Omgaan met de risico’s van cyber security

Algemeen wordt aangenomen dat je risico’s moet durven nemen om succesvol te zijn.

Welke risico’s je beslist te nemen, wordt bepaald door je inzicht in de gegevens die je ter beschikking hebt.

De mogelijke positieve uitkomsten afwegen tegen wat er fout zou kunnen lopen en het nemen van dergelijke beslissingen, noemt men risicobeheer.

Bij cyber security is dat niet anders.

Doeltreffend risicobeheer op vlak van cyberbeveiliging betekent inzicht hebben in de mogelijke risico’s die je bedrijf loopt.

Door je proactief voor te bereiden op het nemen van moeilijke beslissingen – zoals welke investeringen prioriteit krijgen om de meest schadelijke zaken tot een minimum te beperken – kan je je onderneming beschermen.

Zelfs de grootste organisaties met aanzienlijke beveiligingsbudgetten moeten zorgvuldig afwegen waar ze hun middelen voor inzetten.

De basisbestanddelen voor een doeltreffend beheer van cyberrisico’s zijn:

• Je bedrijf kennen en weten wat essentieel is voor je bedrijfsvoering.
• Begrijpen welke cyberbedreigingen een impact kunnen hebben op je onderneming en op welke manier een aanval hoogstwaarschijnlijk zou gebeuren.
• Beveiligingscontroles en -maatregelen voorbereiden waarmee je de risico’s zo efficiënt mogelijk kunt beperken.

Houd vanaf het begin rekening met cyberbeveiliging

In de meeste gevallen is het duurder en complexer om in een later stadium beveiligingsimplementaties toe te voegen aan bestaande technologie of bedrijfsprocessen.

Door van in het begin rekening te houden met beveiliging kan je cyberrisico’s bijna vanzelf beter beheren, met lagere of geen kosten. Dit betekent dat je kostbare middelen vrijmaakt die je elders kunt gebruiken.

Een goed voorbeeld is het selecteren van een nieuwe cloud-dienst voor je bedrijf.

Als je ervoor zorgt dat je cloud over tweestapsverificatie beschikt, kan je deze vanaf het begin inschakelen. Idealiter integreer je die ook onmiddellijk met het Identity and Access Management-platform van je bedrijf. Zo kan je er zeker van zijn dat de gegevens binnen de cloud en de manier waarop je werknemers er toegang toe hebben, vanaf het begin goed beschermd zijn.

Ook bij het beheren van toegang tot bedrijfskritische gegevens of systemen is het veel eenvoudiger om rechten van in het begin te geven dan ze te ontnemen.

Pas het concept van “minimale bevoegdheden” toe bij het uitrollen van een nieuwe dienst. Hierbij krijgen werknemers alleen toegang tot de gegevens en systemen die ze nodig hebben om hun werk te doen. Zo bouw je een scheiding in die het potentiële aanvallers veel moeilijker maakt.

Neem bij het implementeren van een nieuwe technologie of een nieuw proces de tijd om na te denken over hoe je dit het veiligst kan doen. Concentreer je daarbij bovendien op de zaken waar je de beveiliging kunt verbeteren zonder de kosten te verhogen of het gebruiksgemak te verminderen.

Daar waar je mogelijks meer moet gaan uitgeven of een extra beveiligingsstap moet toevoegen, kan je de voorgaande richtlijnen rond risicobeheer toepassen om te beslissen of dit het waard is of niet.

Cyberbeveiligingsrisico’s en de gevolgen ervan begrijpen

Ieder bedrijf beschikt over unieke componenten die hen differentiëren. Vaak zijn dit bedrijfsservices of technologieën, gegevens of belangrijke processen, maar het kan ook materiële eigendom zijn, zoals kantoorruimtes of gespecialiseerde machines.

Als je bedrijf zijn diensten niet kan aanbieden of geen betalingen kan ontvangen, dan heeft dit een grote impact op de inkomsten. Meer nog, dit kan zelfs de levensvatbaarheid van het bedrijf in gevaar brengen.

De meeste bedrijven hebben een duidelijk beeld van wat ze doen en hoe ze dat doen. De meerderheid heeft echter niet uitgewerkt hoe hun werking bedreigd of verstoord kan worden.

Als je cyberrisico’s begrijpt en hoe je ze kan beheren, moet je jezelf ook afvragen wat er zou kunnen gebeuren als gevolg van een cyberaanval. Wat zouden de financiële en praktische gevolgen zijn als één van je bedrijfskritische middelen wordt gestolen of niet beschikbaar is? En wat met je reputatie?

Een nuttige oefening voor zowel grote als kleine organisaties kan zijn om de belangrijkste mensen bij elkaar te brengen. Nodig hen uit om in groep de relevante cyberbeveiligingsscenario’s en hun mogelijke gevolgen te bespreken, inclusief de ernstigste maar meest plausibele scenario’s.

Op deze manier hou je rekening met veel verschillende invalshoeken waardoor de kans verkleint dat je iets belangrijks over het hoofd ziet. Door je te richten op wat het belangrijkst is, versterk je je keuzes op vlak van risicobeheer.

Weet wat je hebt

Er is een gezegde in de cyberbeveiligingsindustrie dat als volgt gaat: “Je moet weten wat je hebt vooraleer je weet wat je moet beschermen”.

Moderne organisaties hebben veel ‘activa’, of dat nu gegevens, IT-systemen of software-diensten zijn, het kan een hele opgave zijn om te achterhalen wat echt belangrijk is voor de bedrijfsvoering.

De meest betrouwbare manier om dit te achterhalen is door het opstellen van een inventaris, ook wel activa-register genoemd. Hierin verzamel je alle verschillende soorten activa op één plek. Er zijn speciale tools voor activa-registers beschikbaar, maar ook een spreadsheet is een goede optie.

Je kan een activa-register gebruiken om afhankelijkheden tussen verschillende bedrijfscomponenten te identificeren – bijvoorbeeld belangrijke klantgegevens in een specifieke database, opgeslagen op een bepaalde server – alsook wat het meest essentieel is voor de werking van je organisatie.

Het doet dienst als ‘enige bron van waarheid’ en is van onschatbare waarde voor risicobeheer. Het helpt je vlot uit te zoeken waar je je meest betrouwbare beveiligingscontroles nodig hebt. Daarnaast fungeert het ook als een belangrijk referentiepunt wanneer zich een cyberincident voordoet.

De bedreigingen voor je bedrijf begrijpen

In onze blog over bedreigingen geven we uitleg over de vaakst voorkomende cyberbedreigingen voor de meeste organisaties. Met behulp van deze en andere bronnen kan je nagaan welke specifieke bedreigingen voor jouw onderneming het meest relevant zijn.

Voor bijna alle organisaties bestaat de primaire dreiging uit cybercriminelen die veelgebruikte technieken zoals phishing, malware en kwetsbaarheden in software gebruiken om geld en gegevens te stelen, om je af te persen, of alles tegelijkertijd.

In de afgelopen jaren zijn ransomware-aanvallen gemakkelijk uitgegroeid tot de meest voorkomende cyberdreiging wereldwijd. Cyberaanvallen kunnen zowel zeer gericht als volledig willekeurig zijn. Het is het veiligst om op beide voorbereid te zijn.

Met Safeonweb biedt de Belgische overheid een hulpmiddel om phishing sneller en makkelijker te herkennen zodat je je bedrijf kan beschermen tegen ongewenste cyberaanvallen.

Belangrijke vragen die je moet stellen over bedreigingen voor je bedrijf zijn:

• Wat doet of heeft je bedrijf dat gemakkelijk te gelde kan worden gemaakt door een cybercrimineel? Met andere woorden:
  • Bezit je organisatie gevoelige gegevens die kunnen worden verkocht?
  • Doet je onderneming financiële transacties of betalingen die uitgebuit kunnen worden?
  • Biedt je bedrijf diensten aan andere organisaties die men kan verstoren?
• Wat zou een cybercrimineel van buitenaf kunnen afleiden over onze organisatie? Dit kan te maken hebben met:
  • Hoe je reclame maakt voor je diensten.
  • Wat je werknemers zeggen op LinkedIn of andere sociale media-apps.
  • In welke sector je actief bent.
• Waar is je bedrijf het meest kwetsbaar?
  • Heb je een grote online voetafdruk?
  • Zijn je bedrijfssystemen verbonden met het internet?

Al deze dingen hebben een kans om gevonden en uitgebuit te worden door cybercriminelen.

Als je eenmaal hebt vastgesteld wat je meest waarschijnlijke bedreigingsscenario’s zijn, kan je je hierop baseren om je risicomanagement-aanpak uit te bouwen. Daarenboven kan dit je ook helpen om op een duidelijkere manier te communiceren met de mensen in je organisatie.

Geef werknemers bijvoorbeeld voorbeelden uit de praktijk:

• ACTIVA: “Ons meest waardevolle bedrijfsmiddel is onze CRM-database.”

• PROBLEEM: “Deze zijn regelmatig het doelwit van ransomware-criminelen die phishing-technieken gebruiken om een bedrijf binnen te komen, gegevens te stelen en slachtoffers af te persen.”

• GEVOLGEN: “Als ons dit zou overkomen, zouden we snel het vertrouwen van onze klanten kunnen verliezen en te maken krijgen met ernstige juridische en financiële gevolgen.”

Dit is een veel krachtigere manier om mensen mee te krijgen dan wanneer je in algemene termen over cyberveiligheid praat.

Welke onderdelen hebben extra bescherming nodig

Verreweg het meest doeltreffende wat een organisatie kan doen, is algemene cyberbeveiligingsmaatregelen treffen, zoals tweestapsverificatie, antivirus of anti-malware, regelmatige software-updates en veiligheidstraining voor medewerkers.

Maar hoe kan dit verder worden aangevuld voor die kritieke onderdelen van je bedrijf die in je risicomanagementdiscussies zijn geïdentificeerd?

Ten eerste moet je onderzoeken of er mogelijkheden zijn om de beveiliging te verbeteren zonder een nieuwe tool te introduceren of veel meer geld uit te geven. Veel technologiediensten kunnen worden geconfigureerd zodat ze minder meegaand zijn – dat wil vaak zeggen meer toegangscontroles – of zodat ze ongebruikelijke activiteiten loggen of waarschuwen.

Afhankelijk van de technologie kan dit eenvoudig zelf te configureren zijn. Soms moet je echter contact opnemen met de leverancier voor ondersteuning.

Beveiligingsmonitoring kan duur en tijdrovend zijn. Je focussen op één of slechts een handvol systemen is daarom veel eenvoudiger. Als je een persoon of team hebt, verantwoordelijk voor IT, dan zijn zij waarschijnlijk het beste in staat om dit te doen.

Heb je het gevoel dat je een specifieke beveiligingstool moet kopen, maar niet de expertise binnen de organisatie hebt om te adviseren welke tool of hoe deze te implementeren, dan kan je externe ondersteuning inhuren om te helpen.

Er zijn zoveel verschillende tools beschikbaar en er hangt zoveel hype omheen dat een objectieve en ervaren cyberbeveiligingsdeskundige een goeie keuze is. Op deze manier zorg je ervoor dat je alleen koopt wat je echt nodig hebt, er het maximale uit haalt en in staat bent om de tool op de lange termijn te ondersteunen en te gebruiken.

Derden en beveiliging van de supply chain

Toeleveringsketens vormen een belangrijk cyberrisico voor de meeste organisaties. Vooral wanneer essentiële diensten zijn uitbesteed of gevoelige gegevens worden gedeeld.

Het komt ook steeds vaker voor dat cybercriminelen die keten gebruiken om hun echte doelwit te bereiken.

Er bestaat geen wondermiddel voor de beveiliging van je supply chain en het is bovendien heel moeilijk om echt te weten of een leverancier voldoende beveiligd is of niet.

Het kiezen van de juiste leveranciers kan je veiligheid daarom aanzienlijk vergroten. Zeker als je vertrouwt op grotere bedrijven die veel hebben geïnvesteerd in cyberbeveiliging en dit ondersteunen met erkende branche-certificeringen. 

Samengevat zijn er vier belangrijke dingen die je kunt doen om risico’s te beheren:

• Begrijp de specifieke risico’s die gelinkt zijn aan samenwerken met een leverancier, en de mogelijke impact van een incident op je bedrijfsactiviteiten. Streef naar de hoogste normen op vlak van leveranciers en werk samen met derden die als een verlengstuk van je eigen bedrijf aanvoelen.
• Bekijk contractuele verplichtingen zorgvuldig. Is de leverancier bijvoorbeeld verplicht om je op de hoogte te brengen van een incident? Hoe snel moeten ze dat doen?
• Zoek naar branche-certificeringen zoals Cyber Essentials, ISO27001 of SOC2, die aangeven dat een leverancier beveiliging ernstig neemt en een onafhankelijke beoordeling van hun controles heeft ondergaan.
• Zorg ervoor dat je een actieve rol speelt bij de opstart van een nieuwe leverancier. Dit kan zijn door het configureren van software met behulp van de best practice guide van de leverancier, het inschakelen van tweestapsverificatie en het goed beheren van de toegang van je eigen medewerkers.

Slotopmerkingen

Risicobeheer bij cyber security gaat over:

• Je bedrijf kennen en weten wat essentieel is voor je bedrijfsvoering.
• Begrijpen welke cyberbedreigingen een impact kunnen hebben op je onderneming en op welke manier een aanval hoogstwaarschijnlijk zou gebeuren.
• Beveiligingscontroles en -maatregelen voorbereiden waarmee je de risico’s zo efficiënt mogelijk kunt beperken. Dit doe je het best door in een vroeg stadium rekening te houden met beveiliging.

Met een risicomanagementplan kan je zelfverzekerd omgaan met cyberbeveiligingsrisico’s in je bedrijf, voordat ze zich voordoen.