Home Security Moeten leidinggevenden nog steeds overtuigd worden van het belang van cybersecurity?

Moeten leidinggevenden nog steeds overtuigd worden van het belang van cybersecurity?

Barracuda Networks -
31

Cyberaanvallen waarbij prominente doelwitten en grote aantallen betrokken zijn, halen regelmatig het nieuws. Wie herinnert zich niet de ransomware-aanval op Hof van Twente in december 2020, dat uiteindelijk resulteerde in een schade van 4,2 miljoen euro? Maar hoewel de berichtgeving over dergelijke incidenten wel helpt om het bewustzijn te vergroten over de schade die cyberaanvallen kunnen veroorzaken, kan het ook voor een vals gevoel van zekerheid zorgen bij kleinere of minder bekende bedrijven, die vaak niet denken dat iemand er tijd of geld in zou steken om juist hen aan te vallen.

Iets meer dan een derde (35%) van de IT-securityprofessionals bij kleine bedrijven die zijn ondervraagd voor een recent internationaal onderzoek, is bezorgd dat hun senior managers cyberaanvallen niet als een belangrijk risico zien. En die zorgen zijn terecht. IT-securityprofessionals weten als geen ander dat ieder bedrijf getroffen kan worden door cybercriminelen. Het maakt dan niet uit of de aanval opzettelijk en doelgericht is, een massale ‘spray and pray’ aanval of gewoon pure pech. Je moet op alles voorbereid zijn, waar een aanval ook vandaan komt.

De spearphishing e-mails die bijvoorbeeld voorafgingen aan de 2018 Olympic Destroyer aanval op de Olympische Winterspelen van Pyeongchang (Zuid Korea), troffen verschillende bedrijven waarvan de domeinnamen leken op die van de daadwerkelijke doelwitten. Daaronder een houtbedrijf in Slowakije en een makelaarskantoor in Duitsland.

Het gesprek aangaan over cybersecurty

Onlangs schreef ik een handleiding waarin ik uitleg hoe je met leidinggevenden en managers het gesprek over cybersecurity kan aangaan. Daarin deel ik mijn gedachten over de belangrijkste gesprekken die elke CISO met collega’s zou moeten voeren, idealiter op regelmatige basis. Maar nu wil ik even stapje terug doen en praten over waarom deze mensen hen überhaupt tijd zou moeten vrijmaken om daarnaar te luisteren.

Cyberbeveiliging is een zakelijke kwestie

Organisaties willen niet falen. Ze willen succesvol zijn, groeien en uitbreiden. Die groei vereist een solide financiële basis, met robuuste middelen, investeringen en het vertrouwen van investeerders. Een securitylek verstoort dit alles.

Het aanpakken en hertellen van een cyberincident kan veel geld kosten. Uit het internationale onderzoek blijkt bijvoorbeeld dat de gemiddelde jaarlijkse kosten voor organisaties ten gevolge van cybersecurityincidenten ongeveer 4,8 miljoen euro bedragen. Daarbij gaat het om 2,7 miljoen euro voor diefstal van IT-middelen, schade aan de infrastructuur, onderzoek en herstel van het incident en nog eens 2,1 miljoen euro voor de kosten van downtime en het resulterende productiviteitsverlies en de operationele verstoring.

En dat is niet alles. Volgens de Harvard Business Review zien beursgenoteerde bedrijven een gemiddelde daling van 7,5 procent in beurswaarde na een datalek en duurt het ongeveer 46 dagen voordat die beurswaarde weer het niveau van voor het incident bereikt, als dat al gebeurt. Daarnaast stijgen in het jaar na een incident de kosten voor audits, leningen en verzekeringspremies, terwijl de bedrijfsresultaten met ongeveer 9 procent afnemen. Verder zijn er waarschijnlijk boetes voor het niet voldoen aan service level agreements of regelgevende richtlijnen, om nog maar te zwijgen van de reputatieschade en wantrouwen bij klanten.

Securityprofessionals moeten in staat zijn om uit te leggen hoe deze financiële en organisatorische risico’s kunnen worden beperkt door te begrijpen wat de cyberrisico’s zijn en deze aan te pakken.

 

Zakelijke prioriteit Potentiële impact van een cyberincident
Groeistrategie: roadmap voor producten en diensten, nieuwe initiatieven Een cyberaanval met diefstal of publicatie van intellectueel eigendom tot gevolg
Veerkracht van het bedrijf: continuïteit en betrouwbaarheid van de business Een DDoS-aanval (Distributed Denial of Service) die de commerciële activiteiten verstoort

Disruptie van de bedrijfactiviteiten

Financiële status: inkomsten, reserves, cashflow

 

De kosten voor het reageren op en herstellen van een incident

Boetes voor overtredingen

Reputatie en vertrouwen van klanten Diefstal van PII (persoonlijk identificeerbare informatie), waardoor het klantvertrouwen en -loyaliteit worden aantast

Negatieve PR

Je maakt je niet snel zorgen om zaken die je niet begrijpt

Een kwart van de ondervraagde securityprofessionals geeft toe dat hun management niet op de hoogte wordt gehouden van de dreigingen waar de organisatie mee te maken heeft. Securityprofessionals moeten daarom beter worden in het uitleggen van de dreigingen waarmee bedrijven vandaag al mee te maken hebben en waarmee ze morgen waarschijnlijk zullen worden geconfronteerd.

Als dat niet gebeurt, bestaat het risico dat een bedrijf meerdere malen het slachtoffer wordt van cyberaanvallen, vooral als de onderliggende oorzaak van eerdere incidenten niet volledig is aangepakt. Uit onderzoek onder IT-securityprofessionals in de Benelux bleek bijvoorbeeld dat ruim de helft (55%) van de ondervraagde organisaties in 2022 twee of meer keren het slachtoffer was van een ransomware-aanval.

Security is niet een eenmalige taak

Het overtuigen van het management om zich te bezig te houden met cyberrisico’s en veerkracht is geen eenmalige taak. Cyberbedreigingen ontwikkelen zich continu, net als de bijbehorende risico’s en gevolgen. De meeste respondenten van het Cyber Resilience-rapport gaven aan dat aanvallen het afgelopen jaar geavanceerder (62%) en ernstiger (55%) waren geworden en dat het langer duurde om ervan te herstellen.

Tegelijkertijd kampen veel organisaties met een tekort aan professionele cybersecurity skills, worstelen ze met het steeds complexere landschap van securitytools, moeten ze prioriteiten stellen bij de toewijzing van middelen en moeten ze een incident response plan ontwikkelen en voortdurend bijwerken.

Conclusie

Zakelijke leiders moeten gaan inzien dat cybersecurity hun bedrijf zal helpen om overeind te blijven in een wereld waarin cyberincidenten steeds vaker voorkomen en onvoorspelbaar en potentieel destructief zijn. Als ze begrijpen waarom security belangrijk voor ze is,  zullen ze ook beter begrijpen wat er moet gebeuren.

Het goede nieuws is dat de meesten dit inmiddels snappen. Ze begrijpen waarom cybersecurity belangrijk is, maar staan ook voor moeilijke keuzes als het gaat om het prioriteren van budget en middelen. Er moeten afwegingen worden gemaakt, bijvoorbeeld tussen het tempo van productontwikkeling en securitychecks en -integratie.

Cyberweerbaarheid is net zo afhankelijk van mensen als van technologie. Een op security gerichte bedrijfscultuur heeft leiders nodig die achter hun securityexperts staan en die de risico’s en mogelijke oplossingen begrijpen. Een betrokken en risico-bewust management is een van de krachtigste middelen om ervoor te zorgen dat securitybeleid, programma’s en investeringen slagen.

Riaz Lakhani, CISO bij Barracuda Networks Inc.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in