Of je nu een kmo bent met 10 of 250 werknemers, er is altijd te weinig budget voor cybersecurity. Daarom is het essentieel om goed te bepalen wat je met elke euro doet. Waar starten? Allereerst door meer budget te vragen, want op cybersecurity mag je niet besparen.
De kans is groot dat vandaag cybersecurity binnen je een bedrijf stiefmoederlijk wordt behandeld. IT-verantwoordelijken of IT-teams moeten smeken om budget, maar lopen vaak tegen een muur aan. Opmerkingen zoals ‘security brengt niets op, ik investeer liever in iets anders’ of ‘we worden toch niet gehackt, we hebben geen belangrijke data’ horen we iets vaker in anekdotes dan we zouden willen.
Voordat we overlopen wat er belangrijk is om in te investeren, loont het de moeite om toch een extra inspanning te doen als IT-verantwoordelijke bij het management. Een platte nee krijgen op je relaas rond cybergevaren gebeurt vandaag nog te vaak. Je kan je daarom beter voorbereiden en analytisch te werk gaan. Emoties in feiten vertalen, schetsen in Visio maken, alles helpt om gestructureerd je pleidooi te houden. Pas dan is de kans groot dat de lamp gaat branden en (extra) budget mogelijk is.
Wie geen budget krijgt voor cybersecurity, moet aan de slag met onderstaande tips. Heb je een beetje budget en wil je daar het maximale uit halen? Dan moet je eerst starten bij de basis.
Audit
Allereerst is het belangrijk voor elk bedrijf om te weten waar de security-problemen zitten. Je moet alles in kaart brengen van de cloud tot de opslagdatabase, welke switch en hoeveel endpoints: alles moet op papier staan. Pas dan kan je op zoek gaan naar struikelblokken. “Veel bedrijven onderschatten het nut van een audit”, zegt Christophe Verhaeghe, security specialist bij EASI. “Bij zo’n audit hoort ook een roadmap waarmee de IT-verantwoordelijke perfect weet wat er allemaal moet gebeuren. Alles wordt toegankelijk gepresenteerd zodat het voor iedereen duidelijk is.”
Hij benadrukt dat zo’n audit eigenlijk het eerste is waarin een bedrijf moet investeren. Volgens hem heb je voor 15.000 tot 20.000 euro al een heel mooie audit die als blauwdruk kan dienen voor alle securityplannen.
Wie geen audit inplant, dreigt lukraak cybersecurity-investeringen te doen zonder algemeen overzicht. Endpointsecurity dekt één deel af binnen je bedrijf, maar is dat daarom de prioriteit? Zijn er andere zaken die voorrang moeten krijgen? Een audit is je plattegrond, zonder loop je rond als een kip zonder kop.
Business Continuity Plan (BCP)
Een tweede prioriteit is het maken van een Business Continuity Plan, kortweg BCP. We wensen geen enkel bedrijf een hackeraanval toe, maar je moet wel een plan klaar hebben wanneer het noodlot toeslaat. “Wie zo’n BCP heeft, maakt zich weinig zorgen om een aanval of ramp en start vanaf pagina één wanneer er iets gebeurt”, zegt Verhaeghe. “In zo’n plan staan alle puzzelstukjes uitgelegd en het biedt je een handvat op vlak van governance en zaken als GDPR.”.
Hij haalt een typisch voorbeeld aan van zaken die in zo’n BCP worden opgenomen. “Stel dat je twee serverruimtes hebt binnen je bedrijf op twee verschillende locaties. Je denkt dat alles daarmee in orde is, het éne systeem staat klaar om alles op te vangen wanneer het andere faalt. Stel dat er in serverruimte A brand uitbreekt en die vernietigd ook de internetlijn naar serverruimte B, wat doe je dan?”
Wie zo’n BCP heeft, maakt zich weinig zorgen om een aanval of ramp en start vanaf pagina één wanneer er iets gebeurt
Christophe Verhaeghe, security specialist bij EASI
Op vlak van cybersecurity hebben bedrijven met een BCP ook duidelijk richtlijnen wat te doen wanneer bijvoorbeeld ransomware toeslaat met een cryptolocker. Welke tools zijn business critical en heb je onmiddellijk opnieuw nodig? Welke applicaties heb je pas na enkele weken of maanden nodig? Al die zaken worden opgesomd en zorgen voor een heldere begeleiding bij paniekmomenten van elke aard.
Risico’s aanvaarden
Een bedrijf honderd procent afdekken voor een cyberaanval kan niet. Hackers gaan steeds ingenieuzer te werk zoals bijvoorbeeld bij de SolarWinds-aanval. Bovendien is het budget ook niet ongelimiteerd binnen bedrijven en moeten er vaak keuzes worden gemaakt. Dan is het belangrijk om risico’s te aanvaarden volgens Verhaeghe.
“Neem nu een bedrijf met naast een hoofdzetel ook heel wat andere kleine vestigingen. Op elke site een cluster van firewalls installeren neemt een flinke hap uit je budget. Misschien wil je het risico wel nemen om maar één firewall te installeren op elke site en het cluster enkel te installeren op de hoofdzetel omdat die belangrijker is om draaiende te houden in een crisisgeval?”
Elk bedrijf is anders en moet voor zichzelf bepalen waar je een risico wil nemen en waar het absoluut waterdicht moet zijn kost wat kost.
Pentesting en awareness
Na een audit en een BCP loont het de moeite om regelmatig een pentest (penetration test) te laten uitvoeren. Op dat moment gaat een team van white hat hackers proberen je systeem te hacken (met jouw goedkeuring) om te zien waar de problemen zich situeren. “Een pentest kan je op verschillende manieren organiseren: applicatief, infrastructuur en zelfs social engineering. Vooral met dat laatste hebben we altijd plezier omdat we de beschikbare sociale kanalen van werknemers uitkammen”, lacht Verhaeghe.
Bij een pentest gaat een team van white hat-hackers proberen je systeem te hacken om te zien waar de problemen zich situeren.
EASI is onder andere actief in Vlaanderen, Wallonië en Luxemburg en ziet grote verschillen wat betreft het aanvragen van pentesten. Vlaanderen loopt daarin ietsje voor op Wallonië, maar verdwijnt in het niets vergeleken met Luxemburg. “Dat komt vooral om dat Luxemburg belangrijk is voor de financiële markt en in die sector worden geen risico’s genomen”, aldus Verhaeghe.
Een verzekering nemen om je in te dekken tegen cyberaanvallen is interessant, voor zover je bedrijf al een aantal maatregelen heeft genomen om zich in te dekken. We komen hier snel in het verhaal terecht van wat het zal kosten ten opzichte van de investering die een bedrijf reeds heeft gedaan. “Ik zou mijn huis niet tegen diefstal indekken als ik geen slot op mijn voordeur heb.”
“Wij blijven van die verzekerwereld af”, zegt Verhaeghe kritisch. “Ik spreek nu misschien voor mijn eigen winkel, maar het loont veel meer om een securityspecialist onder de arm te nemen die niet enkel de eerste week begeleidt maar daarna ook (met minder mensen) het bedrijf blijft helpen tot alles in orde is.”
User Enablement
Tot slot is awareness een element waar je nooit genoeg aandacht aan kan spenderen. Mensen moet je trainen en blijven trainen omdat de details snel vergeten worden. De kans is groot dat je de cyberaanval die Picanol een jaar geleden helemaal platlegde ondertussen vergeten bent.
“We hebben intussen geleerd dat we voor zo’n zaken rechtstreeks naar de HR-afdeling moeten stappen of de directie in plaats van de CIO of de IT-managers. Allereerst kijken we wat we moeten doen, stemmen daar een training op af en daarna kan het IT-team met de tools aan de slag om steekproeven te doen om werknemers scherp te houden.”
Awareness blijft een element waar je nooit genoeg aandacht aan kan spenderen.
Christophe Verhaeghe, security specialist bij EASI
Cybersecurity hoort een essentieel onderdeel te zijn van elk bedrijf, net zoals een brandverzekering. Denken dat je toch niet interessant bent voor hackers en dat er interessantere profielen zijn, telt vandaag niet meer. Alle data is nuttig. De éne hacker versleutelt die en wil geld verdienen, terwijl de andere voor het plezier hackt en jou voor het blok zet. Start met een audit, werk een BCP uit, organiseer pentesten, koop de juiste hardware en software en blijf hameren op awareness. Pas dan sta je als bedrijf sterk mocht het noodlot toeslaan.
Dit is een redactioneel interview in samenwerking met EASI. Voor meer informatie rond hun oplossingen kan je hier terecht.