Fysieke en digitale virussen domineren de laatste maanden het nieuws. Uit een recent rapport van het Londense verzekeringsbedrijf Hiscox (Cyber Readiness Report 2020) over securityincidenten in Nederland en Europa blijkt dat bij Nederlandse bedrijven sinds het uitbreken van de coronacrisis 30 procent meer cyberincidenten plaatsvinden. Wil je weten hoe je jezelf kunt beschermen tegen dergelijke risico’s? In deze blog leg ik het uit.
Dat bedrijven onvoldoende aandacht schenken aan cybersecurity wordt in het rapport van Hiscox pijnlijk duidelijk. De schadepost voor cyberincidenten in Europa is namelijk verzesvoudigd ten opzichte van 2019 tot een bedrag van meer dan 1 miljard euro. In Nederland lopen de kosten voor securityincidenten uiteen van enkele tienduizenden tot honderdduizenden euro’s.
Als we kijken naar digitale virussen zien we dat veel bedrijven het lastig vinden om hun beleid te vertalen naar securitymaatregelen. Juist omdat dat zo lastig is, raken ze onzeker over hoe hiermee om te gaan. Voorkomen is in dit geval beter dan genezen: je wil namelijk niet dat jouw bedrijf geïnfecteerd raakt en het virus als pandemie door je bedrijf heen waait. Met als gevolg dat je bedrijf financiële en/of reputatieschade oploopt.
Borging en veiligheid van jouw data is dus belangrijker dan ooit. We kunnen onze ogen niet meer sluiten voor de gevaren van cybercriminaliteit. Het positieve van deze ontwikkeling is dat de bewustwording groter is geworden. Bedrijven - CFO’s, CIO's en IT Managers in het bijzonder - vragen zich af hoeveel risico zij bereid zijn om te nemen. Met als ultieme vraag: "Hoeveel is het ons waard om deze risico’s te minimaliseren?”
Bij menig IT-professional ontstaat het gevoel dat het gevecht tegen cybercriminaliteit een ongelijke strijd wordt. Het aantal ‘point solutions’ is legio. Om er een aantal te noemen: anti-virus; anti-spam; firewalls; intrusion detection & prevention systems, disaster recovery; (cloud)backup oplossingen. De keuze tussen producten is lastig en eenmaal aanwezig wisselen deze systemen geen informatie uit waardoor de IT-beheerorganisatie overspoeld wordt met meldingen, tenzij die over een Security Information and Event Management (SIEM) systeem beschikt. Security wordt steeds meer een Big Data probleem, waarbij het vinden van de speld in een hooiberg meer gaat lijken op het zoeken van die ene speld in een berg spelden.
Bron: Getty Images, maker: Ted Stewart Photography
Security gaat over risico’s in relatie tot “BIV”: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Uiteindelijk wil je als organisatie risk-based kunnen sturen op basis van de kernrisico’s van je organisatie. Om goed inzicht te verkrijgen in al die bewegende onderdelen heb je inzicht nodig in de securityvolwassenheid van de organisatie.
Niet ieder bedrijf loopt namelijk evenveel risico. En elk bedrijf kan anders kijken naar de hoe je met risico’s om wilt gaan. Men dient een balans te vinden tussen ‘risk appetite’ ("hoeveel risico’s ben ik bereid om te lopen?") en het benodigde security level, met de daarbij behorende beveiligingsmaatregelen. Wil de organisatie risico’s beperken door technische en organisatorisch maatregelen? Of wil je een verzekering afsluiten voor het geval dat het risico optreedt? Een ding is zeker, de ogen sluiten en hopen dat problemen vanzelf verdwijnen is geen optie meer.
Hoe stel jij jouw bedrijfsinformatie veilig en op de juiste manier beschikbaar? Hoe zorg je voor een goed securitybeleid, een sterke back-up en Disaster Recovery-plan? Ik ben benieuwd hoe jij hier mee omgaat en waar je tegenaan loopt. Laat dus vooral je reactie achter in de comments, ook als je vragen hebt natuurlijk!
Wil je meer weten over de securityoplossingen van Valid? Tom Staal, onze Chief Security Information Officer vertelt je graag hoe Valid de data van haar klanten veilig houdt.