De uitgaven aan cybersecurity oplossingen zijn al jaren in stijgende lijn. Er wordt dus wel degelijk meer en meer belang gehecht aan een goede cyber hygiëne en bescherming tegen cybercriminelen en -gevaren.
Toch ligt de verwachte return on investment (ROI) lager dan initieel verwacht.
Complexiteit van de oplossing en nonchalance impacteren je ROI
Er dragen verschillende factoren bij tot de ‘lagere’ ROI:
- Organisaties denken dat ze gewapend zijn doordat ze zijn uitgerust met veel verschillende beveiligingsoplossingen en tools. We merken echter dat ze worstelen om al die tools op elkaar af te stemmen en te integreren met hun IT-omgeving. Daarnaast is de effectiviteit van de oplossingen afhankelijk van menselijke interventie om anomalieën te ontdekken en er gepast op te reageren. Organisaties beschikken vaak over prima oplossingen en licenties, maar ze weten niet (voldoende) waarvoor ze dienen. Daar is specifieke expertise voor nodig, wat de grootste uitdaging blijkt te zijn bij veel bedrijven.
De rol van een degelijke IT-integrator en / of een SOC of Managed Cybersecurity Services is daarom van onschatbare waarde. - Mensen en gebruikers blijven de zwakste schakels. Dat trek je niet recht met enkel technologie. Dat weten hackers ook. Bijna 70% van alle inbreuken vindt plaats op endpoints (laptops, pc’s, mobiel). Training voor IT-professionals is essentieel, maar de effectiviteit van je cybersecurity strategie is afhankelijk van de mate waarin het belang ervan is ingebakken in de brede bedrijfscultuur.
Wanneer het belang niet ingebakken is in de bedrijfscultuur, wil dat zeggen dat er verandering nodig is in menselijk denken en doen. Daar ligt net de uitdaging: de meeste mensen zeggen dat ze graag verandering zien, maar slechts weinigen willen zelf veranderen.
De zwakke plek is NIET de technologie
Zo’n drie kwart van alle security breaches heeft te maken met een actie of het gebrek aan actie van een medewerker en vindt zijn oorsprong in:
- het gebruik van zwakke wachtwoorden
- het verzenden van gevoelige informatie naar de verkeerde ontvanger
- een verloren laptop
- het vergeten te patchen
- het klikken op schadelijke links (via phishing bvb.)
- …
Waarom slagen werknemers er maar moeilijk in om de cybersecurity policy na te leven?
Dat ligt quasi altijd aan onwetendheid of nonchalance:
- Werknemers zijn zich niet bewust van veelvoorkomende cyber threats of van het bestaan van beleidsregels voor een goede cyberhygiëne. Ze zijn er zich bijvoorbeeld niet bewust van dat informatie die ze extern delen als vertrouwelijk is geclassificeerd.
- Medewerkers zijn zich wél bewust van veel voorkomende gevaren en beleidsregels voor correct cyberbeveiligingsgedrag, maar weten niet hoe ze de beleidsregels in de praktijk moeten naleven. Ze weten bijvoorbeeld onvoldoende waarom en hoe ze tools als een paswoordmanager moeten gebruiken.
- Werknemers zijn (bewust) nonchalant met de beleidsregels: they don’t care. Hier ligt een motivatieprobleem aan de basis en gebrek aan verantwoordelijkheidsgevoel. Deze groep is over het algemeen de moeilijkste om aan te pakken.
Deze 3 type medewerkers bevinden zich allemaal in een soort ontkenningsfase. De lijst met excuses die wij allemaal al mochten horen om zich niet te hoeven bezighouden met online beveiliging, is lang.
Cybersecurity als onderdeel van je bedrijfscultuur: hoe start je daarmee?
Een duurzame bedrijfscultuur waar cybersecurity deel van uitmaakt, creëer je niet op één, twee, drie. En creëren is één ding, maar hoe hou je het in stand?
1. Begin met het formuleren van doelstellingen
Dat kan zijn:
We verwachten van al onze medewerkers dat zij bij het einde van 2025 begrip hebben van de bedrijfsgerelateerde én de individuele cybersecurity vereisten en verantwoordelijkheden.
2. Breng de huidige situatie in kaart
Waar zitten de (menselijke) kwetsbaarheden? Breng de grootste risico’s in kaart. Onderzoek in welke mate de zwakheden te maken hebben met onwetendheid of met demotivatie.
Welke organisatorische maatregelen moet je toepassen om cyberveiligbewustzijn te creëren? Deze hebben te maken met verantwoordelijkheden, mensen, budget voor onder andere bewustmakingsactiviteiten, trainingen.
Ga na in welke mate individuen het beleid en regels van de organisatie naleven.
De gegevens kunnen verzameld worden uit phishing-simulaties, audits, processen, enquêtes, organigrammen, bevindingen van een ethical hacker, … Zo weet je hoe je ervoor staat.
3. Cultuurveranderingen plannen en verwezenlijken
Definiëer trainingseisen, leerstof en leerdoelen per doelgroep. Die zijn variabel naargelang de rollen van de medewerkers (het finance departement heeft andere trainingsbehoeften dan de IT-afdeling), de regio, de urgentie, …
Definiëer tevens wie verantwoordelijk is voor het plannen en uitrollen van alle acties.
Na het uitrollen van de acties en het doorlopen van het trainingsprogramma, meet je de resultaten en toets je af of de doelstellingen behaald werden: is er meer cyberbewustzijn in de organisatie en is er meer aandacht voor een goede cyberhygiëne?
4. Het in stand houden van een goede cyber hygiëne
Er duiken steeds nieuwe medewerkers op, de cybergevaren nemen nieuwe vormen aan, de beveiligingstools evolueren eveneens, lesmateriaal verouderd, …
Het uitrollen van een cybersecuritybeleid is geen eenmalige actie. Het is een proces dat constante opvolging vereist.
Hulp inschakelen?
Je kan bij AXS Guard terecht voor het technologische luik: we bouwen en leveren betrouwbare cybersecurity oplossingen, waarbij je zelf al dan niet kiest voor additionele SOC-services. (Onze Observe & Protect formule is een aanrader!)
Sensibilisering, audits, pentesting en andere zaken die impact hebben op de bedrijfscultuur, zijn niet de specialiteiten van AXS Guard, maar we werken wel geregeld met partners die dit soort trajecten (gedeeltelijk) begeleiden. Fox & Fish is zo’n voorbeeld daarvan.
Dit is waarom de ROI van je beveiligingsinvesteringen lager is dan verwacht