De meeste IT-verantwoordelijken, CISO’s, ondernemers en anderen in cruciale rollen bij organisaties, beseffen dat er heel wat kan mislopen wanneer zij te maken krijgen met een datalek of wanneer zij het doelwit worden van cybercriminelen.
Er is dus een besef dat een cybersecurity strategie nodig is. Dat blijkt ook uit een onderzoek van Cloudflare* eerder dit jaar:
- 39% van de Belgische bedrijven verwacht een cyberaanval dit jaar.
- 58% van de Belgische bedrijven verwacht dat de omvang van de aanvallen zal toenemen.
- 23% van de gecompromitteerde bedrijven moesten medewerkers ontslaan als gevolg van de aanval.
En dan komt het frappante deel: slechts 27% van de respondenten zegt - ondanks de bezorgdheid - voorbereid te zijn op een aanval. Dat is bijzonder weinig. En dat heeft te maken met de vele obstakels op de weg. Er zijn heel wat uitdagingen die het doorhakken van beslissingen rond je cybersecurity strategie vertragen of tegenhouden.
1. Complexe materie en evoluerende dreigingen vereisen schaarse expertise
Cybercrime evolueert in een hoog tempo. Er duiken voortdurend nieuwe aanvalsmethoden op. De criminelen worden inventiever en de aanvallen geavanceerder.
De organisaties die zich willen / dienen te beschermen tegen aanvallen of lekken, gebruiken zelf ook steeds meer en ingewikkelde technologieën, systemen, IoT-apparaten en platforms. Er is een scala van technologieën en oplossingen die je kan inzetten tegen cybercrime, maar welke heeft jouw organisatie nodig? De maatregelen die je eventueel in het verleden al getroffen hebt, zijn ook snel verouderd en dus ook niet meer veilig. Dat is zulke complexe materie waardoor velen - zelfs IT'ers - het bos door de bomen niet meer zien en dus niet weten welke oplossingen het best passen bij hun complexe IT-infrastructuur.
Die uitdagingen vereisen specifieke expertise en skills, maar daarmee komen we meteen bij het volgende obstakel: die expertise is bijna niet te vinden. Er zijn te weinig gekwalificeerde kandidaten om de vacatures te vullen die betrekking hebben op cybersecurity.
2. Gelimiteerd budget
Veel organisaties hebben beperkte budgetten voor cybersecurity, wat de implementatie van uitgebreide beveiligingsmaatregelen kan beperken.
Bekende vendors van cybersecurity oplossingen ontwikkelden die met het oog op grote bedrijven. Die oplossingen zijn vaak high-end, te complex en te duur voor kleinere ondernemingen. Ook de dure cybersecurity engineers en analisten, vormen een financiële uitdaging.
Heb je een beperkt budget? AXS Guard hanteert erg haalbare prijzen - ook voor kleinere organisaties - en is daar heel transparant in. Check AXS Guard Observe & Protect Pricing.
3. Cybersecurity: geen eenmalig project, maar een constante activiteit
De komst van technologieën zoals cloud computing, IoT en AI kan nieuwe beveiligingsuitdagingen en kwetsbaarheden introduceren. Daarnaast is het verre van gemakkelijk om al je beveiligingssoftware en -hardware up-to-date te houden.
Bovendien is het eigenlijk wenselijk, maar niet realistisch, dat iemand van je organisatie constant kijkt wat er op je netwerk gebeurt om eventuele anomalieën vroeg op te sporen.
4. Cybersecurity zit niet in de bedrijfscultuur
Mensen en gebruikers blijven de zwakste schakels. Dat trek je niet recht met enkel technologie. Wanneer het belang van je cybersecurity strategie niet ingebakken is in de bedrijfscultuur, wil dat zeggen dat er verandering nodig is in menselijk denken en doen.
Daar ligt net de uitdaging: de meeste mensen zeggen dat ze graag verandering zien, maar slechts weinigen willen zelf veranderen. Nieuwe (beveiligings)procedures roepen vaak weerstand op. Onwetende, nalatige of onwillende medewerkers vormen een risico voor je beveiliging.
5. Twijfel over kosteneffectiviteit
Het balanceren van de kosten van beveiligingsmaatregelen met de verwachte reductie van risico's en potentiële schade is een constante uitdaging. Het management wil graag een ROI zien van de beveiligingsinvesteringen.
Wanneer die ROI niet duidelijk kan aangetoond worden, dan heb je zéker geen organisatorische buy-in en zal een goede cyberhygiëne niet ingebakken zitten in de bedrijfscultuur. Het start met de overtuiging, ondersteuning en betrokkenheid van het management.
6. Wendbaarheid
Hoe snel en flexibel is je organisatie om incidenten op te sporen én om daar ook nog eens snel en adequaat op te reageren?
7. Het vinden van een betrouwbare partner
Er zijn veel aanbieders van cybersecurity-oplossingen en van IT-resellers of integratoren die je kunnen ondersteunen. Echter, beloven veel van hen min of meer hetzelfde, en dat terwijl dat in de praktijk andere koek is. Er zijn grote verschillen in expertise, prijs, technologie, integreerbaarheid, ondersteuning en services. Kleine ondernemingen hebben allicht een andere oplossing, aanpak en service nodig dan multinationals. Dat houdt ook vaak in dat kleine ondernemingen beter in zee gaan met reseller X en grotere met reseller Y.
Daarnaast moet je ook nog beslissen over welke aanpak het best bij jouw organisatie past: kies je voor een best-of-breed-aanpak of een all-in-one? Ook dat zal bepalend zijn wanneer je een IT-reseller of integrator selecteert.
Klik hier voor een overzicht van de Certified AXS Guard partners / IT-resellers.
8. Wettelijke bepalingen en richtlijnen
Het is niet alleen je eigen organisatie of je IT-partner die beslist hoe je cyberbeveiliging er moet uitzien. Er zijn wetten en richtlijnen die je moet naleven. Je dient zowel rekening te houden met de wetgeving van je land als met de verordeningen die opgelegd worden door Europa.
Dat is op zich niet bedoeld om organisaties en bedrijven te pesten, maar wel om de burger en diens infrastructuur te beschermen. Ook Europa maakt zich zorgen over de toenemende online dreigingen en erkent de noodzaak van een goede cyberhygiëne.
Europese richtlijnen zoals GDPR, AI Act, NIS1 en NIS2, … dwingen organisaties van bepaalde aard om maatregelen te nemen die impact hebben op hun cybersecurity strategie, de manier waarop ze met data omgaan én op de bedrijfsvoering. Het kan echter een uitdaging zijn om te voldoen aan die richtlijnen.
Formeel is de deadline van implementatie van de NIS2 Richtlijn 17 oktober 2024.
Neem contact op voor meer informatie op maat van je organisatie of wanneer je ondersteuning kan gebruiken bij het voldoen aan de richtlijn NIS2 of natuurlijk wanneer je worstelt met één van de andere genoemde uitdagingen.
De 8 uitdagingen bij het uitrollen van een cybersecurity strategie