Cybersecurity krijgt vaak een hogere prioriteit in de financiële wereld of in de gezondheidszorg – waar regelmatig vertrouwelijke informatie wordt verwerkt – maar eigenlijk hebben nagenoeg alle bedrijven baat bij passende beveiligingspraktijken. Sommige daarvan kunnen uniek zijn in functie van het type en de grootte van de onderneming. In ieder geval moet elke beveiligingsstrategie gebouwd zijn op drie zaken: de naleving van de industrienormen, het updaten van technologieën en het opleiden van medewerkers. Dit zijn de drie standaardingrediënten, maar in het ideale geval gaat elke organisatie verder dan deze maatregelen en hanteert ze een proactieve aanpak.

Volg de industrienormen

Experts uit diverse sectoren werken hard aan de uitwerking en de regelmatige update van de normen/referentiekaders op het vlak van cybersecurity, zoals ISO27001 of NIST. In de meeste gevallen worden deze normen niet door de wet opgelegd, maar ze vormen wel een uitstekend uitgangspunt voor het opzetten van een doeltreffende cyberverdediging. Met de nieuwe NIS2-richtlijn evolueert de Europese Unie langzaam maar zeker naar onafhankelijke certificeringsmechanismes op het gebied van cybersecurity.

Ook belangrijk om weten is dat wanneer de industriestandaarden niet worden nageleefd dit gevolgen kan hebben voor de aansprakelijkheid van een bedrijf in geval van een gegevenslek, zelfs al is er geen wettelijke verplichting. Aan de keuze van de norm die een bedrijf precies zal volgen, moet een denkoefening voorafgaan en vaak speelt de sector een rol. Er bestaat echter heel wat literatuur die organisaties kan helpen bij deze beslissing en bij de manier waarop de gekozen norm nageleefd kan worden.

Bij IRISnet hebben we geopteerd voor ISO27001.

De auditprocedure om een officiële certificering te behalen, is vaak duur en tijdrovend. Veel bedrijven zien om die reden af van de implementatie van de normen op het vlak van veiligheid. Nochtans is certificering geen noodzakelijke voorwaarde om de normen toe te passen. Van zodra de richtlijnen worden toegepast, zelfs gedeeltelijk, is dat al een grote verbetering ten opzichte van improvisatie wanneer het op de beveiliging van uw IT-infrastructuur aankomt.

Identificeer dus uw ‘kroonjuwelen’, schat de risico’s in en neem de acties die nodig zijn om de risico’s tot een minimum te herleiden.

Update uw technologie

Kwetsbaarheden zijn onvermijdelijk in de technologie. Met tientallen miljoenen regels code in één enkel besturingssysteem is het maken van een 100% waterdicht systeem een onmogelijke opgave.

Het neemt niet weg dat u deze kwetsbaarheid kan verkleinen door uw systemen en software regelmatig te updaten. Hoewel met updates vaak nieuwe functies worden toegevoegd of bugs worden opgelost, dienen ze toch vooral om beveiligingsproblemen te corrigeren. En ook al kan een Windows-update in het midden van een werkdag u even van uw werk houden, toch is het belangrijk dat u er niet mee wacht. Hetzelfde geldt voor de programma’s die u gebruikt, en zeker voor antimalwaresoftware.

Controleer of bepaalde oude systemen die al heel lang niet meer werden bijgewerkt niet enorme hoeveelheden gevoelige gegevens verwerken. Niet langer ondersteunde, verouderde systemen vormen een ernstige bedreiging, want ze ontvangen geen beveiligingsupdates meer en mogelijk zijn ze niet compatibel met de moderne beveiligingstechnologieën. Het is begrijpelijk dat bedrijven hun systemen zo lang mogelijk willen blijven gebruiken zonder dure optimalisaties en migraties, maar deze upgrades zijn onvermijdelijk. Stel ze dus niet uit. In het andere geval kan het verlies wel eens hoger oplopen dan de kost voor de vervanging van het oude systeem.

Hou rekening met de menselijke factor

Het menselijke aspect is de belangrijkste component van cybersecurity, maar tegelijk is het de component die het vaakst over het hoofd wordt gezien. ‘Cyber’ in cybersecurity doet vermoeden dat het om een probleem en een oplossing gaat die uitsluitend van technologische aard is, maar geen enkele versleuteling of antivirussoftware kan een systeem beschermen tegen medewerkers die het, al dan niet bewust, niet zo nauw nemen met de veiligheidsprocedures.

Uit gegevens blijkt dat in 2021 in 86 procent van de organisaties een medewerker te maken kreeg met een poging tot phishing. Daarbij zetten cybercriminelen social engineering in om gevoelige informatie te ontfutselen. Logingegevens voor werkapplicaties of financiële diensten zijn dan populaire doelwitten. Helaas slagen de oplichters vaak in hun opzet en worden hun aanvallen steeds vernuftiger. Enkel door uw medewerkers te leren hoe ze deze vorm van internetfraude kunnen herkennen en hoe ze erop kunnen reageren, kunt u zich zo goed mogelijk indekken tegen deze vorm van cyberdreiging.

Tijd investeren in het opzetten van passende veiligheidsprocedures en in het bewustmaken van de medewerkers kan ook een positieve impact hebben. Zeker nu werken op afstand ingeburgerd is geraakt. Uit onderzoek blijkt dat de helft van het personeel al eens op ongepaste wijze toegang heeft gekregen tot bedrijfsinformatie op hun persoonlijke computer, terwijl de beveiliging van deze laatste hoogstwaarschijnlijk niet op het niveau zit van hun werkcomputer. Multifactorauthenticatie en het regelmatig wijzigen van wachtwoorden zijn twee andere eenvoudige – en efficiënte – manieren om de beveiliging te verbeteren.

Tot slot is het essentieel dat bedrijven er niet van uitgaan dat gegevensinbreuken onmogelijk zijn omdat ze passende voorzorgsmaatregelen hebben genomen. Helaas gaan veel organisaties laks om met cyberbeveiliging als ze eenmaal aan de industrienormen voldoen, maar deze passieve houding is mede verantwoordelijk voor het feit dat het gemiddeld 287 dagen duurt voordat een datalek wordt ontdekt. Met proactieve methodes zoals de monitoring van gegevensinbreuken, de monitoring van gestolen identificatiegegevens en het opvolgen van mogelijke cyberdreigingen kan een organisatie haar verdedigingsmogelijkheden aanzienlijk verbeteren. Wanneer ook nog eens een actieplan wordt uitgewerkt waarin deze methodes worden geïntegreerd, zal het inperken van de gevolgen van een aanval of van een inbreuk veel gestroomlijnder verlopen. Ook een met een goed geplande back-upstrategie kunt u nadelige gevolgen vermijden. Waak er dus over dat kopieën van uw gegevens worden bewaard en gebruik een sterke 3-2-1-back-upstrategie. De 3-2-1-back-upregel is een veelgebruikte back-upstrategie waarmee u het aantal back-ups dat u bewaart verhoogt en de locaties waar ze worden opgeslagen diversifieert. De regel stelt dat u ten minste drie kopieën van uw gegevens moet hebben, waarbij twee van de back-ups worden opgeslagen op twee verschillende media, en ten minste één back-up op een andere locatie of in de cloud wordt bewaard.

Cybersecurity is grenzeloos complex, maar door een aantal basisprincipes consequent toe te passen, kunt u het risico op een datalek aanzienlijk verkleinen door de belangrijkste indringingsroutes van cybercriminelen af te sluiten. Het naleven van de industrienormen, het updaten van systemen en het goed opleiden van werknemers zijn doeltreffende methoden om cyberaanvallen af te slaan.

Neem nooit een passieve houding aan ten opzichte van beveiliging en ga er niet van uit dat u onkwetsbaar bent. Naarmate cybersecurity beter wordt, worden ook de tools die cybercriminelen gebruiken beter. Het is dan ook een must dat uw bedrijf mogelijke inbreuken identificeert en erop reageert met passende monitoringoplossingen en actieplannen.