Digital trust is het nieuwe veilig

De tijd waarin je kon volstaan met een firewall om kwaadwillenden buiten de digitale deur te houden, is voorbij. Het heeft geen zin meer zoveel mogelijk sloten op de deur te zetten, daar is de wereld te complex voor geworden. Wat kun je dan wel doen? Digital trust is de nieuwe manier van beveiligen.

Digital trust draait niet alleen om cybersecurity, maar ook om ethiek, privacy en betrouwbaarheid. Je klanten en de wetgever moeten erop kunnen vertrouwen dat je als bedrijf met al deze zaken serieus en goed omgaat. Hiermee is cybersecurity een bestuurlijke aangelegenheid geworden in plaats van een taak van de IT-afdeling. Het gaat immers om het managen van risico’s en dat is de verantwoordelijkheid van het topmanagement.

Digital trust betekent dat je niet iedereen buiten de deur probeert te houden. Er is nu eenmaal continu contact met je bedrijf, dat is inherent aan digitalisering. De vraag is hoe je het kaf van het koren scheidt. Hoe kun je tijdig reageren op onregelmatigheden? Door naast je beveiligingsmaatregelen ook te monitoren wat er gebeurt en daar adequaat op te reageren. Je analyseert dus doorlopend en realtime de risico’s. Als er iets opvalt wat afwijkt, ga je inzoomen.

People, processes & technology

Wanneer een bedrijf het slachtoffer wordt van een hack of ander incident, komt dat onherroepelijk door een onregelmatigheid op een of meer van de assen mensen, processen en technologie. Dit zijn de drie ‘ingangen’ die cybercriminelen gebruiken. Kan een medewerker ertoe worden verleid op een phishingmail te klikken? Zijn de processen niet helemaal waterdicht? Wordt er technologie gebruikt die ruimte laat voor een aanval?

Het is dus van groot belang dat je weet waar je de grootste risico’s loopt. Er zijn drie aandachtsgebieden: de corebusiness, tijdelijke activiteiten met hoog risico en nevenschade.

Corebusiness

Om te beginnen met de corebusiness: welke processen, medewerkers en technologieën zijn van essentieel belang om je bedrijfsactiviteiten te kunnen blijven doen? Bij vrijwel elk bedrijf is IT onmisbaar. Als je een fabrikant bent, zijn je productielijnen je kroonjuwelen. Die activiteiten hebben dan ook doorlopende beveiliging en monitoring nodig. We zien weleens bedrijven die meer tijd steken in het beveiligen van hun e-mailverkeer dan in het daadwerkelijke product dat ze verkopen. Met als risico dat de productie stilligt als er iets misgaat. Dat wil je natuurlijk voorkomen.

Tijdelijke risico’s

Ten tweede is het handig om je ook te buigen over tijdelijke risico’s. Doe je mee aan een aanbesteding? Is er sprake van een acquisitie? Ga je nieuwe markten betreden? Daar zijn zulke gevoelige bedrijfsgegevens mee gemoeid, dat het risico op en de schade van een databreuk groot zijn. Er moet dus tijdelijk extra inspanning worden geleverd om deze activiteiten te beveiligen.

Nevenschade

Nog een groot en onderschat risico is dat je niet het doelwit bent van een campagne, maar dat je in de slipstream schade ondervindt. Denk bijvoorbeeld aan de ransomware Wannacry, waardoor heel veel bedrijven, ziekenhuizen en zelfs een deel van Den Haag werden platgelegd. Die software richtte zich niet specifiek op deze partijen, maar zij werden er wel het slachtoffer van. Dat is een grote zorg.

Vangnet nodig

Je moet als bedrijf weerbaar genoeg zijn om zoiets op te vangen. Dat betekent: altijdweten wat er gebeurt en adequaat reageren op signaleringen. Als het misgaat,wil je zo snel mogelijk je digitale business weer kunnen opbouwen. Je hebt hiervoor een digitaal ontruimingsplan nodig dat regelmatig wordt getest.

Dat klinkt logisch,maar zo’n vangnet is nog geen gemeengoed. Voor onze jaarlijkse Digital Trust Insights Survey zijn drieduizend bedrijven wereldwijd ondervraagd. Daarvan geeft de helft aan bezig te zijn met het vergroten van hun weerbaarheid tegen cybercriminaliteit. Zij nemen bijvoorbeeld maatregelen die moeten voorkomen dat ze worden gehackt of het slachtoffer worden van bedrijfsspionage of CEO-fraude. De andere helft is hier niet mee bezig.

Technologie belangrijker dan veiligheid

Een belangrijke reden waarom digital trust niet bovenaan de agenda staat, is het feit dat de technologische ontwikkelingen razendsnel gaan. Bedrijven willen meebewegen,maar doen dat niet doordacht. De focus ligt op het zo gemakkelijk mogelijk inpassen van die technologie in producten en diensten en niet zozeer op security en privacy by design.

Uit het onderzoek blijkt bijvoorbeeld dat 81 procent gebruikmaakt van internetofthings-toepassingen. Tegelijkertijd is slechts 39 procent ervan overtuigd dat er hierbij voldoende controlemechanismen zijn ingebouwd op het gebied van data, privacy en ethiek. De toepassing van artificial intelligence (AI) laat eenzelfde beeld zien: zeventigprocent gebruikt het, 31 procent zegt dat er voldoende rekening is gehouden met digital trust. Hier is dus ruimte voor verbetering.

De oplossing voor dit probleem is het afstemmen van de bedrijfsdoelstellingen en de securitystrategie. Slechts 23 procent van de ondervraagde bedrijven is van plan hierin te investeren. Veel problemen kunnen echter worden voorkomen door je cybersecuritybeleid direct mee te nemen bij het ontwikkelen van nieuwe producten en diensten en regelmatig assessments te doen.

De bottomline van digital trust: de deur kan niet dicht,want je bent via internet verbonden met de hele wereld. Kwaadwillenden zijn goed georganiseerd en vasthoudend. Ze komen onherroepelijk een keer bij je binnen, dus zorg ervoor dat je responstijd zo laag mogelijk is. Dat betekent niet dat je alles moet zien wat er gebeurt, maar wel dat je de juiste prioriteiten stelt. Als dat lukt, ben je goed met digital trust bezig.