11 februari 2022 | Blog

Gegijzelde organisaties. Datalekken. Het is dagelijks nieuws. Er wordt zelden verteld hoe het incident is gebeurd: was het een succesvolle hack of een menselijke fout? Het incident hoeft niet eens bij jou plaats te vinden om gevolgen te hebben. En het maakt ook niet uit of je alleen telefonie via internet hebt of complete netwerken. Door de groeiende interconnectiviteit – onderlinge koppelingen van apparaten, systemen en databestanden – kan een voorval elders jouw organisatie raken. Naast financiële schade ligt dan ook hele kostbare reputatieschade op de loer. Je moet dus op alles voorbereid zijn: technisch, menselijk en organisatorisch.

Preventief is er technisch veel mogelijk. Van bijvoorbeeld een Managed Firewall, anti malware- of anti virus-programma’s, en tweeweg authenticatie, tot een speciaal Wifi-netwerk voor bezoekers en het instellen van inlogbeperkingen. Daarnaast is Enterprise Mobility Management ook een must; hiermee kun je op afstand alle desktops, laptops, smartphones, etc. in het netwerk centraal beheren, configureren en beveiligen. De hoop van organisaties is vaak gevestigd op dit soort technische innovaties. Terecht. Het voorkomt veel, maar niet alles.

Bij cyberveiligheid worden medewerkers soms de ‘zwakste schakel’ genoemd, omdat er gemakkelijk onbedoeld een fout kan worden gemaakt. Dit bewustzijn groeit bij organisaties. Medewerkers wordt voorgehouden dat ze zakelijk en privé gescheiden moeten houden, niet zelf applicaties moeten downloaden, en geen usb-sticks of ‘open applicaties’ als Zoom moeten gebruiken. Het adoptieprogramma en de awareness-trainingen van Venéco sluiten hierbij aan. Om van de zwakste schakel in cyberveiligheid de stérkste schakel te maken.

Techniek en mensen kunnen niet alle risico’s afvangen, zo blijkt uit de Log4j-gebeurtenissen. Daarom moet je als organisatie bij een cyberincident direct kunnen handelen, volgens heldere protocollen, om schade tot een minimum te beperken. De Log4j-pandemie leidt bovendien tot een brede discussie over aansprakelijkheid en service. Valt het oplossen van zulke software-kwetsbaarheden onder de service van een ICT-dienstverlener? Wie is aansprakelijk als een organisatie hierdoor schade lijdt? En wie draait op voor de kosten? Daarmee worden ook het regelen van juridische aansprakelijkheid en het verzekeren van schade essentieel.

‘Venéco heeft een methode ontwikkeld om samen met de organisatie alle bovenstaande risico’s in kaart te brengen. Via een helder stappenplan wordt inzichtelijk gemaakt wat waard is om te beveiligen en welke apparaten kwetsbaar zijn om cybercriminelen toegang te verschaffen (assetmanagement). Vervolgens wordt er een beveiligingsplan ontworpen en incidentmanagement ingeregeld. Met onder andere protocollen, backup-procedures, opleidingsbeleid en crisiscommunicatie. Het resultaat is een evenwichtige en toekomstbestendige Plan Do Check Act-cyclus, waarbij risico’s steeds tot een minimum worden teruggebracht en cyberveiligheid op hoogste niveau blijft’, zegt Rob Mak.