Het gezamenlijk belang van cyber security is helder. Een onderneming wil de bedrijfsvoering op gang houden; de AIVD houdt met cyber security de poort dicht voor aanvallers die de Nederlandse samenleving in de war schoppen.
Zowel de BV Nederland als de AIVD hebben het daar steeds drukker mee. Aan de ene kant zijn er criminelen die uit eigenbelang computerhuisvredebreuk plegen. Maar denk zeker ook aan buitenlandse mogendheden. Het is de nationale dimensie aan de publicatie van het NBV. Dat is het nationaal bureau voor verbindingsbeveiliging.
Cybercriminelen zijn echt niet alleen op zoek naar geld. Is jouw onderneming in het bezit van technologie, onderscheidende kennis of vitale infrastructuur? Dan verdient cyber security de volle aandacht van iedereen, op ieder niveau.
Denk in risico's
We nemen even aan dat in de bestuurskamer de kennis inmiddels is doorgedrongen. Maar hoe zit het met bewustwording bij andere bedrijfsonderdelen? Het is de leidende gedachte van het eerste principe Risicodenken.
Beleid maken rond cyber security betekent niet dat de hele onderneming onder een verlammende deken van beveiligingsmaatregelen hoeft te liggen.
Misschien voorkom je zo een aanval, maar ondertussen help je je omzet om zeep, vanwege een rigide policy. En op de werkvloer zelf wordt het op die manier ook niet leuker. Doeltreffende cyber security is daarom niet one size fits all. Het is maatwerk.
Niet overal een hek voor
Het NBV adviseert daarom een afgewogen inschatting van de risico’s te maken. Kroonjuwelen gaan achter slot en grendel; op andere plekken volstaat een acceptabel restrisico.
Om in de beeldspraak te blijven: dat risico inschatten doe je door een schatkaart te maken. Voordat aanvallers dat doen. Hoe zien de kroonjuwelen eruit? En hoe loopt de route?
De antwoorden op deze vragen, is het huiswerk voor de organisatie. Je kunt gevoelige kennis en middelen pas beschermen, als je als organisatie ook weet wélke gegevens dat zijn. Identificeer ze daarom voor de hele organisatie en behandel ze als zodanig.
Cyber security voordat het te laat is
Het tweede principe van het NBV heet Assume Breach en voorkomt achteraf gepraat. Het geeft antwoord op de vraag ‘wat als?’
Stel: een cyberaanval slaagt, welke plannen liggen er klaar om de gevolgen te beperken? In paniek rondrennen helpt niet, de impact en de tijdsduur verkorten wel.
Welke collega kun je dag en nacht bellen, als het eenmaal raak is? Wie stuurt die persoon aan? En omdat geen onderneming alles in eigen beheer houdt: welke externe partijen moeten worden opgelijnd? Waar gaan zij mee aan de slag?
In een dergelijke situatie is een back-up een waardevolle procesversneller. Moet je noodgedwongen weer op nul beginnen, dan begin je met het inzetten van zo’n back-up.
Het voor de hand liggende actiepunt is dan ook dat een back-up er dan moet zijn. En het liefst zo actueel mogelijk.
Cyber Security begint bij overzicht en controle.
Cyber Security. Je raakt er niet over uitgelezen. Maar met lezen alleen, blijft jouw bedrijfsnetwerk doelwit voor hackers, phishing en ransomware.
Blijf werken aan jouw cyber security
Het derde principe is simpel, helder en misschien nog het moeilijkst: het continu verbeteren van je cyber security. Inmiddels hebben overheidsdiensten het over twee soorten samenlevingen: de fysieke en de digitale.
De digitale faciliteert de fysieke en maakt het werk en het dagelijkse leven prettiger en gemakkelijker. Op voorwaarde dat je kwaadwillenden buiten de deur houdt.
De digitale samenleving wordt steeds groter en daarom onoverzichtelijker. En dus kwetsbaarder. Kwaadwillende voeren meer aanvallen uit en zij veranderen doorlopend van aanpak.
De aanpak in 5 bullets
- Gebruik beveiliging van leveranciers met een goede reputatie
- Besteed aandacht aan vakkundige configuratie
- Onderhoud de software en hardware doorlopend
- Zorg dat de taken zijn ingebed in de organisatie
- Uitgevoerd door goed getrainde IT’ers met de juiste instelling, die andere collega’s doorlopend wijzen op de noodzaak voor cyber security.
