Er is de laatste tijd heel wat te doen over de cybersecurityrisico’s als gevolg van telewerk: het aanvalsterrein is uitgebreid, de omgevingen zijn informeler geworden en het aantal bedreigingen is toegenomen. Volgens sommigen zijn onze werkomgevingen nu kwetsbaarder. Anderen wijzen er dan weer op dat bedrijven steeds beter worden in het voorkomen van aanvallen. Eén ding is echter zeker: het inherente cyberrisico is toegenomen.
Volgens een onderzoek van Interpol in augustus 2020 is een verdere toename van cybercriminaliteit in de nabije toekomst zeer waarschijnlijk. De politie-instantie wijst er ook op dat cybercriminelen zich zullen richten op zwakke plekken als gevolg van telewerk. Bedrijven spelen snel in op deze vermeende dreiging. In een recente enquête van Robert Half gaf 35 percent van de Chief Technology Officers aan dat het handhaven van de IT-beveiliging en het beschermen van bedrijfsinformatie prioritair zijn in de eerste helft van 2021 en die trend zet zich ook verder in de tweede helft van het jaar (34%)1.
Deze snel veranderende situatie brengt echter heel wat uitdagingen mee. Hoewel er steeds meer technologie voorhanden is om beveiligingsproblemen aan te pakken, evolueren de bedreigingen zo snel dat het moeilijk bij te houden is. Dat betekent dat het voor cybersecurity-experts steeds moeilijker wordt om in te schatten hoe goed hun bedrijf beschermd is.
Cyberbeveiliging begrijpelijker maken
Voor een geslaagde aanpak is het van belang deze uitdagingen te verwoorden in een taal die niet alleen begrijpbaar is voor technologieprofessionals, maar ook voor bedrijfsleiders. Vaak wordt er enkel over cyberbeveiliging gepraat in termen van producten en oplossingen. Door de risico’s te bekijken vanuit een menselijk oogpunt, met behulp van ‘persona’s’, kan iedereen de risico’s beter begrijpen.
Intern komt het vaak voor dat goedbedoelde gebruikers controles omzeilen om hun werk te kunnen doen. Zo kan iemand die een groot document naar een klant moet sturen, gebruikmaken van een service voor bestandsoverdracht, terwijl dat mogelijk niet veilig is. Daarnaast zijn er ook opportunistische insiders die er geen graten in zien om de veiligheid aan hun laars te lappen, maar die niet zo ver willen gaan dat ze de bestaande controles omzeilen. Wanneer er geen controles zijn, zien ze dat echter als een vrijgeleide. Zo’n opportunistische insider zou geen 10 euro stelen uit iemands portefeuille, maar zou het geld wel houden als hij het op straat vond.
Externe dreigingsactoren kunnen zeer complex zijn, zoals bijvoorbeeld georganiseerde cyberbendes, maar ook zeer eenvoudig, zoals personen die gebruikmaken van wijdverbreide, maar makkelijk op te sporen methodes. De meeste managers focussen op de geavanceerde aanvallen, omdat deze sterk gecoördineerd en moeilijk te bestrijden zijn. Maar ook phishing en gevaarlijke URL’s kunnen heel wat schade veroorzaken als ze niet tijdig worden onderschept.
De ervaring leert ons dat bedrijfsleiders – de daadwerkelijke risico-eigenaren – dergelijke persona’s veel beter begrijpen dan technische kaders als de ‘kill chain’. Wie een goed beeld heeft van deze actoren, kan veel makkelijker de risicoscenario’s opstellen en de risico’s aanpakken.
Eerst begrijpen, dan aanpakken
Dat is het punt waarop de risicobeoordeling de vorm aanneemt van een kader dat het bedrijf daadwerkelijk vooruithelpt. Eens de juiste problemen in kaart gebracht zijn, kunnen passende oplossingen uitgewerkt worden. Dat kan gaan om nieuwe technologische oplossingen om het gevaar van externe bedreigingen weg te nemen, maar het kan net zo goed gaan om nieuwe controles om interne gedragsveranderingen teweeg te brengen.
Eens bedrijfsleiders begrijpen hoe dreigingsactoren te werk gaan en wat hun impact is op wereldwijde problemen als vertrouwelijkheid, integriteit, beschikbaarheid en privacy, is het makkelijker om op een andere manier over beveiliging na te denken. Als ze deze uitdagingen analyseren bij alle teams, kan dat voor iedereen boeiend en productief zijn. Dat betekent ook dat er gepleit wordt voor verandering binnen het hele bedrijf.
Nu het cybersecuritylandschap voortdurend verandert, is het van belang dat bedrijven de uitdagingen op dat vlak formuleren in een begrijpelijke taal voor bedrijfsleiders. Persona’s en -scenario’s doorbreken de perceptie dat IT-beveiliging een technische aangelegenheid is en zorgen voor een groter draagvlak binnen de verschillende teams. Bedrijfsleiders kunnen zich hiervoor laten bijstaan door cybersecurityprofessionals die hun kennis intern overdragen en medewerkers bijscholen. Zo ontstaat een beter begrip en een groter bewustzijn voor de toekomst.
In een wereld waar cybersecurityrisico’s niet bij te houden zijn, en de vraag naar cyberprofessionals groot is, zorgt deze mensgerichte aanpak voor een beter begrip van de risico’s die bedrijven lopen – zodat ze gelijke tred kunnen houden.
Robert Half helpt heel wat bedrijven aan gespecialiseerd IT-talent. Neem vandaag nog contact met ons op.
Werft u aan?
1Robert Half liet in november 2020 en april 2021 een online-enquête uitvoeren bij 1500 leidinggevenden. Het onderzoek omvatte 300 bevragingen in België, Brazilië, Frankrijk, Duitsland en het Verenigd Koninkrijk. De respondenten waren onder meer General Managers, Chief Financial Officers en Chief Information/Technology Officers die verantwoordelijk zijn voor aanwervingen bij kleine (50-249 werknemers), middelgrote (250-499) en grote (>500) ondernemingen uit de particuliere, beursgenoteerde en publieke sector in deze vijf landen.
Leer van de gespecialiseerde recruiters van Robert Half, zodat u een getalenteerd team van medewerkers kunt opbouwen of uw carrière vooruit kunt helpen. Robert Half is actief op meer dan 300 locaties wereldwijd, met 12 rekruteringskantoren in België en Luxemburg, waaronder ons rekruteringsbureau in Diegem, en kan u helpen met onder meer Executive Search, waar en wanneer u dat nodig heeft.