Organisaties moeten niet meer, maar slimmer investeren om het risico op cyberaanvallen te beperken. Dit betoogt Sander Zeijlemaker, managing director van het Disem Institute. Hij promoveerde in maart op dit onderwerp aan de Radboud Universiteit. Organisaties moeten snappen dat het inrichten van cyber security een dynamisch proces is.
Organisaties die getroffen worden door cybercrime, het onderwerp is aan de orde van de dag. Miljarden euro s schade worden er jaarlijks geleden. Het is een wereld waarin de aanvaller continu zijn aanpak evolueert en innoveert, maar organisaties doen dat nog te weinig. Cyber security is een vraagstuk waarbij je vandaag een besluit neemt om morgen veilig te zijn, zegt Zeijlemaker. Bestuurders die hierin keuzes moeten maken, worden ondersteund door allerlei standaarden, raamwerken en vergelijkingen met andere organisaties. Na elk incident, bij jezelf of bij andere organisaties, worden er nieuwe maatregelen opgesteld om het in de toekomst te voorkomen. Veel organisaties baseren hun investeringen in cyber security op basis van problemen uit het verleden. Maar dat is een vrij statische aanpak. Je moet juist naar de toekomst kijken.
In zijn onderzoek, waarvoor al in 2015 de eerste piketpaaltjes werden geslagen, keek Zeijlemaker naar een aanpak gebaseerd op systeemdynamica. Op het gebied van cyber security wordt die aanpak nog nauwelijks gebruikt. Het is een aanpak waarbij je eerst alle factoren inclusief hun samenhang in kaart brengt die meespelen bij het nemen van strategische besluiten op het gebied van cyber security. Daarbij moet je denken aan de ontwikkeling van de aanvaller, het gedrag van medewerkers en de doeltreffendheid van maatregelen. Deze informatie met alle relevante data wordt gebruikt voor het maken van computergestuurde simulatiemodellen.
Er zijn volgens Zeijlemaker grote verschillen tussen organisaties in hoever zij zijn met cyber security. Sommige organisaties zijn vrij ver met het inschatten van risico s, maar ik durf wel te zeggen dat het merendeel bijna niet vooruitkijkt en de betreffende stappen neemt. Er zijn ook nog organisaties die uberhaupt nog geen goede securitystrategie hebben geimplementeerd. De gevaren liegen er niet om. Als je als MKB-organisatie getroffen wordt door een zware cyberaanval, is de kans zestig procent dat je de volgende zes maanden niet overleeft.
Verder lezen bij de bronDeze versturen we 3-4x per jaar.
BoF: Gemeenten hebben AVG basis nog steeds niet op orde | Verder lezen | |
Incidentresponsplan Ransomware | Verder lezen | |
Nederlandse datacenters en DNS providers krijgen zorg en meldplicht | Verder lezen | |
Nederlandse gemeenten sturen onbewust data naar VS | Verder lezen | |
Overheden kunnen elkaar straks waarschuwen over criminele praktijken | Verder lezen | |
Wat hebben we geleerd van cyberaanvallen op kritieke infrastructuur? | Verder lezen | |
NCTV: Risico op ontwrichting groter door scheefgroei dreiging en weerbaarheid | Verder lezen | |
Een op de vijf IT beslissers heeft weinig vertrouwen in databescherming en privacy van de cloud | Verder lezen | |
Beschermt de Autoriteit Persoonsgegevens privacy, of verstoort ze de vrije markt? | Verder lezen | |
Het is geen keuze, beveilig die digitale ramen | Verder lezen |
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap