BT en KPMG waarschuwen bedrijven tegen cyberveiligheidsdreigingen

Na recente grote wereldwijde ransomware-aanvallen zoals WannaCry en Petya, hebben BT en KMPG vandaag een nieuw cyberbeveiligingsrapport gepubliceerd met praktische tips voor bedrijven over hoe ze hun beveiliging het beste kunnen inrichten en omzetten in een zakelijke kans.

In het nieuwe rapport, “Cyberveiligheid – van ontkenning tot mogelijkheid”, worden bedrijven gewaarschuwd voor gevaarlijke valkuilen tijdens het complexe beveiligingsproces van een digitale onderneming. Deze omvatten de ‘ontkennings- en zorgenfase’ aan het ene uiteinde van het spectrum en ‘misplaatst vertrouwen’ en ‘harde lessen’ aan het andere uiteinde.

Hoewel het rapport benadrukt dat investeringen in technologie, zoals firewalls en antivirusbescherming, essentiële aspecten van cyberbeveiliging zijn, dienen bedrijven te voorkomen dat ze in een paniekreactie geld over de balk smijten voor IT-beveiligingsproducten. Dit geldt vooral voor bedrijven die van de ontkennings- naar de zorgenfase zijn gegaan, waarin investeren in de nieuwste technologie een wondermiddel lijkt te zijn. Deze veelvoorkomende fout kan bedrijven aantrekkelijk maken voor cybercriminelen, maar ook voor overactieve IT-verkopers.

Bedrijven moeten eerst hun huidige controlemiddelen beoordelen op basis van best practices, zoals de richtlijnen van het Britse National Cyber Security Centre (NCSC), om gaten in de beveiliging te ontdekken en essentiële gebieden te identificeren waarin geïnvesteerd moet worden. Verder moet iedereen binnen de organisatie, inclusief de raad van bestuur, verantwoordelijkheid nemen voor hoge standaarden van ‘cyberhygiëne’, terwijl bedrijven moeten investeren in training en bewustzijn creëren onder het personeel. Dit kan medewerkers in het zwakste punt in een veiligheidsketen omtoveren tot de belangrijkste verdedigingslinie in het gevecht om gegevens te beschermen.

Mark Hughes, CEO, BT Security, zei: “De wereldwijde omvang van de recente ransomware-aanvallen laat de snelheid zien waarmee zelfs de simpelste aanvallen zich over de hele wereld kunnen verspreiden. Veel organisaties hadden deze aanvallen kunnen vermijden door betere cyberhygiëne toe te passen en de basisdingen goed te doen. Deze wereldwijde incidenten wijzen ons erop dat alle bedrijven – van de kleinste handelaar tot het mkb en grote internationale ondernemingen – de beveiliging van hun IT-infrastructuur, hun medewerkers en processen, beter moeten managen. Dit rapport beoogt bedrijven te helpen bij het beveiligen van hun digitale onderneming.”

David Ferbrache, Technical Director van KPMG’s cyberbeveiligingsteam, zei: “De recente cyberaanvallen zorgen ervoor dat cyberrisico’s bovenaan de bedrijfsagenda staan, en er wordt dan ook in geïnvesteerd. Bedrijven moeten haastige beslissingen vermijden, omdat cyberbeveiliging een proces is – er bestaat geen universele oplossing, en de basisdingen, zoals patching en back-ups, zijn belangrijk. Het is belangrijk om een veiligheidscultuur te creëren, bewustzijn te creëren onder het personeel, en te onthouden dat beveiliging bedrijven niet moet belemmeren.”

Cyberdreigingen evolueren en bedrijven staan tegenover genadeloze criminelen. De oplossing ligt niet in technologische wondermiddelen boordevol jargon, maar in oplossingen waarbij de gemeenschap betrokken wordt, in een wereld waarin bedrijfsgrenzen vervagen. Nu criminelen steeds creatiever worden in het identificeren van de zwakste schakel, moeten de CISO’s van de toekomst zich bezighouden met digitale risico’s, het bedrijf helpen kansen te grijpen en cyberweerstand opbouwen.

Hoewel cyberveiligheidsproblemen steeds vaker ter sprake komen in de raad van bestuur, stelt het rapport dat die discussies te zeldzaam zijn en gezien worden als een apart probleem dat losstaat van het bredere operationele risico. Te vaak is het zo dat cyberveiligheid geen onderdeel uitmaakt van de algemene bedrijfsstrategie.

Het rapport stelt ook dat een te complexe IT-architectuur gaten in de beveiliging kan vergroten. Dit is met name het geval indien de gebruikte technologie te complex in gebruik is of indien er een gebrek aan integratie is.

Om deze risico’s aan te pakken en echt leiderschap te tonen in cyberbeveiliging, roept het rapport bedrijven op om zich te richten op ‘good governance’-processen, de juiste integratie van technologieën en om te overwegen enkele minder cruciale aspecten van hun beveiliging te outsourcen aan betrouwbare partners. Dit, gecombineerd met het delen van informatie, best practices en geleerde lessen in een netwerk van gelijkgestemden en daarbuiten, zorgt ervoor dat het bedrijf anders gaat denken over cyberveiligheid. Het is niet een risico dat de raad van bestuur tweemaal per jaar even moet bespreken, maar een zakelijke kans, en het helpt digitale transformatie mogelijk te maken.

Het rapport kan hier gedownload worden.