Het belang van cybersecurity in het bedrijfsleven groeit door. Het is niet meer de vraag of je als bedrijf wordt aangevallen, maar wanneer. Wet- en regelgeving en veiligheidsincidenten zetten cybersecurity hoger op de agenda. Het is dan ook hoog tijd dat bedrijven in actie komen. Maar waar moet je beginnen om je bedrijf zo weerbaar mogelijk te maken?
Bedrijven zetten vaker en sneller nieuwe technologieën in, maar daar tegenover gaan hackers steeds slimmer en geavanceerder te werk. Daar komt bij dat bedrijven steeds vaker de grip dreigen te verliezen op de beveiliging van hun cloudsystemen. Dankzij de cloud is informatie altijd en overal beschikbaar en dat maakt systemen nou juist extra kwetsbaar.
Ontwikkelingen in wet- en regelgeving
Dat ook de Nederlandse overheid het belang van digitale weerbaarheid erkent, blijkt wel uit de komst van de NIS2-richtlijn . Hoewel de NIS2-richtlijn niet voor alle bedrijven gaat gelden, is het verstandig om deze richtlijn te volgen. Het biedt namelijk goede handvaten voor een cybersecuritybeleid. Bovendien is de verwachting dat in de toekomst steeds meer bedrijven aan dergelijke richtlijnen moeten voldoen.
Technologie en menselijk gedrag
De mate waarin een bedrijf digitaal weerbaar is hangt af van twee aspecten: technologie en menselijk gedrag. Al maak je de IT-infrastructuur van je organisatie nog zo waterdicht, als een medewerker per ongeluk zijn wachtwoord of andere gevoelige bedrijfsdata deelt met een kwaadwillende dan kan dit alsnog tot een cyberincident leiden. Zelfs met alle mogelijke maatregelen blijft het risico op een incident aanwezig. Daarom is het goed om procedures te ontwikkelen voor als het toch misgaat, zoals in het geval van een datalek. Zo kun je eventuele schade zo veel mogelijk beperken.
Waar begin je?
Kortgezegd, zo vroeg mogelijk. Het liefst voordat een applicatie wordt gebouwd of systeem opgetuigd. Als je security bij aanvang van een ontwikkeltraject in elke sprint meeneemt, kun je de maatregelen in elke fase van een project goed testen. Neem daarbij ook de security van je cloudomgeving onder de loep. Er zitten grote verschillen tussen de beveiligingsmaatregelen van clouddienstverleners. En als je maatwerk gebruikt binnen een publieke cloud, dan moet je rekening houden met extra risico’s.
Tot slot is het een must om medewerkers doorlopend te trainen in bewustwording rondom cybersecurity.
Risico’s classificeren
Waar je ook de beveiliging van bestaande systemen wil verbeteren, een risico-inventarisatie is het vertrekpunt. Hiervoor is het zaak om je IT-systemen en infrastructuur proactief onder de loep te nemen. Regelmatige pentests en beoordelingen onthullen kwetsbaarheden binnen systemen en netwerken.
Op basis van het risicoprofiel en de kroonjuwelen van je core-business kun je aanvalsprofielen definiëren. Hiermee leg je vervolgens aanvalspaden richting je kroonjuwelen bloot. Zorg voor een periodiek overzicht van alle risico’s die potentiële toegangspunten bieden voor kwaadwillende actoren. Beoordeel deze op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid. Dit doe je bijvoorbeeld met de inzet van het geautomatiseerde Red Teaming platform CREDS ART.
Maatregelen prioriteren
Een red team actie geeft een concreet beeld van de beveiligingsrisico’s vanuit de verschillende actoren die van toepassing zijn op uw organisatie. Op basis van de aanbevelingen kan de gewenste set aan preventieve en reactieve maatregelen worden geïmplementeerd om het gewenste beveiligingsniveau te bereiken. Als je de juiste maatregelen hebt genomen, is de volgende stap om alle maatregelen en systemen zorgvuldig te beheren. Denk hierbij aan het tijdig doorvoeren van updates en anticiperen op veiligheidswaarschuwingen, bijvoorbeeld bij verdachte inlogpogingen.
Cybersecurity moet prioriteit worden én blijven
Met de toenemende dreiging en strengere wetgeving vanuit de overheid, zou cybersecurity een topprioriteit moeten zijn voor het bedrijfsleven. Helaas zien we dat dit niet altijd het geval is en dat is zorgwekkend. Als klanten, partners en stakeholders het idee krijgen dat een bedrijf niet serieus investeert in cybersecurity dan gaat dit ten koste van het vertrouwen en leidt zo’n situatie tot verlies van zakelijke kansen. Bovengenoemde tips en adviezen kunnen helpen om hierin stappen te zetten.
Daarbij is het goed om te realiseren dat cybersecurity nooit ‘af’ is. Het is een voortdurende kat-en-muisspel, waarbij bedrijven hun beveiligingsmaatregelen testen en bijwerken en hackers als reactie daarop hun tactieken verfijnen. Het is dus hoog tijd dat organisaties cybersecurity tot hun dagelijkse prioriteit maken.