Onyx Cybersecurity adviseert bedrijven risico-inventarisatie te maken

Magazines | Driesteden Business nr6 2022

Cybercriminaliteit groeit aanhoudend, maar nog niet elke ondernemer onderkent de risico’s. Trouwens, welke stappen moet je zetten om die tegen een reëel kostenplaatje af te dekken? “Met de juiste begeleiding kunnen bedrijven zelf al veel doen op het gebied van informatiebeveiliging", zegt Caroline Buve, eigenaar van Onyx Cybersecurity. “Laat het management daar wel vanaf het begin het hele team bij betrekken.”
 

Bij grote organisaties vormt de dreiging van cybercriminaliteit een continu punt van aandacht, binnen het mkb staat het nog niet overal hoog op de prioriteitenlijst. “Ondernemers vragen zich af aan welke risico’s hun bedrijf nu werkelijk blootgesteld wordt", zegt Maaike Oost, manager operations & sales bij Onyx Cybersecurity. “Ze onderschatten het soms en denken dat andere organisaties een aantrekkelijker doelwit vormen dan zij. Een enkeling beschouwt verhalen die erover in de media verschijnen misschien wel als oplichterij of geldklopperij. Bij een bepaalde groep mkb’ers leeft zeker het besef dat zij iets zouden moeten doen, alleen weten ze niet precies wat. Dan bestaat juist weer de kans dat zij onevenredig veel tijd en geld investeren in een oplossing en daarmee voorbijgaan aan betere alternatieven. Cybercriminaliteit neemt ondertussen voortdurend in omvang toe en bestaat volgens de politie inmiddels uit 25 procent van de aangiftes, terwijl lang niet alle organisaties die eraan ten prooi vallen daar melding van maken. Ondernemers willen vooruit en denken dat de afwikkeling van zo’n aanval te lang gaat duren. Ze besluiten maar gewoon het losgeld aan de hacker te betalen om de geïnstalleerde ransomware te laten verwijderen.”
 
Risico-inventarisatie
 
Feitelijk loeren de risico’s voor iedere organisatie om de hoek, wat om preventieve maatregelen vraagt. Onyx Cybersecurity splitst dit op in drie disciplines: systemen, processen en menselijk gedrag. “Per discipline hebben wij specialisten in huis, die voor de opdrachtgever met elkaar samenwerken,” geeft Caroline Buve aan. “Als eerste stap kunnen wij een bedrijf helpen met het maken van een risico-inventarisatie. Dat begint met een brainstormsessie, waarbij niet alleen het management aanschuift, maar ook vertegenwoordigers van de verschillende afdelingen. Iemand van personeelszaken, marketing, operationele zaken, financiën enzovoort. Je kunt namelijk alleen stappen zetten wanneer je het gehele team erbij betrekt en wanneer iedereen zich probleemeigenaar voelt. Tegelijkertijd staat of valt alles met de mate waarin het bestuur de aanpak van cybersecurity draagt. Als het management het nut er niet van in ziet, krijg je het niet van de grond. Het draait om bewustwording en de noodzaak ervan inzien. Om die reden organiseren wij tweemaal per jaar voor onze relaties een ‘Hacktalk’: een kosteloos toegankelijke bijeenkomst waarin de ethische hackers uit ons team interessante onderwerpen behandelen, zoals ransomware.”
 
Verhelderend
 
Volgens Maaike Oost werkt zo’n brainstormsessie verhelderend. “Samen met het management leggen de vertegenwoordigers van de afdelingen op tafel in welke hoeken volgens hen de bedreigingen zitten. Van welke gedachte krijg je ’s nachts buikpijn? Dat het bedrijf lang stilligt? Boze klanten? Een faillissement? Vaak kennen de afdelingen de onderlinge risico’s niet of niet voldoende of bestaat er bij de directie een vertekend beeld, bijvoorbeeld wanneer collega’s om het systeem heen werken bij knelpunten en buiten de beveiligde omgeving treden. Het brainstormen opent de ogen. Aan de hand van de inventarisatie brengen we samen met het team de - meestal vijf - grootste risico’s in kaart. Deze worden bepaald door te kijken naar de kans dat het gebeurt, maar ook door te kijken naar de impact van een risico. Dit vormt het uitgangspunt voor het opstellen van een plan met maatregelen en een tijdspad waarin je die gaat nemen. Daarbij bekijk je in hoeverre een oplossing qua inspanningen en kosten reëel haalbaar is. Het moet bij de organisatie passen, wat misschien wel betekent dat je de afweging maakt om een bepaald risico te aanvaarden.”
 
Bewustwording
 
Caroline Buve benadrukt dat, waar nodig met begeleiding vanuit Onyx Cybersecurity, bedrijven zelf aan de slag kunnen met het realiseren van oplossingen. “Denk maar aan het thema bewustwording bij medewerkers. Er zijn allerlei manieren om hen erop te attenderen niet zomaar op een link in een mail te klikken, bijvoorbeeld door posters op te hangen of een boodschap in een screensaver te verwerken. Neem daarnaast de mix van zakelijke en privécommunicatie via gemeenschappelijke devices eens kritisch onder de loep. Niet alleen e-mail, maar ook sms en WhatsApp vormen een bedreiging. Cyberaanvallen richten zich namelijk steeds meer op smartphones. Krijg je een bericht van een andere afdeling om een geldbedrag over te maken, zonder gekoppelde factuur? Verifieer even rechtstreeks bij de desbetreffende collega of dit wel klopt. Hackers kunnen immers valse berichten verspreiden via spoofing: het overnemen van mailadressen. Soms vermelden ze zelfs een telefoonnummer en wanneer je dat belt, krijg je een helpdesk aan de lijn die het verhaal bevestigt. Ook bij ransomware bestaat dikwijls de mogelijkheid om te chatten met de hacker in kwestie. Een schoolvoorbeeld van georganiseerde misdaad.”
 
Beleidsplan
 
Het aanpakken van de risico’s is meerledig. Van het uitvoeren van een kwetsbaarheidsonderzoek door een partij als Onyx Cybersecurity tot en met het uitwerken van procedures, die onder meer afspraken en gebruiksregels bevatten. Maaike Oost: “Ondersteund door onze specialisten met hun specifieke kennis stel je als team een beleidsplan op, dat je opknipt in kernachtig geformuleerde documenten per afdeling. Maatwerk, dus. Bijvoorbeeld: hoe doe je vanuit personeelszaken de screening van een nieuwe ICT’er die in dienst treedt? Je wilt immers geen potentiële hacker in huis halen die overal bij kan of iemand die zich bij onenigheid kwaadwillend toont. Wanneer je dit beleidsplan perfect uitwerkt, kan het zelfs in een ISO 27001-certificering passen en sowieso zullen je relaties het op prijs stellen als ze weten dat je zorgvuldig hun gegevens beveiligd hebt. De aanpak van cybersecurity hoeft niet per definitie enorm tijdrovend en kostbaar te zijn, als je maar wel actie onderneemt… en dat begint met bewustwording. Onderschat het gevaar niet, want elke organisatie vormt een potentieel doelwit.”
 
Meer informatie: www.onyx-cybersecurity.com
 
delen:
Algemene voorwaarden Hosted by