Vertrouwen komt te voet en gaat te paard. Slechts een enkel cyberincident kan er al voor zorgen dat klanten en partners hun heil elders gaan zoeken. Hoe voorkom je (als ceo) cyberincidenten en waarborg je het vertrouwen dat klanten en partners hebben in jouw merk?
Er zijn weinig sporten waar onderling vertrouwen zo cruciaal is als in het zeilen. Op open water navigeren zeilers met hun boten op slechts enkele centimeters afstand van elkaar. Een kleine fout of moment van onoplettendheid kan leiden tot een chaotische situatie met mogelijk rampzalige gevolgen.
Afgelopen zomer nog moest een Nederlands schip na een aanvaring de 41e Copa del Rey Mapfre-regatta in het Spaanse Palma de Mallorca verlaten. Het vaartuig was op een onstuimige zee geramd door een concurrent die bij een windkracht van vijftien knopen iets van zijn koers was afgeweken. Met een aanzienlijke schade tot gevolg.
Zeilers moeten niet alleen kunnen vertrouwen op hun eigen bemanning, maar ook op de vaardigheden van rivaliserende zeilteams. Dit vertrouwen is uiterst kwetsbaar. Na een aanvaring kan het lang duren voordat de getroffen zeilers elkaar weer recht in de ogen kunnen kijken en het imago van het ‘schuldige’ team weer is hersteld.
Dat is in cybersecurity niet anders. Organisaties moeten niet alleen kunnen vertrouwen op de digitale beveiliging van hun eigen team, maar ook op die van hun zakelijke partners. Een klein moment van onoplettendheid kan bovendien het vertrouwen ernstig aantasten, zowel tussen medewerkers als tussen jouw organisatie en je klanten. De reputatie van je organisatie staat op het spel.
Zwakste schakel
Als ceo rust de eindverantwoordelijkheid op jou om een cyberveilige organisatie te waarborgen en zo het vertrouwen te behouden. Hoe je dat doet?
- Besteed aandacht aan de zwakste schakel
Het overgrote deel van alle cyberincidenten wordt – al dan niet opzettelijk – veroorzaakt door interne medewerkers. Die gaan aan de slag met verkeerd geconfigureerde applicaties, of klikken in een moment van onoplettendheid op een kwaadaardige link. Maar steeds vaker komt de dreiging van een partner.
Als de erp-omgeving van jouw supplychainpartner is geïntegreerd in jouw systeem, kan dit de samenwerking bevorderen, maar het introduceert ook nieuwe risico’s. Een hack bij jouw zakelijke partner kan ernstige gevolgen hebben voor jouw organisatie, bijvoorbeeld doordat hackers via de systemen van je leverancier toegang krijgen tot jouw netwerk. Of doordat jouw bedrijfsgegevens worden blootgesteld als gevolg van een hack verderop in de toeleveringsketen.
Aanbevelingen:
– Vorm een brede blik op security
Maak dat jouw team zich breed inzet voor security, met strategieën en middelen om incidenten te voorkomen, dreigingen op te sporen en erop te reageren, ongeacht hun oorsprong.
– Omarm een zero-trust-filosofie
Traditionele beveiligingsmethoden waarbij je een perimeter om de organisatie bouwt, volstaan niet meer. Ondersteun je ciso en cio bij het implementeren van een securityomgeving volgens het zero-trust-principe, volgens welke alles en iedereen verdacht is totdat het tegendeel is bewezen.
– Houd oog voor je hele zakelijke netwerk
Op security moet je niet concurreren. Werk met jouw supplychainpartners samen op het gebied van security, deel informatie en best practices en zorg ervoor dat de hele keten profiteert van elkaars inspanningen op het gebied van security. Ook de zwakke schakels in een keten.
- Neem cyberwarfare serieus
Oorlogen worden steeds vaker óók in cyber uitgevoerd. Dat zien we bijvoorbeeld sinds het begin van de oorlog in Oekraïne. Tal van organisaties werden al slachtoffer van door de staat gesponsorde cyberoorlogsaanvallen of ‘hacktivisten’ met politieke motieven.
Deze aanvallen variëren van aanvallen op telecomnetwerken met wereldwijde gevolgen tot phishingcampagnes die buiten de grenzen van oorlogsgebieden belanden. In de zomer van 2022 ontdekte Orange Polen bijvoorbeeld al phishing-aanvallen afkomstig van meer dan 26.000 afzonderlijke domeinen. Bovendien kunnen vijandige partijen desinformatie verspreiden die impact kan hebben op jouw organisatie.
Aanbevelingen:
– Identificeer de risico’s van cyberoorlogvoering
Twee cruciale factoren die het risico van cyberoorlogvoering voorspellen, zijn de aard van jouw dienstverlening en de geografische locatie van jouw bedrijfsactiviteiten.
– Verfijn je scenarioplanning
Moedig een proactieve mentaliteit aan bij jouw securityteam. Het is van essentieel belang dat zij dreigings- en risicoanalyses ontwikkelen op basis van langetermijnscenario’s. Dit houdt in dat ze niet alleen reactief handelen, maar ook proactief anticiperen op mogelijke toekomstige cyberdreigingen en hun potentiële impact op jouw organisatie.
– Investeer in inlichtingen
Zo’n proactieve aanpak is alleen haalbaar als jouw securityexperts voldoende zicht hebben op alle dreigingsontwikkelingen. Zorg ervoor dat zij toegang hebben tot voldoende informatiebronnen en middelen om up-to-date te blijven over opkomende dreigingen die worden veroorzaakt door politieke ontwikkelingen.
- Bereid je voor op een vertrouwenscrisis
Slachtoffer van een ernstig cyberincident? In steeds meer gevallen ben je dan verplicht om openheid van zaken te geven. Zo schrijft de GDPR/AVG voor dat je bij een datalek de betrokkenen informeert als het datalek ‘waarschijnlijk ongunstige gevolgen’ voor de persoonlijke levenssfeer van de betrokkenen heeft.
Helaas kan deze openheid tot aanzienlijke vertrouwensproblemen leiden. Zo zijn consumenten na het lekken van persoonsgegevens misschien minder snel bereid om belangrijke klantinformatie met jou te delen. Zakelijke partners kijken wellicht of concurrenten hun zaakjes beter op orde hebben. Het duurt lang voordat dit vertrouwen weer is hersteld.
Aanbevelingen:
– Versterk de beveiliging van je belangrijkste assets
Het is essentieel om met de ciso en cio de voornaamste risicofactoren te identificeren en te evalueren en de nodige middelen en bevoegdheden te verschaffen om deze risico’s te minimaliseren.
– Haal cybersecurity uit de it-afdeling
Incidenten ontstaan vaak door onopzettelijke fouten. Cybersecurity is dan ook een verantwoordelijkheid van de hele organisatie, en niet louter van de it-afdeling. Het gevoel van urgentie moet binnen alle afdelingen en in de boardroom aanwezig zijn.
– Maak van crisismanagement een topprioriteit
Het is cruciaal dat de gehele organisatie weet hoe te handelen wanneer er iets misgaat. Goed crisismanagement omvat mensen, processen en governance, wat de impact van incidenten aanzienlijk kan minimaliseren.
Flank
Wil je als organisatie de wind in de zeilen houden? Dan is vertrouwen cruciaal. Met deze aanbevelingen in het achterhoofd minimaliseer je de kans dat bijvoorbeeld een businesspartner uit koers raakt en je vol in de flank raakt.
