Ik heb een vraag! neem contact op
Ondernemingen investeren de laatste jaren miljarden in technologie die digitale risico’s moet beperken. Gartner stelt dat de investeringen op dit gebied tussen 2017 en 2022 zullen groeien met 8,5%, tot 170 miljard dollar.[i]
Wie digitale risico’s beheersbaar wil maken, heeft daarbij vanzelfsprekend hoogwaardige technologie nodig. Maar daarnaast spelen de eigen medewerkers een sleutelrol. Die factor wordt nogal eens over het hoofd gezien, weten we bij Grant Thornton.
Het International Business Report (IBR) van Grant Thornton bevestigt dit. Ondernemers in het middensegment geven aan dat ze te veel vertrouwen op software bij het beperken van cyber risico’s en privacy risico’s.
Dat ondernemers dit zelf onderkennen, is een positieve ontwikkeling. Een goede volgende stap is om bij de eigen medewerkers de kennis en vaardigheden op het gebied van cyber security te verbeteren.
Dat vereist geen grote extra investeringen. Integendeel, in veel gevallen kunnen ondernemingen hun technologie-uitgaven juist verminderen door te investeren in het ondernemerschap van medewerkers en in hun kennis en vaardigheden, en door interne processen te stroomlijnen.
Vishal Chawla is Global Head of Cyber security bij Grant Thornton. “Het is belangrijk dat ondernemingen inzien dat investeren in technologie niet de enige manier is om digitale risico’s te beperken”, zegt hij. “Als er iets misgaat, zal technologie je niet beschermen tegen het verlies van vertrouwen bij klanten. Belangrijk is dat ondernemingen weten wat voor onderneming ze zijn en ook weten welke waarde ze toevoegen voor klanten.”
Dat is essentieel. Als een onderneming dat weet, kan het zich ook een duidelijk beeld vormen van de impact die een vertrouwensbreuk heeft op de relatie met klanten. Vervolgens kan men doelgericht bepalen wat er moet gebeuren om de eventuele schade te beperken en om het vertrouwen te herwinnen. Belangrijke ingrediënten zijn daarbij: interne governance, processen en mensen.
Een voorbeeld om duidelijk te maken hoe dat werkt. Neem een casino. Bezoekers van casino’s hebben doorgaans een hoog inkomen. Ze vinden de veiligheid van hun financiële gegevens - zoals hun transactiegeschiedenis en betaalinformatie – zeer belangrijk. Een casino kan dan wel de beste technologie hebben, maar dat is niet voldoende.
De onderneming moet ook beschikken over stevige governance procedures, over goede klantrelatiemanagers en over maatregelen die vertrouwen inboezemen. Tezamen met de technologie kunnen die elementen de reputatie van de onderneming beschermen als er iets misgaat.
In dit voorbeeld draait de waarde die het casino zijn klanten biedt om service, vertrouwen en amusement. Technologie is maar een hulpmiddel. De aanpak van digitale risico’s moet dit weerspiegelen. Met betrouwbare procedures die ondersteund worden door de beste technologie.
Menselijke fouten zijn in veel gevallen de oorzaak van cybercriminaliteit. Als ondernemingen begrijpen dat voor het verbeteren van hun cyber security meer nodig is dan alleen goede technologie, is dat een goed begin. Ondernemingen moeten vervolgens bepaalde niet-technologische maatregelen nemen om hun cyberveiligheid te verbeteren. Het zijn doorgaans de eigen medewerkers die verkeerd reageren op ‘phishing’-e-mails. Het zijn ook vaak de eigen medewerkers die onveilige software installeren.
Ondernemingen kunnen een grote stap voorwaarts zetten door binnen de eigen organisatie een groter bewustzijn te kweken over de risico’s van onveilig gedrag. De vraag is: hoe doe je dat op een effectieve manier? Ondernemingen organiseren immers al jaren trainingen en webinars over dit thema. Toch blijven menselijke fouten steeds opnieuw cyber-aanvallen veroorzaken. Wellicht is het tijd voor een nieuwe aanpak.
Christos Makedonas is Technology risk leader bij Grant Thornton Cyprus. Hij denkt dat korte trainingen het meest effectief zijn. Makedonas: “Medewerkers hebben geen tijd om naar een trainingsvideo van een uur te kijken. Houd het kort”, zegt hij. “Zorg voor video’s van maximaal twee minuten, niet meer. Zorg daarnaast voor visuele reminders, zoals posters op kantoor en korte berichten op het beeldscherm. Help medewerkers op die manier onthouden wat veilig en wat onveilig gedrag is.”
“Ondernemingen kunnen ook phishing-aanvallen simuleren. De medewerkers die verkeerd reageren, kunnen daarna extra trainingen krijgen. Het is mijn ervaring dat dit soort programma’s veel effectiever is dan lange webinars.”
Ondernemingen moeten hun eigen kwetsbaarheid kennen. Ze moeten weten welke cyber-risico’s zij lopen en waar de zwakke plekken zitten in hun databeveiliging. Zodra ze dat weten, kunnen ze gericht investeren in preventieve software. Om de zwakke plekken in de eigen cyber security te kunnen opsporen, zijn speciale vaardigheden nodig die helaas bij veel ondernemingen ontbreken.
Mike Harris is partner Cyber security services bij Grant Thornton Ierland. “Ondernemingen hebben speciale vaardigheden nodig op het gebied cyber security en privacy om hun data in kaart te kunnen brengen en om te weten wat de wet van ze verlangt, ook in een cloudomgeving”, zegt hij. “Stel dat je de clouddiensten gebruikt van Amazon of Azure dan moet je binnen je onderneming de kennis hebben om te weten wat deze organisaties wel en niet voor je doen op het gebied van cyber security. Die kennis ontbreekt helaas maar al te vaak.”
Veel ondernemingen investeren op dit moment in geavanceerde analytische software om de eigen cyber security te verbeteren. Het komt helaas veel voor dat men geen medewerkers heeft die weten hoe ze met de geavanceerde software moeten omgaan. De kennis om de resultaten te interpreteren ontbreekt. En ook weten medewerkers vaak niet wat ze met de eventuele resultaten van de analyses moeten doen.
“Veel mensen zien technologie als een soort wondermiddel, maar dat is het niet”, zegt James Arthur, partner en Head of Cyber consulting bij Grant Thornton. “Talloze ondernemingen geven veel geld uit aan geavanceerde analytische beveiligingssoftware, ook van het type dat door kunstmatige intelligentie wordt aangestuurd. Dat kan inderdaad nuttig zijn, maar je moet wel de medewerkers hebben die daarmee kunnen omgaan. Zij moeten veel trainingen volgen, wil je als onderneming van de voordelen kunnen profiteren. Daarna heb je ook nog iemand nodig die de resultaten kan lezen en weet wat daarmee moet gebeuren.”
Voormalig FBI-directeur Robert Mueller deed in 2012 een uitspraak die nog steeds relevant is. Mueller: “Er zijn twee soorten ondernemingen : ondernemingen die al gehackt zijn en ondernemingen die nog gehackt gaan worden. Maar zelfs dat gaat eigenlijk over één categorie: zij die gehackt zijn en zij die nogmaals gehackt gaan worden.” Zijn boodschap is duidelijk: gehackt worden, is vandaag de dag haast onvermijdelijk. Met dat in het achterhoofd is het goed om te investeren in een verzekering als extra middel om digitale risico’s te beperken.
Mike Harris, partner Cyber security services bij Grant Thornton Ierland is hier heel duidelijk over. “Elk degelijk cyberbeveiligingsprogramma moet een element van detectie, van reactie en van verzekering hebben”, zegt hij. “Cyberaanvallen zullen plaatsvinden. Dat is haast niet te voorkomen. Steeds meer ondernemingen nemen daarom een verzekering die dekking biedt tegen cyberaanvallen en gegevensinbreuken. Toch zien we ook nog steeds ondernemingen die zo’n verzekering niet hebben en daardoor extra kwetsbaar zijn.”
Ondernemingen moeten een programma hebben om hun gegevens door middel van een categorisatie- en classificatieproces te evalueren en te begrijpen. Vervolgens kunnen ze hun ‘kroonjuwelen’ – hun belangrijkste data - identificeren en investeren in de juiste verzekeringsdekking.
De vraag is: hoe pak je dat aan? Een manier om de belangrijkste gegevens te identificeren, is door als een hacker te denken en te bedenken wat de maximale schade is die een hacker kan aanrichten. “Digitale risico’s veranderen continu door nieuwe bedreigingen en nieuwe kwetsbaarheden”, zegt Vishal Chawla, Global Head of Cyber security bij Grant Thornton. “Ondernemers moeten zich verplaatsen in cybercriminelen en vaststellen waar hun eigen kwetsbaarheid zit. Vervolgens kan men proactief strategieën bedenken om die kwetsbaarheid te verminderen.”
Ondernemingen die nadenken over hun cyber security kunnen zich allerlei vragen stellen. Welke e-mailhistories kan een oud-medewerker lekken en naar buiten brengen om voormalige managers in verlegenheid te brengen? Welk intellectueel eigendom en welke handelsgeheimen zijn interessant voor vreemde mogendheden? En hoe zou een cybercrimineel bedrijfsgegevens kunnen gebruiken om de onderneming te chanteren? Het zijn enkele van de vragen die ondernemingen zich kunnen stellen voordat zij een verzekering nemen die helpt om de gevolgen van inbreuken op de cyber-veiligheid te beperken.
Houd bij de onderstaande tips goed rekening met uw specifieke bedrijfssituatie en het digitale risicoprofiel van uw onderneming.
De eerste stap die ondernemingen moeten nemen, is het in kaart brengen van de eigen digitale kwetsbaarheden en bedreigingen. Pas daarna kunnen de juiste maatregelen, technologieën, trainingen en verzekeringsdekkingen worden geïmplementeerd.
[i] gartner.com - Forecast for Information Security Worldwide, 2016-2022 - 25 July 2018
Het aantal ondernemingen dat digitale gegevens van klanten inzet om effectiever te ondernemen, groeit in gestaag tempo. De keerzijde is dat digitale gegevens een aantrekkelijk doelwit vormen voor cyber criminelen. Daardoor ontstaan voor ondernemingen nieuwe risico’s en combinaties van risico’s die tot voor kort niet bestonden.
Uit ons International Business Report (IBR) blijkt dat ondernemers zich richten op het beperken van privacyrisico's. Dat is geen verrassing, gezien de aandacht die er is voor de beperking van privacyrisico's van (persoons)gegevens. Echter, de kans op cyberdreigingen blijft toenemen.
Maar waar begint u? Download ons rapport 'Defining digital risk' met onze bevindingen en aanbevelingen voor het versterken van uw digitale risicobeheersing.
