Organisaties die innoveren kijken veelal naar de business mogelijkheden die een digitale transformatie biedt. Dat is in de kern logisch, maar het kan ertoe leiden dat andere essentiële gebieden onvoldoende gedekt worden. Dat is volgens Douwe van der Meer van organisatieadviesbureau Voogt Pijl & Partners vaak het geval met cybersecurity. Te vaak worden dagelijkse cyberdreigingen onderschat, wat grote risico’s met zich meebrengt voor de online dienstverlening. Van der Meer bespreekt een serie maatregelen die bedrijven kunnen nemen tegen cyberdreigingen.
Veel van onze interacties vinden online plaats, het overgrote merendeel zelfs. Dat gaat van een simpel appje sturen tot mobiel bankieren. Ook contacten met de overheid verlopen steeds meer via online portalen. Dat weten criminelen natuurlijk ook en vooral in de laatste jaren geven ze blijk van toenemende expertise op het vlak van online criminaliteit. Ze organiseren DDOS-aanvallen, zijn zeer actief in phishing of installeren ransomware bij bedrijven en consumenten. De cyberaanvallen worden steeds geavanceerder, waarmee steeds meer schade kan worden aangericht bij bedrijven en de publieke sector. 100% bescherming tegen cybercriminaliteit is onmogelijk, maar veel gevallen vinden plaats omdat organisaties cyberrisico’s onvoldoende aandacht geven.
Deuren staan wagenwijd open
“Cyberdreigingen lijken voor veel organisaties nog een ver-van-mijn-bed probleem, ondanks de vele incidenten in de afgelopen jaren. Deze manier van denken is niet verstandig”, stelt Van der Meer, consultant bij Voogt Pijl & Partners en gespecialiseerd in digitale transformaties. Van der Meer wijst naar de grote hoeveelheid deuren en ramen die organisaties open laten, vaak zonder dat ze het zelf weten. “Het succes van hackers is vooral het gevolg van tekortkomingen in populaire soft- en hardware, maar ook van onbekendheid met cyberrisico’s en slordigheden in het menselijk handelen.”
Wanneer de term ‘beveiliging’ valt, wordt dat historisch gezien gekoppeld aan bewakers, toegangspoortjes en gespreide opslag van gevoelige documenten. Van der Meer: “Toegang tot informatie en bedrijfssystemen was daarmee beperkt en gesegmenteerd. Met het automatiseren van werkzaamheden is brede digitale toegang tot informatie vanzelfsprekend en is thuiswerken heel normaal. In de huidige coronacrisis zijn we daar blij mee. Maar ‘open systemen’ vragen ook meer controles, om bijvoorbeeld te voorkomen dat buitenstaanders toegang krijgen tot gevoelige informatie en systemen.”
Veel ontwikkelingen – die stuk voor stuk vallen onder de noemer digitale transformatie – brengen inherent extra online risico’s met zich mee. In de vorm van PSD2 worden sommige ontwikkelingen zelfs door de wet gestuurd. Mensen en organisaties wisselen ondertussen dagelijks giga-hoeveelheden data met elkaar uit. Probeer dan maar eens nauwgezet iedere uitgaande of binnenkomende interactie te controleren op onbekende bijlagen en linkjes, op fouten in software of andere onvolkomenheden. Binnen het menselijke domein is sprake van soa’s, maar in de digitale wereld is inmiddels de term ‘doa’ ontstaan: digitaal overdraagbare aandoening.
“De virtuele wereld kent inmiddels de doa: digitaal overdraagbare aandoening.”
Net als bij mensen kunnen deze overdraagbare aandoeningen een destructief effect hebben op de systemen van bedrijven of consumenten. Naast fouten in software en foutief menselijk handelen – bijvoorbeeld door wél dat ene bestandje te openen of op een link te klikken – is er volgens Van der Meer echter ook een prioriteringsprobleem. “De prioriteiten liggen vaak meer bij commerciële activiteiten dan bij security. Door de toenemende cybercriminaliteit is de digitale beveiliging van organisaties daarmee permanent in gevaar.”
Vijftien noodzakelijke maatregelen
Zeggen dát het beter kan of anders moet is één. Zeggen hóe dat kan is echter nog altijd twee. Voogt Pijl & Partners heeft daarom een lijst van vijftien noodzakelijke maatregelen opgesteld die bedrijven moeten nemen tijdens digitale transformaties. Die vijftien maatregelen zijn door het adviesbureau samengevat in een overzichtelijke figuur.
Alle bovengenoemde maatregelen zouden volgens Van der Meer al onderdeel moeten zijn van een verantwoorde bedrijfsvoering. In de praktijk blijkt echter dat ze nog onvoldoende prioriteit krijgen. Dat komt omdat veel risico-inschattingen zijn afgestemd op momenten dat een bedrijf bijvoorbeeld nog in een andere fase van zijn digitale transformatie zat en dus ook andere factoren een rol speelden. De maatregelen zijn gegroepeerd in vier overkoepelende thema’s, corresponderend met vier verschillende kleuren. Dit zijn achtereenvolgens alertheid, preventie, detectie en herstelvermogen. Een volledige opsomming met specifieke voorbeelden is terug te vinden op de website van Voogt Pijl & Partners.
Het naleven van vijftien van zulke maatregelen zal bij geen enkel bedrijf van de ene op de andere dag gebeuren. Dat is een ontwikkelingstraject dat simpelweg tijd nodig heeft. Het vereist ook een nieuwe manier van denken en meer bewustwording van cyberrisico’s.Bedrijven moeten ook andere prioriteiten gaan stellen bij de verdeling van hun budgetten, omdat ze anders een steeds groter risico lopen het slachtoffer te worden van cybercriminaliteit. Dat kost niet alleen veel geld maar ook zorgt het voor reputatieschade, wat uiteindelijk weer extra geld kost. Feitelijk vereist het een nieuwe manier van denken bij managers. “Zie het daarom vooral als een security-verzekering, als cruciale randvoorwaarde voor een verdere digitale transformatie van elke organisatie.”