BLOG – Ondernemers hoor je vaak klagen over de niet-aflatende stroom aan regels die ze moeten naleven en leiden tot extra administratie en kosten. Zijn regels als GDPR, NIS2 en Dora een last of een lust? Ze hebben wel degelijk nut, vooral als je ze niet ziet als een ‘moetje’, maar als een kans om – eindelijk – de cybersecurity-huishouding op orde te zetten.
Organisaties gaan op verschillende manieren om met nieuwe regelgeving. De makkelijkste optie is om te proberen voldoen aan de minimale vereisten. Deze optie voorkomt alvast dat je boetes krijgt wegens niet-naleving. Tegelijk is het een gemiste kans, en bovendien creëert deze aanpak een vals gevoel van zekerheid.
Olympisch
Helaas zijn boetes de enige dreiging die je afdekt wanneer je als organisatie kiest voor het ‘olympisch minimum’. De echte cyberbedreigingen gaan daarmee namelijk niet weg. Kijk naar een dreiging als een datalek. Die kan verwoestend zijn voor bedrijven. Datalekken leiden tot financiële verliezen, reputatieschade en juridische aansprakelijkheid. Bedrijven die prioriteit geven aan compliance boven echte beveiliging lopen een grotere kans om de volgende gevolgen te ondervinden:
- Een verhoogd risico op datalekken;
- Reputatieschade en verlies van vertrouwen van klanten;
- Financiële sancties;
- Moeilijkheden bij het afsluiten van een cyberverzekering.
Twee concrete, maar anonieme voorbeelden. Zo voldeed een grote financiële instelling weliswaar aan de regelgeving voor databeveiliging, maar vervolgens werd de bank toch gehackt. Cybercriminelen vonden een kwetsbaarheid die de bank niet had aangepakt, en klantgegevens belandden op straat. De bank kreeg een fikse boete. Datzelfde gebeurde met een Britse organisatie in de gezondheidszorg. Hoewel ze alle vinkjes in de checklist hadden geplaatst om te voldoen aan de Health Insurance Portability and Accountability Act werden ze toch getroffen door een ransomware-aanval en konden patiëntengegevens gestolen worden.
Beide organisaties dachten dat ze hun zaakjes geregeld hadden, maar dat viel dus tegen. Bedrijven doen er beter aan een proactieve aanpak te kiezen, eerder dan een reactieve. Een proactief cybersecurity-beleid biedt namelijk tal van voordelen. Niet alleen loop je beduidend minder risico doordat je veel beter inzicht krijgt in de gevaren die je loopt, je bespaart ook kosten doordat je aanvallen voorkomt en geen dure hersteloperaties behoeft uit te voeren. Klanten geven de voorkeur aan bedrijven die hun security goed op orde hebben. Zo kan een goede cybersecurity-aanpak zelfs een commercieel voordeel vormen ten opzichte van de concurrentie.
Voorbereid
Organisaties die op alles voorbereid willen zijn, moeten zichzelf vier vragen stellen:
- In welke mate zijn de werknemers zich bewust van de concrete gevaren? Door regelmatige security awareness-trainingen te organiseren, blijft veilig gedrag top of mind bij gebruikers. In het ideale geval zijn bewustwordingscampagnes ook gebaseerd op de data die uit een eigen risico-assessment komen.
- Hoe vaak worden assessments uitgevoerd, en wordt met de resultaten ervan ook rekening gehouden bij het bepalen van de security-strategie? Een continue monitoring van alle endpoints binnen een organisatie legt de zwakke plekken in een bedrijf bloot en helpt die oplossen.
- Worden best practices toegepast? Security-specialisten die toegang hebben tot de modernste tools en gebruikmaken van de methodologieën die hun kracht bewezen hebben, verlagen de risico’s. Het invoeren van zero-trust is tegenwoordig pure noodzaak, net als de inzet van artificiële intelligentie voor snelle en automatische remediëring.
- Kan de organisatie een aanval overleven? Het volstaat niet een plan op te stellen, het moet ook uitgetest worden. Op basis van realtime-data over alle endpoints is een bedrijf continu op de hoogte van eventuele kwetsbaarheden. Een incident response-plan hebben is één ding, ervoor zorgen dat het up-to-date blijft is een heel andere zaak.
Stok
De stappen hierboven beschreven, kan je ook realiseren zonder een regelgevende stok achter de deur. Toch zijn Europese en andere richtlijnen belangrijk. Ze creëren een gelijk speelveld voor iedereen. Regelgeving handhaaft in onze gehele economie een minimale standaard van beveiliging. Een goede security-aanpak is niet alleen goed voor het bedrijf die ze toepast, maar ook voor alle andere organisaties waar het bedrijf mee samenwerkt. Een hack bij één bedrijf kan makkelijk tot besmetting leiden in een volledig ecosysteem. Richtlijnen als NIS2 of Dora geven duidelijkheid aan de markt: dit zijn de basisvereisten waaraan moet worden voldaan. Organisaties behoeven dus niet alles zelf te bedenken, de minima zijn al voor hen vastgelegd.
Cybersecurity is een gedeelde verantwoordelijkheid. Om Vondel te parafraseren: ‘Cybersecurity is een schouwtoneel. Ieder speelt zijn rol en krijgt zijn deel.’ Zowel organisaties als individuen spelen een rol in het realiseren van een veilige digitale omgeving voor iedereen. En met security-richtlijnen leggen de overheden de lat hoog genoeg om voor een minimale veiligheid te zorgen.
Wytze Rijkmans is regional vice president bij Tanium