Het belang van cybersecurity in het bedrijfsleven groeit. Helaas is het niet meer de vraag of je als bedrijf wordt aangevallen, maar wanneer. De ontwikkelingen in wet en regelgeving en recente veiligheidsincidenten zetten cybersecurity hoger op de agenda. Hoog tijd dat bedrijven in actie komen. Maar waar moet je beginnen om je bedrijf zo weerbaar mogelijk te maken?  

Bedrijven zetten vaker en sneller nieuwe technologieen in, maar daarmee nemen ook de risico s op cybercriminaliteit en datalekken toe. Tegelijkertijd gaan hackers steeds slimmer en geavanceerder te werk. Een bijkomende factor is dat bedrijven steeds vaker de grip dreigen te verliezen op de beveiliging van hun cloudsystemen. Dankzij de cloud is informatie altijd en overal beschikbaar, maar dat maakt systemen wel extra kwetsbaar. Zo was onlangs in het nieuws te lezen dat het gebruik van Amerikaanse clouddiensten risico s met zich mee kan brengen.

Ontwikkelingen in wet en regelgeving

Dat ook de Nederlandse overheid het belang van digitale weerbaarheid erkent, blijkt uit de komst van de NIS2 richtlijn en het recente wetsvoorstel bevordering digitale weerbaarheid bedrijven, Wbdwb. Hoewel de NIS2 richtlijn niet voor alle bedrijven gaat gelden, is het verstandig om deze richtlijn te volgen. Het biedt namelijk goede handvaten voor een cybersecuritybeleid. Bovendien is de verwachting dat in de toekomst steeds meer bedrijven aan dergelijke richtlijnen moeten voldoen.

Een incident zit in een klein hoekje

De mate waarin een bedrijf digitaal weerbaar is hangt af van twee aspecten: technologie en menselijk gedrag. Je kunt de IT infrastructuur van je organisatie zo waterdicht mogelijk maken, maar als een medewerker, per ongeluk, zijn wachtwoord of andere gevoelige bedrijfsdata deelt met een kwaadwillende, dan kan dit alsnog tot een cyberincident leiden. En zelfs met alle mogelijke maatregelen blijft het risico op een incident aanwezig. Daarom is het goed om offside back ups te maken, back ups buiten je reguliere omgeving, en procedures te ontwikkelen voor als het toch misgaat, zoals in het geval van een datalek. Zo kun je eventuele schade zo veel mogelijk beperken.

Waar begin je?

Het antwoord op deze vraag is simpel: zo vroeg mogelijk, het liefst voordat een applicatie wordt gebouwd. De reden hiervoor is dat het complexer en duurder is om security later in te bouwen. Als je security bij aanvang van een ontwikkeltraject in elke sprint meeneemt, kun je de maatregelen in elke fase van een project goed testen. Neem daarbij ook de security van je cloudomgeving onder de loep. Er zitten grote verschillen tussen de beveiligingsmaatregelen van clouddienstverleners. En als je maatwerk gebruikt binnen een publieke cloud, dan moet je rekening houden met extra risico s. Tot slot is het een must om medewerkers doorlopend te trainen in bewustwording rondom cybersecurity.

Deze versturen we 3-4x per jaar.