Informatiebeveiliging is allang geen IT-aangelegenheid meer. Het is een strategisch vraagstuk voor organisatie- en risicomanagement. Steeds meer organisaties begrijpen dat cyberaanvallen en datalekken een serieuze bedreiging vormen voor het hele bedrijf. Volgens een studie van KPMG stelt 18 procent van de wereldwijde bedrijfsleiders dat cybercriminaliteit de grootste bedreiging vormt voor hun winstgevendheid en groei in de komende jaren. Een stijging van 10 procent ten opzichte van vorig jaar. En ik voorspel dat dit alleen maar verder zal stijgen.
De veiligheidscultuur is cruciaal
Erkennen dat informatiebeveiliging iets is waar de directie en het bestuur over gaat (en niet alleen IT!), is één ding. Weten hoe je dit op de lange termijn moet beheren, is een ander aspect. Het is geen kwestie van een grote zak geld leegkiepen voor de laatste technische beveiligingssystemen. Er zijn hier geen 'quick fixes'. Het versterken van informatiebeveiliging gaat ook vooral over het creëren van een functionerende beveiligingscultuur die is gebaseerd op openheid.
De meeste organisaties doorlopen dezelfde fases in hun pogingen hun informatiebeveiliging op orde te krijgen:
- Ontkenning
Veel organisaties zitten nog steeds in een ontkenningsfase, de houding: "zolang er niets gebeurt, hoeven we niets te doen". - Reactief
Te veel bedrijven en organisaties hebben ingezien dat informatiebeveiliging belangrijk is – als de cyber aanval eenmaal heeft plaatsgevonden. Incidenten leiden altijd tot actie, maar de reactieve aanpak is onvoldoende om nieuwe incidenten te voorkomen. - Systematisch
We zien dat steeds meer klanten van Junglemap informatiebeveiliging als onderdeel van hun (risico)beheersystemen hebben. Het biedt stabiliteit en meer mogelijkheden om zowel snel als efficiënt te handelen. - Proactief
Wanneer veiligheidsdenken een vast onderdeel wordt van de processen in de organisatie, ben je als organisatie al een heel eind op de goede weg. Pas laat in het proces beveiliging ‘toevoegen' is nooit goed. Beveiliging, waar al bij het opzetten van nieuwe systemen en werkwijzen aan wordt gedacht, heeft een veel beter effect. Security by design noemen we dat. - Een onderdeel van onze dagelijkse routines
In deze fase maakt informatiebeveiliging deel uit van de dagelijkse routine van praktisch iedere medewerker. IT-beveiliging en beveiliging van de processen staat centraal. Er is een cultuur waarin het normaal is om fouten toe te geven, te melden en om met elkaar na te denken over hoe het beveiligingsniveau van een bedrijf nog beter kan.
Wil je als organisatie de kans krijgen om deze stappen te zetten en een goed functionerende veiligheidscultuur te creëren, dan is ook een cultuur van openheid vereist. Een organisatiecultuur die ervoor zorgt dat alle medewerkers zich aangemoedigd voelen om fouten en vergissingen te delen – juist ook als ze die zelf hebben gemaakt. Waar degenen die vermoedelijke fouten en tekortkomingen melden worden beloond, niet bekritiseerd of in twijfel worden getrokken.
Verborgen statistieken
Hoewel we voortdurend meldingen langs zien komen in de media van het toegenomen aantal cyberaanvallen, is dit slechts het topje van de ijsberg. De meeste organisaties die worden blootgesteld aan bijv. ransomware kiezen ervoor dit niet te communiceren, in een poging hun merk niet te beschadigen. Er zijn onderzoeken die aangeven dat slechts 10 procent van alle cyberaanvallen daadwerkelijk wordt gemeld.
Dat is echt ontzettend jammer. Volgens mij één van de grootste fouten in de strijd tegen de professionele ransomware-bendes die ons bedreigen. En het is ook gebaseerd op een misplaatste angst om reputatieschade te lijden. In de afgelopen jaren hebben we verschillende voorbeelden gezien van organisaties die hun reputatie juist hebben versterkt door hun openheid. Ik denk aan Fox IT, Universiteit Maastricht en de gemeente Hof van Twente. Zij hebben allemaal waardering en respect gekregen voor hun manier van communiceren over wat ze hebben meegemaakt.
Wat nodig is, is een cultuur van openheid, zowel binnen organisaties als tussen organisaties onderling. Binnen sectoren en over sectorgrenzen heen. Zonder een gedeelde cultuur van openheid zullen degenen onder ons die zich inzetten voor meer informatiebeveiliging nooit een kans hebben tegen cybercriminelen - die immers voortdurend kennis en ervaring delen.
Onlangs is de 2023 versie van Junglemap’s Informatiebeveiliging-cursus gelanceerd. Onze klanten krijgen ieder jaar weer een volledig nieuwe versie van deze cursus, met daarin de laatste inzichten in het vakgebied en bedreigingen. Het effect is overduidelijk: 93 procent van de medewerkers (wereldwijd!) zegt na het doorlopen van het jaarprogramma voortdurend bewuster te zijn van beveiligingsissues. Veel van onze klanten vertellen ons dat veel meer medewerkers nu fouten en verdachte zaken melden.
Dat is precies waar het bij NanoLearning om draait. Bewustwording creëren - het hele jaar door. Beveiliging heb je namelijk niet alleen omdat de juiste beveiligingstechnologie aanwezig is. Het bewustzijn, gedrag en onderscheidingsvermogen van jouw medewerkers gaat uiteindelijk het verschil maken. Met NanoLearning kunnen we zowel de vergeetcurve overwinnen als bijdragen aan een veiligheidscultuur die gebaseerd is op openheid.
Arno van den Hof
Algemeen Directeur Junglemap Benelux