Voor een luisterversie klik je HIER.
Elke organisatie heeft baat bij een sterk cyberbeveiligingsbeleid. Onze globale maatschappij, die steeds afhankelijker wordt van digitale ondersteuning, functioneert nog steeds voor 75% alsof we thuis op een Windows 3.1-toestel brieven aan het typen zijn. De verhalen over digitale diefstal, groot of klein, dreigen ons een digitale eeltlaag te bezorgen. We vertrouwen nog altijd op App-ontwikkelaars en anderen om hun verantwoordelijkheid te nemen. Laat me u geruststellen, dat doen ze… NIET.
Iedereen die kritieke processen aanbiedt, moet zichzelf, zijn onderneming en zijn cyberbeveiligingsniveau in vraag stellen. We merken bij het opzetten van onze NIS2-frameworks voor certificatie dat het een zeer moeilijke oefening is om de risico’s van een bedrijf of dienst in kaart te brengen en een bijbehorend vangnet te creëren. Plan B werkt meestal niet en is in de meeste gevallen nooit getest. We hebben een risicobeheersysteem ontwikkeld in Audicy dat de drager wordt van NIS2. We maken gebruik van een combinatie van ISO27001:2022, CIS en NIST om de aanwezige processen en onderliggende beleidsregels en operationele instructies te beschrijven. Vervolgens brengt ons framework deze in kaart in de vorm van vragen. Wat zijn de bijbehorende risico’s voor alle bij de onderneming betrokken partijen?
De business analist
Misschien denkt u dat cyberbeveiliging enkel een kwestie is van het gebruik van de juiste anti-hackingtoolings, maar zo eenvoudig is het niet.
Hoe kun je tools inzetten als je boot vol gaten zit? Zolang ze niet door een cyberstorm gaat, zal ze wellicht blijven drijven. Je ontwerpt je Titanic beter zo dat er een extra compartiment kan vollopen, de geschiedenis geeft mij hierin gelijk. Er blijkt maar zelden een digitale dirigent aanwezig te zijn in een bedrijf die alle instrumenten hetzelfde veilige en operationeel bevredigende lied kan laten spelen. Een eerste oefening is het in kaart brengen van verantwoordelijkheden. Wie bewaakt en controleert welke risico’s? Welke processen zijn er en zijn er afsluitsystemen aanwezig voor wanneer het digitale mijnenveld door iets wordt geactiveerd? Is er in de kritieke processen en voor de digitale kroonjuwelen een beveiligingsgarantie van 100% door middel van een meerlaagse beveiliging? Dit zal de business analist in kaart moeten brengen. Daarna kunnen de individuele risicoanalisten hun gedeelte uitdiepen. Ook daar heeft de oefening een intensiteit die iets verder gaat dan enkel vertrouwen op toolings. Zero Trust, weet u wel?
Verantwoordelijkheid
Het management kan niet langer zijn kop in het zand steken. Als er zich een kostelijke hack voordoet, zullen de stakeholders hun geld terugeisen. Recentelijk zijn er al bedrijfsleider aansprakelijk gesteld voor dergelijke gevallen, met vermogensverlies tot gevolg. Laten we gewoon eerlijk zijn. Als operatiekamers een beleid zouden hebben zoals de meeste bedrijven een IT-beleid hebben, dan zouden er veel mensen onder het mes sterven. Een dokter betaalt niet graag schadeclaims en blijft daarom alert. Ik hoor velen al roepen dat dit alles te omslachtig is, maar daar ben ik het niet mee eens. In de bedrijven waar we mee samenwerken, zorgen we voor toewijding. De verantwoordelijken zijn trots op hun onderscheidende en goed werkende aanpak. Uiteindelijk omarmen zelfs degenen die aanvankelijk weerstand bieden onze aanpak.
U hebt nog tijd
Nochtans vliegt de tijd. Gaat u ook twee dagen voor uw vakantie naar het gemeentehuis om uw paspoort aan te vragen. U zou wel eens van een kale reis kunnen thuiskomen. Na nieuwjaar zijn er twee soorten bedrijfsleiders. De ene zit de kat nog uit de boom te kijken en de andere heeft zijn verantwoordelijkheid al genomen. Wilt u aan deze bedrijven IT-diensten leveren? Dan zult u uw digitale NIS2-paspoort moeten voorleggen. Hebt u dit niet? Ga dan snel ergens aankloppen in de hoop dat er nog uitmuntende IT-experts zijn die tijd voor u hebben. In 1989 certificeerde ik de eerste Ford-verdeler in België. De structuur die toen is opgezet, heeft ervoor gezorgd dat het gezonde bedrijf in 2019 voor een aanzienlijke som werd verkocht. Wat ik hiermee wil aantonen, is gewoon dat een investering zichzelf duizendmaal kan terugbetalen. Ik heb voor mezelf het doel gesteld om in mijn laatste missie bedrijven te helpen bij het beveiligen van hun onderneming. Ik spreek bij zulke bedrijven niet over NIS2. Het verzekeren van de bedrijfsprocessen en de verfijning zijn de factoren die tot winst leiden.
NIS2 Horizon
Als u meer wilt weten over onze unieke benadering van cyberbeveiliging, houd deze website dan zeker in het oog. Er liggen interessante ontwikkelingen in het verschiet.
