Shortcut: Direct aan de slag !
Eigenlijk wil je zeker zijn van drie dingen:
- Dat niemand je belangrijkste bedrijfsgegevens kan inzien of meelezen >confidentialiteit
- Dat de processen en data die in je systemen zit klopt en traceerbaar is >integriteit
- Dat de toepassingen en gegevens er zijn als u ze nodig heeft >beschikbaarheid
Op zich is dit nog zeer eenvoudig maar deze basisvereisten worden bedreigd door potentiële gevaren die deze veiligheid kunnen verstoren.
En over deze gevaren hoort u veel praten in pers en reclames. Het doel is u bang te maken voor mysterieuze hackers die een cyber ramp zullen worden voor uw bedrijf. De hoop van al deze onheilsprofeten is u bang maken zodoende dat u hun oplossing aankoopt en u een illusie van veiligheid krijgt die u terug op uw twee oren doet slapen. Angst is een slechte raadgever.
Laat me eerst een paar marketing-mythes over informatieveiligheid doorprikken:
- Cybersecurity is geen hype-du-jour die binnenkort gaat verdwijnen en waar u best niet teveel tijd gaat investeren. Net zoals zeker zijn dat we ooit allemaal zullen doodgaan en belastingen moeten betalen, zal het veilig houden van ons digitaal leven altijd belangrijk blijven en op de agenda staan. Net zoals u uw BTW-aangifte moet indienen of preventie op het werk zal moeten organiseren, zal u ook uw cyberveiligheid op orde moeten brengen.
- Er is niemand die u een magische oplossing kan aanbieden waardoor u dit zonder moeite in orde kan brengen, hoeveel euro’s u ook op hun bankrekening zet, hoe impressionant de marketing is of hoeveel lampjes op het doosje staat dat ze aan u verkopen. U kan een partner zoeken om u te helpen met uw veiligheid of stukken ervan maar u zal zelf de chauffeur moeten zijn van uw cyberveiligheid.
- Last but not least: absolute veiligheid bestaat niet. Er is niemand die u een 100% garantie kan bieden. Daarom is het ook zeer belangrijk om te plannen voor als het misgaat, dat u op dat moment correct kan reageren, de schade beperken en snel terug aan het werk kan. Intelligente bedrijven plannen niet zozeer alleen voor cyberveiligheid maar streven er ook naar cyberweerbaar te zijn. Cyberweerbaarheid is hoe goed een organisatie kan omgaan met een cyberaanval en hoe snel ze daarna weer normaal kan functioneren. En er is één zekerheid: u zal aangevallen worden en soms zullen deze aanvallen succesvol zijn.
Leuke blabla en theorie maar hoe pak je dat nu in praktijk aan?
Het allereerste, saaie werk is een inventaris maken. Een overzicht van alles wat u binnen uw organisatie hebt aan toestellen, infrastructuur, toepassingen, processen en data. Want als u niet weet wat u allemaal heeft, hoe kan je dan ooit gaan beveiligen ? Dus pak een blad papier ( of een excelsheet ) en beginnen polijsten met zoveel mogelijk informatie.
De tweede belangrijke stap is op lijsten waaraan u moet voldoen als minimale vereisten:
- Wettelijke vereisten: de EU privacy-wetgeving GDPR, de NIS2 strengere cyber regels, de Cyber Resilience Act in het algemeen en specifieke vereisten waar uw type bedrijf of vertical in het bijzonder aan moet voldoen.
- Contractuele vereisten: wat heeft u contractueel belooft aan uw klanten? Welke afspraken heeft u met hen gemaakt ?
- Wenselijke vereisten: wat verwacht uw organisatie zelf als minimale vereisten naar bijvoorbeeld beschikbaarheid van applicaties toe.
Op basis van deze inventarissen kan u dan een risico analyse maken.
In de wereld van cyberveiligheid praten we niet zozeer over gevaren maar over risico’s. Het is heel belangrijk om te begrijpen wat deze risico’s zijn. Eenvoudig uitgelegd is een risico een probleem ( hoeft zelfs geen aanval te zijn as such maar kan bijvoorbeeld ook een stroompanne zijn of een brand) dat een zekere impact heeft op de werking van uw organisatie. De tweede belangrijke vraag is hoe waarschijnlijk het is dat dit probleem zal voorvallen. Risico kan dan ook berekend worden door de impact te vermenigvuldigen met de kans dat het gaat voorvallen. Een voorbeeld: de kans dat je ergens een virus binnenkrijgt is zeer groot, de impact hiervan kan groot zijn dus dat is een groot risico. De kans dat er een superstorm in de Noordzee komt die Zeeland en West-Vlaanderen onder water zet is één keer om de 17.000 jaar, de impact is enorm maar omdat dit een kleine kans heeft is het risico zeer klein.
Eén keer je de risico’s kent kan je acties gaan ondernemen om ze te voorkomen, de impact te beperken, ze doorschuiven naar anderen of je kan ze gewoon aanvaarden. Door deze maatregelen te nemen kan het risico en de impact beperken.
Nu ga je die risico’s niet in één keer uit de wereld helpen maar het vormt de basis van een informatieveiligheidsplan dat je stap voor stap gaat uitvoeren en zoveel mogelijk documenteren. Zonder een neergeschreven, gedocumenteerd plan blijven het immers vooral goede intenties.
In dat plan staan een hoop manieren waarop je dit alles gaat aanpakken:
- Met allerlei technische of praktische oplossingen
- Op papier met policies, goede procedures en goede (contractuele) afspraken
- Met bijkomende maatregelen zoals cyberrisico-verzekeringen
Daarna wordt dit een permanent proces waarbij je als KMO de cyberweerbaarheid / veiligheid van je organisatie gaat opvolgen in een eeuwigdurende cirkel van informatieveiligheid. Veelal wordt hiervoor de Cirkel Van Demming gebruikt. Beter gekend als P(lan)D(o)C(heck)A(ct) is het een stukje gezond verstand verpakt als dure consultantspraat uit de integrate kwaliteitszorg.
Zelf aan de slag met onze hulp !
Gelukkig hoeft u hiervoor niet van 0 te starten zonder basis of zonder hulp. Er is zeer veel materiaal online beschikbaar met voorbeeld-documenten, voorbeeldplannen, excelsheets, etc.
Ook de EU heeft begrepen dat dit voor KMO’s een uitdaging gaat vormen en heeft een consortium van EU bedrijven de nodige middelen gegeven om KMO’s te helpen met op snelheid te geraken. Met CYSSME hebben we voor KMO’s een volledig verbetertraject ontwikkeld om, met steun van de EU, uw KMO op snelheid te krijgen.
Dit begint met twee (zelf)evaluaties waarbij u kan evalueren ten opzichte van twee lijsten van basisvereisten. Dit kan u zelf gratis online doen via deze link.