoge productiviteit. Gebruikers die last hebben van slechte IT-systeemprestaties en slecht ontworpen applicaties, zullen eerder onzorgvuldig handelen door op een phishing-link te klikken of niet-goedgekeurde software of apparaten te gebruiken. Daarom moet een goede gebruikerservaring de basis vormen van elke beveiligingsstrategie. Cyberbeveiliging moet bedrijfsactiviteiten faciliteren in plaats van in de weg staan van het werk dat gedaan moet worden.
Conclusie
Compliance zou nooit gemakkelijk moeten zijn. Als het naleven van wetgeving zo simpel is als het afvinken van een paar kleine vinkjes, verdient die wetgeving het niet om te bestaan.
Om ervoor te zorgen dat bedrijven zich aan de nieuwste wetgeving houden, moeten ze niet alleen hun technische portfolio begrijpen en er een beveiligingsframework omheen bouwen, maar er ook voor zorgen dat iedereen in de organisatie begrijpt waarom dat framework belangrijk is en wat hun rol is bij het versterken ervan. Beveiligingsteams moeten de bredere organisatie helpen begrijpen dat cyberhygiëne essentieel is.
Cyberhygiëne zou in 2024 een absolute prioriteit moeten zijn voor bedrijfsleiders, waarbij CISO’s de beveiligingsfuncties en bedrijfsresultaten op elkaar af te stemmen. Anders worden organisaties overgeleverd aan de genade van wetgevers. Dit kan financieel zijn of, in sommige gevallen, zelfs leiden tot een gevangenisstraf. Het volgende niveau van cyberweerbaarheid vereist een duidelijk beveiligingsframework, een verhoging van het cyberbewustzijn van werknemers en meetbare resultaten die zijn afgestemd op de bedrijfsdoelstellingen.
James Tucker, Head of Field CISO, International bij Zscaler