Weinig bedrijven zijn voorbereid op toekomstige cyberaanvallen. En bovendien blijken kleinere bedrijven het minst weerbaar. Het is dus belangrijk om hun cybersecurity te vergroten. Maar hoe kunnen zij dat het beste doen?
Uit Cisco’s wereldwijde onderzoek, de Cybersecurity Readiness Index, dat medio maart werd gepubliceerd, blijkt dat slechts 9% van de bedrijven in Nederland goed is voorbereid op toekomstige cyberaanvallen. Dit terwijl 77% verwacht aan te worden gevallen in de komende twee jaar. Kleinere bedrijven zijn het meest kwetsbaar. Van de onderzochte bedrijven met maximaal 250 werknemers heeft namelijk slechts 4,9% het hoogste niveau van paraatheid. Ook bevindt meer dan twee derde van hen zich op een van de twee laagste niveaus.
Hulp kleinere organisaties noodzaak
Cisco’s Cybersecurity Readiness Index, onderzocht de paraatheid op vijf verschillende gebieden. Namelijk identiteitsbeheer, apparaten, netwerken, cloud gebaseerde toepassingen en gegevens. Het zijn de laatste twee categorieën waar de mate van paraatheid qua beveiliging het laagst is. Als het gaat om de bescherming van gegevens, bevindt bijna een kwart (24%) van de bedrijven zich op het allerlaagste niveau van paraatheid. Als het gaat om cloudapplicaties, haalt slechts 28% een van de twee hoogste niveaus.
Beveiliging gaat niet alleen om gestolen wachtwoorden. Of om apparaten en netwerkinbraken. Technologie verandert. En daardoor verandert continu ook het bedreigingslandschap en moeten bedrijven zich niet voorbereiden op de tegenstanders van gisteren, maar op die van morgen.
De term cyberbeveiligingsarmoede wordt soms ook gebruikt. Dit is een situatie waarin een gebrek aan middelen, capaciteiten, ervaring en invloed betekent dat organisaties niet in staat zijn om basisbeveiliging te bieden.
Doe wat mogelijk is en doe het nu
Ook als je niet de financiële kracht hebt om grote, ingrijpende veranderingen door te voeren, zijn er altijd wel enkele maatregelen die onmiddellijk kunnen worden getroffen. Zo is het bijvoorbeeld belangrijk om nu al na te denken over wat de mogelijkheden zijn qua dataherstel naar een cyberaanval. Ook is het aan te raden om regelmatig te testen. Simuleer een aanval om werknemers te trainen. Dit zodat zij precies weten wat ze moeten doen in het geval van een echte aanval. Bovendien is dit een goede manier om eventuele zwakke punten te ontdekken voordat een cybercrimineel dit doet.
Er is daarnaast een enorme hoeveelheid gratis informatie over trends en bedreigingen. En een goed startpunt om je eigen paraatheid te testen is Cisco’s Cybersecurity weerbaarheid assessment. Volg daarnaast de markt, zoek informatie en best practices van andere bedrijven die voor soortgelijke uitdagingen staan. En kijk op de website van het Nationaal Cyber Security Centrum (NCSC) van de overheid, waar alle basismaatregelen staan omschreven.
Creëer een optimale cultuur
Het creëren van betrokkenheid en belangstelling onder werknemers voor securitymaatregelen hoeft niet veel tijd en geld te kosten. De resultaten kunnen echter van onschatbare waarde zijn, aangezien de overgrote meerderheid van de cyberaanvallen gericht is op mensen en niet op infrastructuur. Hier is het belangrijk dat de boodschap positief is, met als doel dat werknemers de eerste verdedigingslinie vormen tegen cyberdreigingen.
Bovendien moeten organisaties zorgen voor een cultuur waarbij werknemers worden aangemoedigd om zo snel mogelijk een melding te doen van een risicovolle situatie, zoals het per ongeluk geklikt hebben op een mogelijk malafide link. Zij moeten zich veilig voelen om een dergelijke melding te maken. Medewerkers moeten het gevoel hebben zich niet te hoeven schamen, of nog erger, zich genoodzaakt voelen om fouten te verdoezelen.
Zie de voordelen van kleinschaligheid
Het zijn niet alleen kleinere bedrijven die moeite hebben om de cybersecuritywedloop bij te benen. Hetzelfde geldt voor de grootste bedrijven, waar veranderingen vaak complexer zijn en langer duren, vooral omdat zij rekening moeten houden met de bestaande infrastructuur. In een kleine organisatie is het gemakkelijker om wendbaar en flexibel te zijn en buiten de gebaande paden te denken.
Het is ook eenvoudiger om de zogenoemde ‘cybersecuritycultuur’ op te bouwen, er activiteiten omheen te creëren, alle werknemers erbij te betrekken en van cybersecurity een gemeenschappelijk doel te maken. Praten over zaken als CEO-fraude krijgt meer respons wanneer werknemers dicht bij het management staan.
